Сущность операционных рисков и способы их минимизации в деятельности коммерческих банков

Сущность операционных рисков и способы их минимизации в деятельности коммерческих банков

1. Сущность операционных рисков и способы их минимизации в деятельности коммерческих банков

.1 Сущность операционного риска

Для того чтобы глубже понять природу операционного риска необходимо исследовать сущность понятий "риск" в целом и "банковский риск" в частности.

Наиболее существенный вклад в развитие экономического аспекта теории риска внесли представители классической, неоклассической и кейнсианской экономической школы.

Определенный интерес представляет сравнение теорий риска и их экономического приложения.

В классической теории экономического риска (Дж. Милль, Н.У. Сениор) он отождествляется с математическим ожиданием потерь, которые могут произойти в результате выбранного решения. Риск здесь не что иное, как ущерб, который наносится осуществлением данного решения.

Согласно мнению Д. Рикардо, прибыль должна включать вознаграждение за риск.

В 1930-е гг. экономисты А. Маршалл и А. Пигу разработали основы неоклассической теории экономического риска. Основы этой теории состоят в следующем:

1.  экономист работает в условиях неопределенности;

2.      экономическая прибыль есть случайная переменная.

Экономисты в своей деятельности руководствуются следующими критериями:

1.  размерами ожидаемой прибыли;

2.      величиной ее возможных колебаний.

Согласно неоклассической теории при одинаковом размере потенциальной прибыли менеджер выбирает вариант, связанный с меньшим уровнем риска. Таким образом, представители неоклассической теории риска обосновали позицию "противников риска", считающих, что участие в азартных играх, лотереях, пари - невыгодно.

Кроме того, А. Маршалл в зависимости от источника формирования капитала выделял личный и предпринимательский риск.

Дж. М. Кейнс, напротив, обратил внимание на склонность экономических работников принимать больший риск ради получения большей ожидаемой прибыли. Кроме того, им обоснована необходимость введения "издержек риска" для покрытия возможного отклонения действительной выручки от ожидаемой, а также выделены три основных вида риска, которые целесообразно учитывать в экономической жизни:

1)  риск предпринимателя или заемщика;

2)      риск кредитора;

)        риск, связанный с возможным уменьшением ценности денежной единицы.

Кроме того Дж. М. Кейнс связывал рисковое решение с психологическими характеристиками экономического агента.

Фундаментальный подход к категории риска был представлен Ф. Найтом в работе "Риск, неопределенность и прибыль". Он различает два вида рисков:

1)  риски, объективная вероятность которых исчисляема, и которые могут быть застрахованы (такие риски становятся статьей издержек производства, вычитаемой из прибыли);

2)      риски, объективная вероятность которых неисчислима, которые объясняют существование специфического дохода коммерческих организаций.

Согласно теории американского экономиста Шарпа, риск - это бета-коэффициент, умноженный на среднеквадратическое отклонение ожидаемой нормы прибыли на рынке.

К. Маркс выстроил систему категорий, исключающую неопределенность и риск из анализа экономических отношений. Этим объясняется, что в отечественной экономической науке, которая опиралась преимущественно на труды К. Маркса, проблеме риска уделялось значительно меньше внимания.

В 1920-х гг. был принят ряд законодательных актов, учитывающих существование производственно-хозяйственного риска. Но по мере становления административно-командной системы происходило уничтожение реального предпринимательства, и уже в середине 1930-х гг. к категории "риск" был привешен ярлык - буржуазная, капиталистическая. Это связано с тем, что в условиях командно-административной системы хозяйства экономическая обстановка формировалась "сверху" в приказном порядке в виде набора правил и норм, разрабатываемых экономистами на основе марксистско-ленинской теории, для которой риск не являлся предметом экономического анализа.

Следует отметить, что проблемы риска в социалистической экономике разрабатывались А.П. Альгиным, С.Н. Кошеленко, И.М. Сыроежиным, Д.Н. Назаровым, Д.В. Тулиным. При этом в большинстве работ отмечалось, что категория риска необоснованно игнорируется в широкой экономической литературе, либо имеет узкую негативную трактовку.

Основное внимание уделялось общеметодологическим проблемам, а также прикладным решениям, связанным с заключением внешнеторговых, кредитных и других сделок, внедрением технологических новшеств. Некоторые специалисты подчеркивали различия в оценке экономического риска в странах социалистического и капиталистического лагеря, связанные с различной мотивацией деятельности хозяйствующих субъектов - выполнение плана и получение/максимизация прибыли. В директивной экономике приходилось иметь дело с риском невыполнения государственного плана, нарушений договорных обязательств, недопоставок продукции и так далее, обусловленных чаще всего несоблюдением правил и норм экономической деятельности. А в рыночной экономике первостепенными элементами риска являются непредвидимость конъюнктуры рынка, спроса, цен и поведения потребителя, которые влияют на конечные результаты деятельности экономических субъектов.

Проведение экономической реформы в Казахстане вызвало интерес к вопросам рассмотрения рисков в деятельности экономических агентов, а сама теория риска в процессе формирования рыночных отношений не только получила свое дальнейшее развитие, но стала практически востребованной.

При всей важности рисков в экономической деятельности толкование их сущности оказывается дискуссионным. В целом их природа объясняется причиной их возникновения, т.е. сводится к различного рода обстоятельствам, факторам, которые приводят к потерям.

С чисто терминологической точки зрения "риск" от итальянского "risico" означает угроза; рисковать; буквально - объезжать утес, скалу. [11, стр. 116] По Далю, рисковать - это пускаться наудачу, на неверное дело, отважиться, идти на авось, делать что-то без верного расчета, подвергаться случайности, действовать смело, предприимчиво, надеясь на счастье. [12, стр. 96]

В словаре русого языка С.И. Ожегова даются следующие толкования слова "риск": возможная опасность; действия наудачу, в надеже на счастливый исход, на свой риск или на свой страх и риск действовать - принимая на себя могущие произойти неприятности. [13, стр. 325]

В современной литературе существуют различные трактовки данного понятия. Так, например, Н.П. Любушин, В.Б. Лещева и В.Г. Дьякова дают следующее определение: "Риск - это вероятность того, что прогнозируемое событие не произойдет". [14, стр. 214] В "Экономической энциклопедии" дается следующее определение: "Риск - это неопределенность, связанная с принятием решений, реализация которых происходит только с течением времени". [15, стр. 345] Яковлева М.В. дает следующее определение: "Риск - это некоторая форма неопределенности результата развития каждой конкретной ситуации". [16, стр. 32] Ряд специалистов предлагают следующую трактовку: "Риск - это деятельность, рассчитанная на успех, при наличии неопределенности, требующая от экономического субъекта умения и знания как преодолевать негативные события". [17, стр. 11]

Не смотря на множество трактовок понятия "риск", современная экономическая наука считает официальными три различных между собой подхода к пониманию риска:

1)  Во-первых, в массовом сознании риск предстает в виде возможной неудачи, опасности, материальных и других потерь, которые могут наступить в результате претворения в жизнь выбранного решения.

2)      Во-вторых, риск понимается как "образ действий в неясной неопределенной обстановке" или как "ситуативная характеристика деятельности ее исхода и возможных неблагоприятных последствий в случаях неуспеха". Итак, в данном варианте под риском принято понимать либо возможность потерь, либо "действие на удачу".

)        Третий подход к пониманию риска предлагается американским экономистом Френком Найтом. Он определяет риск, как возможности положительного (шанс) и отрицательного (ущерб, убыток) отклонения в процессе деятельности от ожидаемых значений.

Таким образом, четко заметна тесная связь риска с вероятностью и неопределенностью. Следовательно, чтобы наиболее точно раскрыть категорию "риск", необходимо определить такие понятия, как "вероятность" и "неопределенность".

Термин "вероятность" является фундаментальным для теории вероятностей и позволяет количественно сравнивать события по степени их возможности. Вероятностью события является определенное число, которое тем больше, чем более возможно событие. Вероятность - это возможность получения определенного результата.

Более вероятным считается то событие, которое происходит чаще. В качестве единицы измерения принимают вероятность достоверного события, т.е. такого события, которое в результате какого-либо опыта, процесса деятельности непременно должно произойти. Примером такого события может служить факт получения дохода при реализации продукции, поскольку невозможна такая ситуация, когда предприятие продавало бы продукцию, не имея на нее цены (в конце концов, цена может быть нулевой, в таком случае и доход будет нулевым).

Ф. Найтом было предложено использовать понятия "объективной" (вероятность, базирующаяся на расчете чистоты, с которой происходит данный процесс или явление) и "субъективной" (вероятность, основанная на предположении о возможности получения данного результата) вероятности для обозначения соответственно риска и неопределенности.

Концепция объективных вероятностей строится на интерпретации понятия вероятности как предельного значения частоты при бесконечно большом числе экспериментов, и оценка вероятности производится посредством вычисления частоты, с которой происходит данное событие. Точность измерения объективных вероятностей зависит от объема статистических данных и возможности их использования для будущих событий.

Особую роль в решении рисковых задач играют интуиция менеджера и инсайт.

Интуиция представляет собой способность непосредственно, как бы внезапно, без логического продумывания находить правильное решение проблемы. Интуитивное решение возникает как внутреннее озарение, просветление мысли, раскрывающее суть изучаемого вопроса. Интуиция является непременным компонентом творческого процесса. Психология рассматривает интуицию во взаимосвязи с чувственным и логическим познанием и практической деятельностью как непосредственное знание в его единстве со знанием опосредованным, ранее приобретенным.

Инсайт - это осознание решения некоторой проблемы. Субъективно инсайт переживают как неожиданное озарение, постижение. В момент самого инсайта решение осознается очень ясно, однако эта ясность часто носит кратковременный характер и нуждается в сознательной фиксации решения.

Иначе говоря, субъективная вероятность определяется на основе предположения, основывающегося на суждении или личном опыте, а не на частоте, с которой подобный результат был получен в аналогичных условиях. Отсюда - свободное варьирование субъективных вероятностей, которое объясняется широким спектром различной информации или различных возможностей оперирования одной и той же информацией.

Субъективные вероятности при выполнении некоторых предположений обладают свойствами обычных объективных вероятностей. Поэтому с ними можно производить обычные операции, определяемые в теории вероятностей.

Зависимость от объемов исходной информации, с одной стороны, и зависимость от субъекта, с другой - ведут к тому, что к вероятностной ситуации добавляется неопределенность.

Неопределенность предполагает наличие факторов, при которых результаты действий не являются детерминированными, а степень возможного влияния этих факторов на результаты неизвестна (например, это неполнота или неточность информации).

Условия неопределенности, которые имеют место при любых видах предпринимательской деятельности, являются предметом исследования и объектом постоянного наблюдения экономистов самых различных профилей, а также специалистов других отраслей (юристов, социологов, политологов, психологов и т.п.). Такой комплексный подход к изучению этого явления (неопределенности в бизнесе) связан с тем, что экономические субъекты в процессе своего функционирования испытывают зависимость от целого ряда факторов, которые можно подразделить на:

1)  внешние, непосредственно не связанные с деятельностью организации (законодательство, реакция рынка на выпускаемую продукцию, действия конкурентов и т.д.);

2)      внутренние, связанные с основной и вспомогательной деятельностью организации (компетентность персонала фирмы, ошибочность определения характеристик инвестиционного проекта, кредитного портфеля и т.д.).

Итак, рассмотрев экономическую природу риска можно сделать вывод, что суть "риска" - это неопределенность исхода того или иного события. Понятие "риск" всегда относится, с одной стороны, к будущему событию, а с другой, к тому, что результат этого события может ухудшить настоящее положение объекта. [20, стр. 28] Уровень (степень) риска - это степень возможности возникновения ущерба с учетом стоимости объекта, подвергаемого риску.

В зависимости от уровня риска, его можно разделить на следующие зоны:

-    безрисковую зону - характеризуется отсутствием потерь при совершении операций и получением как минимум расчетной прибыли;

     зону допустимого риска - характеризуется уровнем потерь, не превышающим размер расчетной прибыли;

     зону недопустимого риска - характеризуется уровнем потерь, которые заведомо превышают ожидаемую прибыль и в максимуме могут привести к не возмещенной потере всех используемых в операции средств;

-        зону критического риска - представляет область потерь, достигающих величины, равной собственным средствам банка. [21, стр. 30]

Понятие "риск" употребляется для обозначения как события (опасности), которое является причиной убытков, так и факторов, которые могут повлиять на величину потерь. [22, стр. 49]

Опасность - это первопричина, от которой могут возникнуть убытки. Рассмотрение влияющих факторов имеет большое значение, когда банк решает - принимать или нет некий риск, и какое вознаграждение (премию) за него назначить. [23, стр. 52]

В финансово-кредитном словаре банковский риск трактуется как "опасность потерь, вытекающих из специфики банковских операций, осуществляемых кредитными учреждениями". [18, стр. 69] Исходя из этого, можно представить общее понятие банковского риска. Риск в банковской практике - это опасность (возможность) потерь банка при наступлении определенных событий.

Но можно привести и более широкое определение, которое, на наш взгляд, будет с большей точностью характеризовать сущность банковского риска. Под банковским риском следует понимать вероятность, а точнее угрозу потери банком части своих ресурсов, недополучение доходов или произведение неэффективных расходов в результате осуществления определенных финансовых операций. [19, стр. 20]

Итак, риск это ситуативная характеристика деятельности банка, отображающая неопределенность ее исхода и возможные неблагоприятные последствия в случае неуспеха. Риск выражается вероятностью получения таких нежелательных результатов, как потеря прибыли и возникновение убытков вследствие неплатежей по выданным кредитам, сокращения ресурсной базы и т.д. Но, в то же время, чем ниже уровень риска, тем ниже и вероятность получить высокую прибыль.

Далее мы остановимся на исследовании различных взглядов на классификацию банковских рисков. Следует отметить, что существует множество подходов в классификации рисков, в соответствии с которыми можно составить дерево рисков. Так, например, Т.В. Осипенко выделяет следующие виды рисков: системный, страновый, кредитный, инвестиционный, валютный, процентный, операционный, ликвидности, концентрации, правовой, рыночный риск репутации, злоупотреблений, технологический и другие. [24, стр. 29]

А.Р. Кулмагамбетов классифицирует риски по видам заемщиков (корпоративный клиент, банк, частное лицо и т.д.); риски, связанные с конкретными видами финансовых инструментов (акции, облигации, вексель, долговое обязательство, форвард и пр.) и банковских операций (кредитный, процентный, валютный, инвестиционный). Кроме того, он разделяет внутренние риски, связанные с внутренней средой банка, и внешние, в т.ч. системные риски, связанные с внешними условиями деятельности банка. Совокупный банковский риск отражает полную величину риска банка. [25, стр. 20]

Л. Давыдова и Д. Райманов предлагают выделять следующие виды банковских рисков: кредитный, процентный, валютный, ценовой, операционный риск, риск потери ликвидности, страновой (трансфертный) риск, правовой риск, репутационный. [26, стр. 423-425]

Согласно Инструкции о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня, разработанной АФН [26], основными видами рисков, возникающих при осуществлении ими своей деятельности, являются:

1)      валютный риск - риск возникновения расходов (убытков), связанный с изменением курсов иностранных валют при осуществлении банком своей деятельности;

2)      кредитный риск - риск возникновения расходов (убытков) вследствие нарушения клиентом первоначальных условий договора (контракта) по исполнению им взятых на себя денежных обязательств при проведении банковских заемных, лизинговых, факторинговых, форфейтинговых, операций по выдаче банковских гарантий и других операций;

)        процентный риск - риск возникновения расходов (убытков) вследствие неблагоприятного изменения ставок вознаграждения;

)        инвестиционный риск - риск возникновения расходов (убытков) вследствие обесценения капиталовложений, связанных с изменениями их доходности;

)        операционный риск - риск возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников, функционирования информационных систем и технологий, а также вследствие внешних событий;

)        ценовой риск - риск возникновения расходов (убытков) вследствие изменения стоимости портфелей финансовых инструментов, возникающий в случае изменения условий финансовых рынков, влияющих на рыночную стоимость финансовых инструментов;

)        риск потери ликвидности - риск, связанный с возможным невыполнением либо несвоевременным выполнением банком своих обязательств;

)        репутационный риск - риск возникновения расходов (убытков) вследствие негативного общественного мнения или снижения доверия к банку;

)        правовой риск - риск возникновения расходов (убытков) вследствие нарушения банком требований законодательства Республики Казахстан либо несоответствия деятельности банка его внутренним документам, а в отношениях с нерезидентами Республики Казахстан - законодательств других государств;

10)    рыночный риск - представляет собой возможность потерь, связанных с неблагоприятными движениями финансовых рынков. Рыночный риск имеет макроэкономическую природу, то есть источниками рыночных рисков являются макроэкономические показатели финансовой системы;

11)    страновой (трансферный) риск - риск возникновения расходов (убытков) вследствие неплатежеспособности или нежелания иностранного государства или резидента иностранного государства отвечать по обязательствам перед банком по причинам, не связанным с финансовыми рисками. [3, 4]

На основе обобщения имеющихся в экономической литературе и официальных источниках классификаций [3, 4, 16, 17, 20-30], представим обобщающую схему банковских рисков. При этом, на наш взгляд, целесообразно представить схему, отражающую риски как с точки зрения внешней, так и внутренней среды банка (рисунок 1). Хотя здесь следует отметить, что такое деление в некоторой степени является весьма условным, так как, например, кредитный риск, отнесенный в представленной классификации к внешней среде, может быть вызван и внутренней средой банка, а именно существующей кредитной политикой банка, организацией кредитного процесса и кредитного мониторинга, человеческим фактором.

Примечание - составлено автором на основе [3, 4, 16, 17, 20-30]

Рисунок 1. - Виды рисков с точки зрения внешней и внутренней среды банка

Операционный риск - риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников, функционирования информационных систем и технологий, а также вследствие внешних событий. Операционный риск включает в себя:

-риски, связанные с неопределенной, неадекватной организационной структурой банка, включая распределение ответственности, структуру подотчетности и управления;

риск, вызванный неадекватными стратегиями, политиками и/или стандартами в области информационных технологий, недостатками в использовании программного обеспечения;

риски, связанные с неадекватной информацией либо её несоответствующим использованием;

риски, связанные с несоответствующим управлением персоналом и/или неквалифицированным штатом банка;

риски, связанные с неадекватным построением бизнес-процессов либо слабым контролем соблюдения внутренних правил;

риск, вызванный непредвиденными или неконтролируемыми факторами внешнего воздействия на операции банка;

риск, связанный с изменениями законодательства, либо риск, связанный с наличием недостатков или ошибок во внутренних документов/правилах, регламентирующих проведение деятельности банка;

-риск, связанный с неверными действиями руководства и персонала банка, который может негативно отразиться на деятельности банка, мошенничество;

Исходя из составляющих элементов операционного риска, можно сделать вывод, что его в той или иной степени несут все банки, так как каждый из них может столкнуться с ошибками и сбоями в работе информационных систем и персонала.

Базельский комитет предлагает включать в операционный риск четыре основных вида рисков, сгруппированных в зависимости от источника потерь:

риск персонала (намеренные действия сотрудников компании, которые могут нанести ущерб ее деятельности);

риск бизнес-процессов (ошибки и некорректное исполнение операций в ходе осуществления бизнес-процессов либо исполнения должностных обязанностей);

риск систем (нарушение текущей деятельности в результате сбоя информационных систем или недоступности сервиса);

риск внешней среды (атаки либо иные угрозы, исходящие из внешней среды, которые не могут управляться компанией и выходят за рамки ее непосредственного контроля).

В Инструкции о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня [26] классификация риска предлагается с точки зрения возможных убытков под влиянием внутренних и внешних факторов, к которым может привести операционный риск.

Внутренними и внешними источниками (причинами) операционного риска являются:

случайные или преднамеренные действия физических или юридических лиц, направленные против интересов кредитной организации (риск недобросовестного исполнения персоналом банка своих служебных обязанностей, риск перегрузки персонала, риск ошибок при вводе данных, риск предоставления клиентом неверной или неполной информации и т.д.);

несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих (риск неверной организационной структуры банка); порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете (риск методологии, правовой риск и т.д.); несоблюдение служащими установленных порядков и процедур; неэффективность внутреннего контроля;

сбои в функционировании систем и оборудования (технологический риск);

неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации (риск хищения активов, риск несанкционированного проникновения в процессы банка и т.д.);

прочее.

Операционные потери могут быть в виде:

) Прямых потерь:

снижения стоимости активов;

досрочного списания (выбытия) материальных активов;

денежных выплат в виде судебных издержек, взысканий по решению суда, штрафных санкций надзорных органов и т.д.;

денежных выплат клиентам и контрагентам, а также служащим кредитной организации в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине кредитной организации;

затрат на восстановление хозяйственной деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;

прочие затраты, связанные с устранением причин возникновения и реализации риска.

) Косвенных потерь (не выражающихся напрямую в денежном эквиваленте, но косвенно влияющих на финансовый результат):

потеря деловой репутации;

недополученные запланированные доходы;

приостановка деятельности в результате неблагоприятного события (технологический сбой);

отток клиентов и т.д.

) Ожидаемых потерь - обычно реализующихся в результате частых событий, наносящих небольшой урон, поддающхеся прогнозированию с приемлемой точностью.

) Непредвиденных потерь - реализующихся вследствие относительно редких событий, наносящих чувствительный урон (труднопрогнозируемые потери), в том числе и катастрофический (маловероятные события, критический урон).

В казахстанской практике областью повышенного операционного риска являются информационные технологии, которые составляют значительную долю в структуре общих расходов многих финансовых организаций, в том числе коммерческих банков.

1.2 Методы оценки и измерения операционного риска

В современной мировой банковской практике, ориентированной на международные стандарты, руководствуются документами, разработанными Базельским комитетом. Согласно Базельскому соглашению, операционный риск определяется как важный риск, с которым сталкиваются банки, и банкам предписывается держать определенную сумму капитала, чтобы защитить себя от связанных с ним убытков. В рамках схемы Базель-III операционный риск определяется как "риск убытков в результате неадекватности внутренних процедур или их несоблюдения, действий людей и систем, либо внешних событий". Это еще одна сфера, где Комитет разработал новый подход к регуляторному капиталу. Комитет опирается на быстро развивающиеся внутренние методики оценки риска банками и стремится заинтересовать банки в том, чтобы они усовершенствовали эти методики, а в более широком контексте - улучшили со временем управление своим операционным риском.

В развиваемом Базельским комитетом подходе операционный риск предлагается оценивать величиной убытков (ожидаемых и непредвиденных потерь), которые должны быть "покрыты" соответствующим размером отчисляемого на операционный риск капитала ORC. Из соглашения по капиталу, принятого Базельским комитетом, следует следующее соотношение:

ОР = 1/k Ч размер капитала, отчисляемого на ОР, (1)

где:

ОР - операционный риск;- коэффициент, равный 0,08, устанавливается органом банковского надзора.

То есть с точностью до константы операционный риск измеряется размером капитала, отчисляемого на операционный риск. Размер капитала ORC рассчитывается исходя из принятой банком методики расчета.

Базельский комитет предлагает три подхода к расчету операционного риска и размера капитала на его покрытие:

1) базовый метод показателей (BIA - Basic Indicator Approach);

) стандартизованный метод (TSA - Standardised Approach);

3) усовершенствованные методы измерения (группа методов AMA - Advanced Measurement Approaches).

Выбор соответствующей методики остается за банком. По мере своего развития банки могут продвигаться от простой методики BIA к более сложной AMA, и даже разработать свою (внутрибанковскую) методику. Однако для этого банк должен получить разрешение надзорного органа - в нашей стране это Национальный Банк Республики Казахстан (НБ РК).

Рассмотрим их суть.

) Подход на основе базового индикатора (базовый метод показателей).

Данный подход основан на прямой зависимости уровня операционного риска (коэффициента резервирования) от масштабов деятельности организации (валового дохода).

Банки, применяющие базовый метод показателей BIA, должны отчислять (резервировать) определенный объем капитала на операционный риск - в размере фиксированного процента (обозначаемого буквой α) от среднего годового валового дохода за последние три года. Сумма отчисляемого капитала (Operational Risk Capital - ORC) может быть выражена следующим образом:

ORC = α Ч GI, (2)

где:

α = 15% (значение, установленное Базельским комитетом);> 0 - годовой валовой доход (базовый индикатор), усредненный за 3 последние года:

GI = ΣIi/n, (3)

где:- количество лет, в которых значения валового дохода были положительными.

Валовой доход (GI) определяется как сумма чистого процентного дохода и чистого непроцентного дохода:

Условия расчета валового дохода:

в GI сформированные резервы не учитываются (т.е. резервы не уменьшают величину валового дохода);

операционные расходы, включая плату за аутсорсинг, не учитываются (т.е. они не уменьшают величину валового дохода);

реализованные прибыль или убытки от продажи ценных бумаг, классифицируемые как "удерживаемые до погашения" и "имеющиеся в наличии для продажи", не учитываются;

GI не должен включать в себя результат от разовых операций и доход, полученный от страхования.

В настоящее время коэффициент резервирования капитала под операционный риск составляет 15% от средней величины валового дохода за три последних года.

) Стандартный подход (стандартизованный метод)

2.1 Стандартизованная методика TSA

По стандартизованной методике TSA вся деятельность банка классифицируется на восемь производственных линий (бизнес-линий). Наименования стандартных бизнес-линий (с англоязычными аналогами) и их классификация по видам операций и услуг (бизнес-процессов) приведены в таблице 1.

Таблица 1 - Классификация направлений деятельности банка

Аналогично методу BIA по каждой бизнес-линии следует рассчитать валовой доход. Валовой доход представляет собой показатель, отражающий масштаб производственных операций и таким образом - вероятный масштаб подверженности операционному риску каждой из перечисленных бизнес-линии. Размер необходимых отчислений капитала на каждую из бизнес-линий рассчитывается путем умножения валового дохода на коэффициент (обозначенный буквой β). Следует отметить, что по стандартизованной методике валовой доход по отдельной бизнес-линии может иметь отрицательное значение.

Общая сумма отчисления капитала рассчитывается путем сложения сумм отчислений по каждой бизнес-линии. Общую сумму отчисления капитала под операционный риск в году t можно выразить следующим образом:

где:_i^t-j - валовой доход i-ой бизнес-линии в (t - j) году;

β_i - коэффициенты, установленные Базельским комитетом для стандартных бизнес-линий.

Значения оцениваемого капитала должны быть усреднены за 3 предыдущие года на момент расчета t.

Базельский комитет предлагает следующие коэффициенты резервирования в разрезе восьми основных видов деятельности банка (таблица 2).

В отличие от подхода на основе базового индикатора, стандартный подход позволяет учитывать особенности возникновения операционного риска в различных направлениях деятельности и определяет размер резервируемого капитала от валового дохода в разрезе стандартных видов деятельности банка.

2.2 Альтернативный стандартизованный метод

Согласно положениям Базельского комитета, надзорный орган может разрешить банку использовать альтернативный стандартизованный метод (Alternative Standardised Approach - ASA) при условии, что банк сумеет убедить надзорный орган в том, что такой метод дает более совершенную базу для расчетов.

Таблица 2 - Коэффициенты резервирования при возникновении операционного риска

Методика расчета отчислений капитала на операционный риск такая же, как и по стандартизованной методике, за исключением двух видов производственной деятельности банка: розничных банковских операций (т.е. операций с физическими лицами) и коммерческих банковских операций (т.е. операций с юридическими лицами). По этим бизнес-линиям вместо валового дохода (как индикатора риска) применяются кредиты. Значения β-коэффициентов по банковским операциям с физическими и юридическими лицами остаются такими же, как и при стандартизованной методике.

Отчисления капитала на операционный риск по методу ASA в отношении операций с физическими лицами (при такой же базовой формуле для операций с юридическими лицами) можно выразить следующей формулой:

₃ = β₃ Ч m Ч LA₃, (6)

где:₃ - размер отчисляемого капитала по операциям с физическими лицами;

β₃ - коэффициент для операций с физическими лицами;₃ - общая сумма выданных кредитов (не взвешенных по степени риска), усредненные за последние три года;= 0,035 - установленный коэффициент.

В методе ASA общая сумма выданных кредитов по операциям с физическими лицами состоит из общих снятых с кредитных линий сумм по следующим кредитным портфелям: розничному (по физическим лицам), кредиты малым и средним предприятиям (трактуемые как розничные), и наконец, приобретенная розничная дебиторская задолженность.

Для банковских операций обслуживания юридических лиц общая сумма выданных кредитов состоит из сумм по следующим кредитным портфелям: корпоративному, суверенному, банковскому, специализированному кредитованию, кредиты малым и средним предприятиям (трактуемые как корпоративные кредиты) и приобретенная корпоративная дебиторская задолженность. Сюда следует включить также балансовую стоимость ценных бумаг, находящихся на учете в банке.

Как и по стандартизованной методике, общая сумма отчисляемого капитала ORC рассчитывается путем суммирования отчислений регуляторного капитала по каждой из восьми бизнес-линий банка.

) Передовые подходы (усовершенствованные методы измерения).

Передовые подходы к оценке операционного риска предполагают использование собственных моделей анализа риска.

Основу группы "усовершенствованных" методов AMA составляют подходы, развиваемые в рамках моделей IMA (Internal Measurement Approaches), LDA (Loss Distribution Approaches) и экспертных моделей SA (Scorecard Approaches).

Подход, основанный на усовершенствованных методах измерения операционного риска, включает три основных этапа.

Этап 1. Выделение в банке i = 1, 2, … 8 типовых направлений деятельности (как в стандартизованном методе).

Этап 2. Определение типового вида убытков (категорий риска) j = 1, 2, … 7 для каждого направления i.

Этап 3. Расчет размера резервируемого капитала в соответствии с соотношением:

ORC = ΣiΣj(γ(i,j) Ч EI(i,j) Ч PE(i,j) Ч LGE(i,j)) = ΣiΣj(γ(i,j) Ч EL(i,j)), (7)

EI (i,j) - индикатор подверженности операционному риску ("стоимость под риском");(i,j) - вероятность проявления случаев операционных потерь;(i,j) - уровень потерь (по терминологии AMA - "тяжесть потерь" на один негативный случай) в случае реализации риска;(i,j) - размер ожидаемого убытка (средние потери за 1 год);

γ (i,j) - коэффициент непредвиденных убытков.

Базельским комитетом стандартизованы семь категорий операционного риска:

) внутреннее мошенничество;

) внешнее мошенничество;

) трудовые отношения и безопасность труда;

) клиенты, банковские продукты, деловая практика;

) нанесение ущерба материальным активам;

) управление процессами;

) сбой систем.

Индикатор EI (Exposure Indicator) представляет собой "заменитель" размера рисковой стоимости. Базельский комитет предлагает стандартизовать EI для бизнес-линий и вида убытков. В качестве таких индикаторов банками рассматриваются: валовой доход, среднегодовые активы, фонды под менеджмент, зарплата сотрудников и др.

Параметр PE (Probability of loss Event) представляет собой вероятность наступления негативных событий, связанных с убытками ("частота событий" за период времени t), а LGE (Loss Given Event) представляет собой долю потерь (от "стоимости под риском"), которая соответствует установленному негативному событию. Если PE может быть соотнесена с величиной (число случаев потерь)/(число транзакций), то LGE оценена как средняя величина отношения: (объем потери)/(объем транзакции).

Коэффициент γ не может быть определен на основе только внутренних статистических данных о потерях, собранных банком. Нужны внешние статистические данные по всей банковской отрасли. На рисунке 2 приведена ситуация, в которой частота редких, но больших по размеру потерь (так называемый "хвост" распределения потерь) может быть оценена лишь с привлечением внешней информации.

Рисунок 2. - Пример распределения величины убытков от операционного риска

Условия применения модели:

временной интервал при расчете операционного риска t = 1 год;

уровень доверия в расчетах - 99%, т. е. сумма ожидаемых и непредвиденных потерь рассчитывается с вероятностью 99%;

минимальный размер резервируемого капитала определяется с учетом ожидаемых и непредвиденных убытков (ожидаемые и непредвиденные потери с вероятностью 99% покрываются капиталом, если ожидаемые убытки не учтены сформированными банком резервами "на прочие потери");

величина периода T накопленных данных должна составлять не менее 5 лет.

Ввиду постоянного усовершенствования аналитических методов оценки операционного риска Базельский комитет не детализирует методику AMA оценки операционного риска в целях расчета регуляторного капитала. Каждому банку предлагается самостоятельно развивать и совершенствовать методику на основе закрепленных требований и принципов. При этом банки могут применять свои модели оценки операционного риска с разрешения надзорных органов при условии, что они удовлетворяют определенным количественным и качественным критериям. Внутрибанковские методы оценки риска должны основываться на статистике банка по операционным потерям в течении как минимум 5 лет.

Квалификационные критерии для применения усовершенствованного метода измерения операционного риска (AMA) представлены ниже. Банк должен, как минимум, доказать надзорному органу следующее.

. В банке решены задачи организационного управления операционным риском:

совет директоров и правление участвуют в контроле политики управления операционным риском;

в банке имеется концептуально здравая и добросовестно реализуемая система управления рисками;

у банка есть достаточно ресурсов для применения выбранной методики на основных бизнес-направлениях (бизнес-линиях), а также в сфере контроля и аудита.

. Выполнены требования обоснованности выбранного метода:

метод охватывает потенциально тяжелые случаи убытков (99,9% распределения потерь);

банки должны разработать и соблюдать строгие процедуры создания модели операционного риска и независимой проверки модели.

. В применяемой системе оценок операционного риска должны быть определенные ключевые признаки:

применение внутренних статистических данных по случаям убытков и величинам потерь;

использованы субъективные суждения экспертов о вероятности и масштабах убытков;

система измерения ОР должна использовать соответствующие внешние данные (государственные данные или сводные данные по банковской системе), особенно когда есть основания считать, что банк несет хотя и редкие, но потенциально ощутимые потери.

Следует подчеркнуть, что применяемая в банке система оценки операционного риска, вне зависимости от выбранной методики, должна помочь распределить капитал на операционный риск по всем бизнес-линиям так, чтобы появились стимулы улучшить управление операционным риском по всем направлениям деятельности банка.

В соответствии Инструкцией о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня [26] для казахстанских банков рекомендуются следующие методы оценки риска.

) Статистический анализ распределения фактических убытков.

Методы, основанные на применении статистического анализа распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков исходя из размеров операционных убытков, имевших место в данной кредитной организации в прошлом. При применении этих методов в качестве исходных данных рекомендуется использовать информацию, накопленную в аналитической базе данных о понесенных операционных убытках.

) Балльно-весовой метод (метод оценочных карт).

Сущность балльно-весового метода заключается в оценке операционного риска в сопоставлении с мерами по его минимизации. На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели, и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок. Применение балльно-весового метода (метода оценочных карт) наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении операционным риском.

) Моделирование.

В рамках метода моделирования на основе экспертного анализа для направлений деятельности кредитной организации, отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая затем используется для оценки операционного риска.

.3 Методы управления операционным риском и способы его минимизации

Под системой управления операционными рисками (СУОР) понимают комплекс организационных, методических, автоматизированных средств по предупреждению возможных операционных рисков, минимизацию отрицательных последствий и недопущение повторов их реализации.

Система управления операционным риском намного сложнее, чем, например, рыночным или кредитным, так как:

операционный риск является внутренним риском для финансовой организации, поэтому крайне сложно создать универсальный перечень причин возникновения данного вида риска;

операционный риск очень сложно оценить количественным методом.

) Систему управления операционными рисками составляют следующие элементы:

2) Идентификация и оценка категорий источников операционных рисков.

) Составление каталога процессов и операций банка.

) Идентификация проявления тех или иных категорий операционных рисков и оценка их уровня на конкретных процессах и операциях.

) Выявление критических зон риска (или групп операций с повышенным уровнем риска).

) Разработка и реализация мероприятий по ограничению и нейтрализации выявленных критических зон риска.

) Внедрение инструментов контроля выявленных стандартных видов операционного риска, повышение надежности отдельных элементов процессов и технологий.

) Разработка предложений по организационным преобразованиям с целью оптимизации осуществляемых бизнес-процессов, включающих документооборот, информационные потоки, распределение функций, полномочий и ответственности.

Как правило, решая задачи управления операционными рисками, банки преследуют следующие цели:

) Обеспечить предоставление информации надзорным банковским органам.

) Повысить международные рейтинги.

) Минимизировать операционные риски.

) Снизить требования на капитал на покрытие рисков.

) Оптимизировать страхование рисков.

В современной банковской практике применяют следующие подходы к изучению / оценке операционных рисков:

. "Сверху вниз" - при данном подходе оцениваются последствия реализации риска (т.е. прямые и косвенные затраты). Осуществляется на уровне руководства.

Для идентификации рисков используется база данных событий, повлекших за собой убытки (либо потенциальные убытки). Риски объединяются в группы в соответствии с классификацией, после чего анализируются. Анализ, как правило, проводится на среднем или высшем уровне управления, что может включать не только уровень высшего руководства, но и отдельные подразделения, имеющие полную информацию о деятельности организации.

Количественные методы при данном подходе используются для оценки итогового влияния рисков, для чего создается система индикаторов, по которой можно судить о динамике влияния рисков и ведется постоянный мониторинг.

. "Снизу вверх" - при данном подходе оцениваются причины возникновения риска. Осуществляется на уровне отдельных подразделений.

Идентификация рисков при таком подходе происходит в процессе взаимодействия путем оценки реакции работников, процессов, технологий на внутренние или внешние воздействия. Сложность подхода состоит в том, что существует целая сеть взаимодействий, в результате которых могут реализоваться операционные риски. Таким образом, основой идентификации рисков является декомпозиция организации и всей ее деятельности на конечные бизнес-процессы. Такой подход позволяет создать иерархическую структуру процессов, на основании которой можно определить ключевые места контроля.

Для организации наиболее эффективной работы по управлению операционными рисками разумно использовать одновременно оба описанных подхода. При этом стоимость мероприятий по оценке, минимизации и контролю рисков не должна превышать доходности самого процесса.

Основные принципы управления операционными рисками, описывающие необходимые действия, которые должны предпринимать руководство и сотрудники банка, были сформулированы Базельским комитетом в рамках документа Sound Practices for the Management and Supervision of Operational Risk ("Оптимальная практика управления и надзора за операционными рисками"), финальная версия которого выпущена в феврале 2003г. С тех пор и вплоть до появления "Базеля II" в июне 2006г. (International Convergence of Capital Measurement and Capital Standards: A Revised Framework - "Международная конвергенция измерения капитала и стандартов капитала: новые подходы") они не претерпевали кардинальных изменений.

Следует отметить, что Sound Practices был не первым базельским документом, где упоминались операционные риски и предлагались рекомендации по управлению ими. Однако именно в нем перечислены инструменты, известные сейчас банковским специалистам по рискам (вне зависимости оттого, какие подходы к управлению предпочитают в банке). К ним относятся:

1) Идентификация рисков или "Ведение реестра рисков".

) (Self-)assessment. Экспертная оценка или самооценка рисков, реализуемая обычно с помощью анкетирования.

) Мэппинг или классификация рисков, осуществляемая в рамках ведения их реестра.

) Индикаторы рисков.

) Количественное измерение операционного риска: частота событий (frequency), величина потерь (severity) как меры риска, использование как внутренних, так и внешних данных о потерях.

Принципы, сформулированные в рамках этого документа, легли в основу качественных критериев управления операционными рисками по "Базелю II" и продолжили свое развитие в "Базеле III".

Говоря о "продвинутом" подходе к управлению операционными рисками (Advanced Measurement Approach. AMA), часто подразумевают, в первую очередь, расчет капитала на основе данных о потерях (в противоположность базовому индикативному и стандартизованному методам, где для расчета используют доходы). Однако значение имеют качественные критерии и применение самих методик и принципов управления рисками, а не только расчет капитала.

Что же касается расчета капитала на основе данных о потерях, Базельский комитет предложил две основные методики.

1. Метод внутреннего измерения (Internal Measurement Approach. IMA), где ожидаемые потери есть произведение индикатора подверженности, вероятности события (РЕ - Probability of Event, аналог PD для кредитных рисков) и потерь, если событие произойдет (LGE - Loss Giving Event, аналог LGD), по направлениям деятельности и типам потерь, как для кредитных рисков. В этом случае минимальный капитал рассчитывается как сумма произведений ожидаемых потерь на коэффициенты масштабирования (гамма) по направлениям деятельности и типам риска.

. Подход на основе распределения потерь (Loss Distribution Approach, LDA), где используется стохастическое моделирование ("симуляции" на основе метода Монте-Карло), основанное на распределениях частоты и величины потерь.

Вторая методика приобрела наибольшую популярность в мире среди банков, использующих или стремящихся перейти на "продвинутый" подход, поэтому исследуем ее более подробно. Основные шаги расчета схематично приведены на рис. 3.

Рисунок 3. - Схема расчета регулятивного капитала методом LDA

Данные о потерях за пять лет (как минимум) разносятся по ячейкам "базельской" матрицы (матрицы, сформированной с помощью стандартной базельской классификации) из восьми направлений деятельности и семи видов рисковых событий. Для каждой ячейки, если это возможно с точки зрения наличия и достаточности информации, на основе эмпирических данных подбирают теоретические функции распределения частоты событий и величины потерь. При этом за основу лучше брать именно внутренние данные о потерях банка везде, где их достаточно, дополняя их внешними в случаях нехватки, а также внешними данными о крайне редких событиях для моделирования "хвостов" распределений. Подобранные теоретические распределения могут быть составными, т.е. на разных диапазонах частот и величин потерь могут использоваться разные функции распределения.

На следующем этапе на основе этих распределений для каждой ячейки матрицы производится многократный "розыгрыш" значений частоты и величины потерь методом Монте-Карло, позволяющий построить общее распределение потерь. Из полученного расчета отсекается необходимый квантиль (на уровне 99,9%), который определяет величину VaR и капитала, вычисляемого на его основе. Paсчет VaR, как правило, делают для каждой ячейки, для каждого направления деятельности и суммарный - для всей матрицы. При этом возможны разные методы получения суммарного VaR: как взвешенной с учетом корреляции суммы по отдельным ячейкам, так и расчета на основе вычислительно смоделированного суммарного распределения потерь.

Помимо данных о непосредственно реализовавшихся потерях, внутренних или внешних, рекомендуется вводить экспертные мнения, чтобы учесть сценарии редких событий (они тоже могут использоваться для моделирования "хвостов" распределений). При возможности стоит использовать ключевые индикаторы риска (измеримые влияющие факторы), если между ними и уровнями частоты или величины потерь существует корреляция для того или иного вида рисков и направления деятельности. В зависимости от текущего и прогнозного уровня индикатора и коэффициента его влияния он может как уменьшать, так и увеличивать величину VaR для конкретной ячейки и матрицы в целом. Отметим, что для внешних данных допускается масштабирование на размер организации (по активам, капиталу, количеству сотрудников или другим доступным параметрам) при их применении в расчете, чтобы верно использовать величины "чужих" потерь при моделировании "своих".

Смысл операционного риск-менеджмента - обеспечить необходимое качество всех операций и процессов. Важной составляющей системы управления операционным риском является минимизация возможных операционных потерь. Она обеспечивается с помощью:

комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным потерям, и (или) на уменьшение (ограничение) размера потенциальных операционных потерь;

мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок;

планирования и разработки сценариев на случай непредвиденных ситуаций;

обеспечения оперативного восстановления бизнеса в случае наступления чрезвычайных ситуаций;

разработки и реализации мероприятий по ограничению и нейтрализации выявленных критических зон риска;

развития банковских технологий, правил и процедур совершения операций;

защиты информации;

развития системы автоматизации и прочих мер.

В целях мониторинга операционного риска применяется система индикаторов уровня операционного риска (фиксирования событий), т.е. показателей, которые связаны с уровнем операционного риска, принимаемого кредитной организацией. При определении индикатора риска формулируется гипотеза о существовании в банке объективного измеримого количественного показателя риска, который характеризует определенную группу потерь. В качестве индикаторов уровня операционного риска могут быть использованы:

сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты или объемов;

текучести кадров;

частота допускаемых ошибок и нарушений;

прочее.

Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.

Основным компонентом операционного риска, подлежащего регулированию, является совершение несанкционированных операций, ошибки в работе персонала, нарушения и сбои в работе компьютерных сетей и оборудования.

В целях минимизации операционного риска, а также исключения возможных убытков (потерь) в банке на постоянной основе должно осуществляться выявление и сбор данных о внутренних и внешних факторах операционного риска. На основе полученной информации формируется аналитическая база данных о понесенных операционных убытках, где отражаются сведения о видах и размерах операционных убытков в разрезе направлений деятельности банка, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления. Риск-подразделение банка осуществляет анализ и дает оценку операционного риска. Банк производит оценку операционного риска в соответствии с рекомендациями Базельского комитета по банковскому надзору, а также оценку с использованием методов, рекомендованных либо разрешенных уполномоченным органом.

Целями управления и контроля над операционным риском являются минимизация информационных и финансовых потерь, связанных с отражением банковских операций на счетах бухгалтерского учета, а также адекватностью отражения учетной информации в различных формах отчетности, с эксплуатацией программного обеспечения, использованием в деятельности Банка технических средств и высокотехнологического оборудования при реализации банковских услуг. Управление данной категорией рисков осуществляется через принятие процедурных норм по операциям Банка и утверждения положений структурных подразделений, а также должностных инструкций сотрудников банка с целью разграничения их функций и полномочий.

Одним из инструментов, позволяющих выявить операционные риски, является анализ административно-управленческих расходов на основе данных бухгалтерского или аналитического учета. Предметом данного анализа являются расходы, непосредственно связанные с операционными рисками (штрафы, пени и т.д.), а также операционные расходы (явные или вмененные), возникновение которых не может быть объяснено движениями рынков или кредитными событиями. Анализ расходов позволяет выявить источники операционных рисков, а также дать количественную или статистическую оценку.

Для минимизации операционного риска, как правило, применяют следующие основные инструменты:

разграничение доступа к информации;

разработка защиты от несанкционированного входа в информационную систему;

разработка защиты от выполнения несанкционированных операций средствами информационной системы;

организация контролирующих рабочих мест до исполнения документов;

автоматическое выполнение рутинных повторяющихся действий;

аудит (регистрация и мониторинг) действий пользователей.

Как показало исследование, проведенное в первой части дипломной работы, операционные риски, безусловно, влияют на деятельность банка, однако не всегда учитываются в стратегии его развития. Бесспорным является и тот факт, что реализация указанных рисков влияет на финансовый результат: статистика показывает, что прямые потери могут составлять 5-20% от величины капитала под операционные риски, остальные потери являются скрытыми и носят качественный характер.

Таким образом, отсутствие системы управления операционными рисками приводит к возникновению множества проблем и повышает подверженность кредитной организации операционным рискам.

2. Анализ операционных рисков и способов их минимизации в коммерческих банках (на промере)

Анализ системы управления операционными рисками в банке

Управление операционным риском состоит из его выявления, оценки, мониторинга, контроля и/или минимизации (определение ЦБ РФ). Можно выделить следующие этапы внедрения системы управления операционными рисками:

) классификация рисков банка;

) определение сфер компетенции, функций и ответственности подразделений в управлении ОР;

) сбор данных о размере потерь и вероятности наступления рисковых событий;

) выявление факторов риска по разным направлениям бизнеса (ключевых индикаторов ОР};

) количественная и качественная оценка ОР;

) выбор механизмов контроля за ОР и расстановка приоритетов;

) расчет экономического эффекта от контроля за ОР;

) внедрение системы контроля и отчетности по ОР;

) непрерывный мониторинг ОР.

Ключевым подразделением, отвечающим за разработку и внедрение системы оценки и управления операционными рисками, является соответствующее подразделение в рамках департамента, отвечающего за анализ и управление рисками банка (ДАУР). На рис. 4 представлены основные источники информации, необходимой для работы с операционными рисками.

ДАУР осуществляет комплексный анализ всей поступающей информации, в том числе аудит ее качества и достоверности. Отдельно производится контроль за устранением выявленных операционных рисков, а также их системная оценка в целом по банку. Кроме того, подразделение проводит стресс-тестирование и оценку эффективности системы управления операционными рисками.

Результатом работы ДАУР с массивом данных по операционным рискам являются следующие сведения и мероприятия:

■ еженедельная динамическая оценка ключевых индикаторов операционного риска (КИР);

■ ежемесячный отчет, предоставляемый председателю правления банка;

■ ежеквартальный отчет, представляемый на правлении банка;

■ ежегодный отчет для совета директоров банка;

■ регулярный аудит и изменение внутренних бизнес-процессов банка с целью минимизации ОР;

■ разработка и внесение оперативных дополнений в политику управления OR политику страхования, политику по противодействию внутреннему и внешнему мошенничеству в план действий, направленных на обеспечение непрерывности деятельности и/или ее восстановление (план ОНиВД), в положение о комитете по управлению операционными рисками и т.д. (рис. 5).

Таким образом, в последние годы в казахстанской банковской системе наблюдается "эволюция" ключевых банковских рисков, на управление которыми направлены силы отечественных кредитных организаций. Если в 2008г. основными рисками были рыночный и риск ликвидности, то в 2009г. ключевым становится кредитный риск. В 2010-2011гг. большинство казахстанских банков, переживших острую фазу кризиса, столкнулось с новыми разновидностями рисков - стратегическим и операционным (рис. 1).

Рисунок Эволюция основных банковских рисков в казахстанских банках

Для наиболее эффективного выхода из кризиса и роста капитализации кредитным организациям потребовалась новая среднесрочная стратегия развития бизнеса. Новые стратегии подразумевают предложение новых кредитных продуктов, внедрение новых информационных технологий, наем дополнительного персонала, возврат компетенций по принятию отдельных кредитных решений в регионы и т.д. Как следствие, возникают дополнительные операционные риски, многие из которых были выявлены в кризисный период. В большинстве казахстанских банков управление операционными рисками (ОР) находится в зачаточном состоянии. Таким образом, построение системы мониторинга, оценки и управления операционными рисками является не только важной, но и, по сути, совершенно новой задачей.

3. Направления минимизации операционных рисков в деятельности коммерческих банков

3.1 Способы минимизации операционных рисков

В качестве методов ограничения операционного риска можно предложить:

разделение функций по проведению сделок, которые должны производиться сотрудниками отдельных независимых подразделений, в целях персональной ответственности за каждую операцию и исключения возможности провести финансовую операцию от начала до конца, не уведомив иные подразделения;

создание контрольной среды, то есть наличие встроенной системы контроля в ежедневные операции в целях повторного контроля операций со стороны независимого контролера путем подтверждения или двойного ввода информации;

введение мер операционной, технической и физической безопасности (например, путем ограничения физического и логического доступа к информации с помощью шифрования, паролей и т.д.);

обеспечение хранения, обработки и передачи данных, наличие дублирующих мощностей в телекоммуникационных и вычислительных сетях, обеспечение целостности данных и программного обеспечения;

разработка планов и сценариев действий в чрезвычайных ситуациях и наличие возможности оперативного восстановления бизнеса в целях обеспечения непрерывности финансово-хозяйственной деятельности при совершении банковских операций и сделок;

определение приемлемого уровня операционных рисков, присущих деятельности банка на финансовых рынках, и установление лимитов.

для большинства операций достаточным лимитом будет служить объемный лимит, ограничивающий оборот в рамках той или иной деятельности или объемы вложений в определенные активы / пассивы. Целесообразным может быть лимитирование величин отдельных операций, проводимых под операционным риском;

юридический контроль оформления операций (договоры и прочие документы);

подтверждение сделки контрагентом, т.е. проведение расчетов только по факту получения от контрагента подтверждения сделки по надежным каналам связи;

наблюдение за операционными рисками с целью принятия мер по поддержанию рисков на приемлемом уровне;

контроль правильности, адекватности и полноты применения утвержденных процедур контроля и управления определенным уровнем рисков, а также независимая оценка результатов деятельности;

передача операционного риска третьим лицам путем страхования и аутсорсинга (привлечение специализированной сторонней организации для выполнения отдельных видов работ/услуг) или отказ от осуществления определенных видов сделок.

) Минимизация операционного риска в АБС. Технологический подход.

Известно, что самым слабым звеном в автоматизированных системах при выполнении стандартных (рутинных) процедур является человек (для АБС - операционист), поэтому технологический подход в самом общем виде направлен на снижение риска человеческого фактора при выполнении банковских операций. Основным направлением здесь с точки зрения минимизации операционного риска является максимальная автоматизация процессов управления и контроля информации на стадиях ввода/вывода данных в/из АБС.

Практика борьбы за снижение операционного риска выработала ряд типовых на сегодняшний день подходов, которые реализуются во всех промышленных АБС. Рассмотрим некоторые из них.

Управление правами доступа пользователей - позволяет разграничить доступ к информации в зависимости от компетенции и сферы ответственности конкретного исполнителя. Так, например, можно предоставить право формировать и корректировать реквизиты платежного поручения одному пользователю, в то время как другой пользователь будет иметь только право просмотра. Тем самым снижается риск внесения ошибочных данных неквалифицированным пользователем.

Автоматизированное заполнение документов условно постоянной информацией - минимизирует ручной ввод данных операционистом. При этом используются такие приемы, как:

применение различных настроечных параметров (реквизиты банка, оргструктура, ФИО руководства и т.п.), информация из которых автоматически включается в различные платежные документы, отчеты и другие документы;

справочники-классификаторы с нормативно-справочной информацией (НСИ), которая используется как при заполнении исходящих, так и при контроле входящих документов. Состав таких справочников в АБС достаточно широк, он включает в себя общие классификаторы (ОКВЭД, ОКПО, СОАТО и др.), отраслевые классификаторы, а также ряд международных стандартов (ISO, SWIFT, стандарты международных платежных систем);

шаблоны операций и документов с предварительно заполненными параметрами, например маски счетов, коды документов, коды операций и т.п. Такие шаблоны позволяют избежать полного ручного заполнения документов - достаточно указать сумму и детали платежа. Если учесть, что количество платежных (и других) документов, формируемых в АБС, достаточно велико, а число реквизитов в таких документах тоже немалое, такие шаблоны являются эффективнейшим средством снижения операционного риска;

формализованное описание условий типовых договоров, банковских продуктов (типы операций, процентные ставки, пеня, срочность и т.п.) - также позволяет избежать появления ошибок как при первоначальном вводе договора, так и при последующей его обработке (начисление процентов, пролонгация, закрытие);

реализация протоколов обмена с внешними системами РКЦ, SWIFT, карточными процессингами и др. - исключает ручной набор платежных документов на терминалах соответствующих внешних систем. При этом очень важно обеспечить хранение в АБС формализованных описаний расчетных инструкций контрагентов.

Как видно из контекста, указанные приемы в основном направлены на минимизацию ввода реквизитов непосредственно операционистом за счет использования системной предварительно проверенной информации, хранящейся в базе данных.

Способствует снижению операционного риска и основной принцип СУБД - однократность ввода информации и многократное ее использование в различных приложениях. При этом важным элементом являются выделение и использование типовых (стандартных, ядерных) прикладных процедур, например расчета процентов, в различных функциональных модулях АБС. Здесь же следует отметить важность разработки и использования таких организационно-технических приемов, как:

организация двойного ввода значимой информации;

акцепт выполняемых операционистом операций вышестоящим лицом;

применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

) Минимизация операционного риска в АБС. Функциональный подход.

Перечисленные выше методы снижения операционного риска не претендуют на полноту охвата, главная их особенность - это то, что они могут быть применены для любого реализуемого в АБС банковского продукта. В то же время порядок и правила выполнения банковских операций достаточно жестко регламентируются нормативными документами Банка России, начиная с правил бухгалтерского учета (формирование плана счетов и номеров счетов, выполнение проводок и т.п.) и заканчивая четкими требованиями к геометрии форм выходных документов. Кроме того, существует жесткая регламентация и со стороны внешних систем, с которыми взаимодействует АБС.

Поэтому важнейшим элементом снижения операционного риска является соответствие результатов функционирования программного обеспечения АБС этим внешним требованиям. Другими словами, алгоритмы и их реализация (код программы) не должны содержать ошибок, то есть отличий от заявленной функциональности банковского продукта и от законодательных требований к условиям его реализации.

Минимизация рисков здесь достигается за счет хорошо проработанных промышленных методов разработки ПО, анализ которых не входит в предмет настоящей статьи. Можно лишь отметить, что набирающий в последнее время популярность подход к независимой реализации сервисов в рамках информационных систем (SOA - сервис-ориентированная архитектура), безусловно, способствует минимизации операционного риска. Дело в том, что "монолитное" ПО, в котором одни и те же процедуры используются для реализации различных банковских продуктов, чрезвычайно чувствительно к модификациям - любое вносимое в интересах конкретной функциональности изменение может непредсказуемо отразиться на других функциях. А так как в настоящее время поток нормативных изменений правил выполнения банковских операций и формирования отчетности достаточно интенсивный, то и соответствующие изменения в ПО АБС вносятся практически постоянно.

) Минимизация операционного риска в АБС. Методологический аспект.

В основе функционирования любой автоматизированной информационной системы лежит двоичная логика. Поэтому реализация в виде программного кода возможна лишь для четко формализованных алгоритмов. Ярчайшей иллюстрацией этого тезиса является создание в настоящее время шахматных компьютерных программ, превосходящих шахматистов-профессионалов. В этом нет ничего удивительного - ведь шахматная партия развивается по четким, строго определенным правилам, количество вариантов ходов для каждой фигуры в каждой ситуации также отнюдь не бесконечно. Поэтому формализованное описание правил в виде программного кода вполне осуществимо, а количество анализируемых вариантов зависит от быстродействия вычислительных средств. А так как компьютер не устает и не "зевает", то у него есть преимущество перед человеком.

Возвращаясь к операционным рискам в АБС, в этой связи следует отметить огромное значение для их минимизации методологического обеспечения, под которым здесь понимается законодательная база. В самом деле, чем четче прописаны правила выполнения операций в законах, инструкциях, распоряжениях и других нормативных документах, тем меньше риск возникновения ошибок при реализации банковского продукта в АБС.

К сожалению, текущая ситуация далека от идеала. Так, например, задуманная однозначная идентификация физических и юридических лиц по ИНН не дала должного результата. Из-за этого разработчики АБС вынуждены изобретать свои собственные эвристические алгоритмы идентификации клиентов, которые не всегда срабатывают правильно.

Другим примером являются правила формирования документа "Платежное поручение". В свое время эти правила были дополнены порядком формирования полей для налоговых реквизитов. Однако такой важный реквизит, как НДС, был оставлен в неструктурированном поле "Назначение платежа", причем его печать в выходной форме необходимо осуществлять с новой строки. Эту ситуацию каждый разработчик ПО также решает по-своему.

Таких примеров можно привести достаточно много. Но эти проблемы в процессе эксплуатации постепенно решаются также эмпирическим путем. В настоящее время в связи с практикой применения Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" рассматриваемый здесь методологический аспект приобретает особое значение.

Практически во всех АБС появился дополнительный функционал для реализации положений упомянутого Закона и связанных с ним нормативных актов Банка России и других правительственных органов власти:

идентификация клиентов, установление и идентификация выгодоприобретателей - сбор информации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

выявление операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма;

выявление среди клиентов или участников операций лиц и организаций, причастных к терроризму;

формирование сообщений в уполномоченный орган.

Появились даже автономные программные продукты с такой функциональностью, которые используют сведения, экспортируемые из АБС.

Имеется достаточно большое количество методических разработок, определяющих порядок идентификации клиентов, выявление операций, подлежащих обязательному контролю, протоколы передачи данных в уполномоченный орган.

Вместе с тем и в этих нормативных документах имеются положения, не поддающиеся формализации в рамках АБС. Примерами могут служить группы операций, приведенных в Положении НБ РК и отмеченных кодами 5000 "Иные сделки с движимым имуществом" и 8000 "Сделки с недвижимым имуществом". Так как через банк проходят платежи по указанным сделкам, а в платежных документах пока никак не регламентированы ссылки на такие сделки, то выявить автоматизированным способом такие платежи невозможно, и риск невыявления таких операций достаточно велик. Что это означает для банка - можно легко себе представить.

На практике для выявления операций, подлежащих обязательному контролю, в АБС применяются различные способы фильтрации платежных документов:

по корреспонденции счетов, соответствующих предварительно настроенным шаблонам;

по нахождению суммы платежа в определенных пределах;

по наличию в поле "Назначение платежа" определенных словосочетаний.

Окончательное решение по отбору операций остается за операционистом. Если учесть, что, как правило, количество документов, отобранных по такому сочетанию фильтрующих параметров, бывает достаточно большим, то эффективность такого контроля не достаточно высокая.

3.2 Модель формирования и внедрения системы управления операционными рисками в банке

Организация управления операционными рисками основана на системном подходе. Как уже было рассмотрено ранее, под управлением операционными рисками понимают любую деятельность относительно операционных рисков, в том числе идентификацию, оценку, мониторинг, контроль, разработку мер по снижению уровня операционных рисков, применение инструментов и методов по управлению операционными рисками. Таким образом, термин "управление операционными рисками" чрезвычайно широки означает скорее сферу деятельности. С другой стороны, система управления операционными рисками - это конкретный формализованный набор инструментов и методов.

Данный набор формируется с учетом специфики деятельности банка и призван обеспечить наиболее эффективное управление операционными рисками.

Исходя из полученных результатов теоретического и практического исследования, проведенного в первых двух главах дипломной работы, можно выделить следующие компоненты модели организации СУОР:

планирование внедрения СУОР;

обучение персонала банка и развитие культуры управления операционными рисками;

выявление операционных рисков;

учет и классификация инцидентов операционных рисков;

оценка операционных рисков;

предметный анализ операционных рисков;

решение задач по минимизации (устранению) операционных рисков;

мониторинг и контроль минимизации операционных рисков;

анализ СУОР.

) Планирование внедрения СУОР.

Планирование может выражаться в разработке документа "Концепция управления операционными рисками в рамках общей стратегии кредитной организации". Данный документ должен давать представление об "идеальном" состоянии уровня операционных рисков, к которому следует стремиться, чтобы получить максимальный результат. По мере возможности необходимо конкретизировать способы достижения целей, перечислив плановые задачи (оперативные, тактические, стратегические), которые будут решены в рамках СУОР

) Обучение персонала и развитие культуры управления операционными рисками.

Формирование культуры управления ОР является одной из наиболее сложных задач: на начальном этапе риск-менеджеры, как правило, сталкиваются с сопротивлением и скепсисом персонала.

Обучение персонала отличается от обучения риск-менеджеров. В рамках учебного курса необходимо найти разумный баланс между теорией и практикой, кроме того, следует обеспечить условия, позволяющие сотрудникам проходить обучение без отрыва от выполнения своих непосредственных обязанностей. По окончании учебного курса персонал должен иметь четкое представление о своем праве сообщать, о выявленных операционных рисках, об адресате подобных сообщений, их форме, а также способах мотивации и получения обратной связи по результатам минимизации операционного риска.

Очная форма обучения требует больших трудозатрат на организацию и проведение обучающих мероприятий, при этом объем аудитории сравнительно мал, а темп учебного процесса невысок.

Система дистанционного обучения является более эффективной за счет широкого охвата аудитории (в нее могут входить все сотрудники филиальной сети), незначительных трудозатрат, возможности контролировать состав обучаемых и результаты динамичного учебного процесса.

Развитие культуры управления ОР предполагает не только обучение персонала, но и проведение других мероприятий.

а) разработка нормативных документов, а именно:

раздела в составе политики по управлению рисками, касающегося управления ОР; идеальным вариантом является гармоничное функционирование СУОР в рамках общей системы управления рисками и ее взаимосвязь с другими корпоративными системами управления;

регламента выявления и оценки операционных рисков (положение по операционным рискам);

документов (в соответствии с перечнем нормативной документации), касающихся плана действий, направленных на обеспечение непрерывности деятельности и/или восстановление деятельности банка в случае возникновения непредвиденных обстоятельств;

б) ознакомление сотрудника с регламентом выявления и оценки ОР при приеме на работу (в банке должен быть формализован перечень документов, обязательных для ознакомления при приеме на работу);

в) внесение в раздел "Общие должностные обязанности" должностной инструкции пункта об обязанности каждого сотрудника банка минимизировать операционные риски в рамках своей должности;

г) регулярная рассылка информационных писем, напоминающих о необходимости сообщать о возникших операционных рисках;

д) внесение в реестр управленческой отчетности банка (при наличии такового) формата отчета по операционным рискам;

е) доведение информации о выявленных ОР до ответственных подразделений (владельцев риска);

ж) неперсонифицированный обмен опытом между подразделениями (филиалами) в области управления ОР;

и) внесение в форму сообщения об ОР графы "Предложения по минимизации операционных рисков". Сотрудников, внесших эффективные предложения, после проведения соответствующих мероприятий следует премировать. В данном случае можно провести аналогию с системой инноваций и рацпредложений.

) Выявление операционных рисков.

Важнейшим источником информации об операционных рисках являются сообщения от работников банка (горячая линия). Подобную информацию также получают в результате анализа проводок по операциям бухгалтерского учета (денежные выплаты, добровольно произведенные банком; денежные выплаты, произведенные банком на основании решений уполномоченных государственных органов; досрочное списание (выбытие) материальных активов; повторные затраты; регрессные потери; снижение стоимости активов; счета, отражающие создание резервов на возможные потери, и др.).

Безусловно, необходимо выстраивать взаимодействие со смежными подразделениями, в ходе которого будет происходить обмен конфиденциальной информацией и ее анализ. В числе таких подразделений можно указать следующие:

бизнес-подразделения;

подразделение по информационной безопасности (информационные риски);

маркетинговое подразделение (жалобы клиентов, данные о мониторинге качества обслуживания);

подразделение по информационным технологиям (сведения о сбоях в IT-системах и количестве обращений пользователей в службу технической поддержки);

подразделение по безопасности (инциденты, по которым завершено / ведется расследование, информация о чрезвычайных и аварийных ситуациях);

подразделение по описанию и оптимизации бизнес-процессов банка;

подразделение по банковским технологиям и методологии (существенные операционные риски, источником которых могут быть бизнес-процессы и документы банка);

подразделение финансового мониторинга;

подразделение по работе с персоналом;

юридическое подразделение (информация из области страхования);

служба внутреннего контроля.

В связи с большим количеством бизнес-подразделений и подразделений бэк-офиса одной из важных задач отдела по управлению операционными рисками является грамотное выстраивание информационных потоков в целях эффективного выявления OR

) Учет и классификация инцидентов ОР.

Выявленные инциденты операционного риска необходимо учитывать в специализированной базе данных. Содержание базы может меняться в зависимости от условий работы внутреннего заказчика. Перечислим основные реквизиты базы данных:

дата уведомления об операционном риске;

дата свершения инцидента;

структурное подразделение, в котором произошел инцидент;

описание инцидента;

причина инцидента;

последствия инцидента;

уровень последствий (существенность риска);

объем операции, сумма фактического и возможного убытка, сумма возмещения;

предложения по минимизации операционного риска;

направление деятельности (банковские продукты и услуги);

источник (фактор) риска (1-3 уровень);

принадлежность события крепутационному и информационному риску;

ФИО эксперта (в случае привлечения);

подразделение, отвечающее за минимизацию операционного риска.

При ведении учета операционных рисков можно дополнительно определять степень их влияния на бизнес-процессы (при наличии в кредитной организации системы управления бизнес-процессами), на проекты (при наличии системы управления проектами), на расходы по статьям бюджета (при наличии системы бюджетирования).

Операционные риски можно разделять по уровням: корпоративный уровень, уровень бизнес-единиц, операционный уровень. Взаимосвязь операционных рисков с теми или иными элементами смежных систем управления позволяет вести многогранный учет в соответствии с требованиями законодательства и пожеланиями внутреннего заказчика, а также проводить системный анализ уровня ОР и определять корреляцию между отдельными фактами их реализации.

С целью разделения существенных и несущественных операционных рисков банк может самостоятельно разработать процедуру их классификации. В данной работе авторы не рассматривают такой критерий существенности / несущественности, как денежное выражение риска, поскольку при повышенной интенсивности реализации даже несущественные в денежном выражении риски могут значительно повлиять на работу банка.

Незаменимым помощником при учете и анализе является справочник операционных рисков. Такие справочники составляют на основе результатов опросов страховых компаний, опросов внутри банка, по материалам изданий, специализирующихся на банковских технологиях, по данным базы инцидентов операционного риска.

Стоит отметить, что база инцидентов операционного риска по аналогии с прецедентным правом может являться источником типовых решений, т.е. решение, вынесенное по какому-либо инциденту OR обязательно для всех подразделений организации при рассмотрении ими аналогичных операционных рисков. Данная система дает банку возможность выполнять нормотворческие функции не только в случае отсутствия описания бизнес-процессов, но и при наличии недостаточно четкой нормативной документации.

Для проведения сравнительного анализа необходимо фиксировать ОР сторонних банков, обращаясь при этом к внешним источникам.

Внешние источники позволяют отследить различные отечественные и зарубежные тенденции в сфере операционных рисков. Так, во время кризиса участились кражи денежных средств из банкоматов, кражи со счетов клиентов через систему дистанционного банковского обслуживания (ДБО), при изменении погодных условий (с наступлением морозов) увеличилось количество сбоев в работе банкоматов, возросло число мошеннических действий при кредитовании и т.д. Следует непрерывно изучать тенденции, анализировать текущую ситуацию в кредитной организации и в случае необходимости принимать меры по предупреждению операционных рисков (анализировать защищенность банко-матной сети и систем ДБО, оперативно менять месторасположение банкоматов (при наличии резервных мест), укреплять банкоматы, управлять лимитами загрузки банкоматов, вводить дополнительные способы защиты систем ДБО, обеспечивать страховое покрытие и т.д.). Отметим, что в других отраслях хозяйственной деятельности при наступлении аварии на одном участке автоматически проверяют все другие действующие участки в целях предупреждения повторных аварий. Авторы считают данный подход абсолютно правильным.

Анализ внешних операционных рисков позволяет понять, какие системы защиты той или иной банковской услуги наиболее эффективны, и обеспечить новый банковский продукт надежной системой защиты.

) Оценка операционного риска.

В международной банковской практике применяют следующие методы оценки резерва капитала под операционные риски.

а) Подход на основе базового индикатора (Basic Indicator Approach, BIA).

Упрощенный подход к расчету размера резерва капитала под операционные риски на основе базового индикатора предполагает прямую зависимость уровня операционного риска от масштабов деятельности организации. Естественно, что при этом не учитываются ни внутренние процедуры контроля, ни подверженность риску в различных направлениях деятельности.

б) Стандартный подход (The Standardized Approach, TSA).

Данный подход основан на выделении нескольких типовых направлений деятельности кредитной организации и определении размера капитала, резервируемого по каждому из них. Такой подход является более точным, чем BIA.

в) Альтернативный стандартный подход (Alternative Standardized Approach, ASA).

Отличие данного подхода от стандартного заключается в том, что для таких направлений деятельности, как банковское обслуживание физических и юридических лиц, расчет величины резервов производят не на основании показателя среднего валового дохода, а на основании величины средних остатков на соответствующих балансовых счетах.

г) Балльно-весовой метод (метод оценочных карт)

Для определения величины потенциальных убытков на основании экспертных оценок выбирают наиболее информативные для целей управления операционным риском аналитические показатели и устанавливают их относительную значимость, затем выбранные показатели сводят в специальные таблицы (оценочные карты). Полученные результаты обрабатывают с учетом заданных весовых коэффициентов и сопоставляют по направлениям деятельности кредитной организации, отдельным видам банковских операций и сделок. На основании рассчитанных значений строят карты операционных рисков, наглядно демонстрирующие вероятность появления операционных рисков и размеры возможных потерь по каждому направлению деятельности организации.

д) Статистический анализ распределения фактических убытков.

Методы, основанные на применении статистического анализа, позволяют составить прогноз потенциальных операционных убытков исходя из величины операционных убытков, полученных в прошлом. В ходе применения этих методов в качестве исходных параметров рекомендуется использовать информацию о реально понесенных операционных убытках, накопленную в аналитической базе данных.

е) Моделирование (сценарный анализ).

В рамках метода моделирования (сценарного анализа) величины операционных рисков экспертным путем определяют возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам.

В рамках оценки ОР можно сформировать справочник потерь для рисков, реализация которых не приносит прямых денежных потерь. Экспертным путем можно определить косвенные потери в денежном выражении: час простоя той или иной информационной и платежной системы стоит X тенге, исправление ошибки персонала стоит Y тенге, отказ клиента от дальнейшего обслуживания - Z тенге и т.д. Такой справочник может быть привязан к показателям конкретного филиала (доля выручки, количество процессов, количество персонала и др.), т.к. потери из-за аналогичных инцидентов в небольшом и крупном филиалах могут значительно отличаться.

При отсутствии взаимосвязи потерь с показателями филиалов банка предлагается рассматривать несколько вариантов потерь (минимальные, средние, максимальные). В случае утверждения и размещения данного справочника в открытом доступе с риск-менеджеров будет снята масса вопросов по оцифровыванию потерь в результате инцидентов. Оценка косвенных потерь в денежном выражении позволяет определять приоритеты при минимизации операционных рисков.

Прежде чем приступать к созданию такого справочника, необходимо оценить его необходимость и полезность (например, использование при расчете окупаемости мероприятий (проектов), направленных на минимизацию операционного риска). Справочник необходимо пересматривать с установленной периодичностью.

) Предметный анализ операционных рисков.

Зачастую мы имеем лишь общее и поверхностное описание выявленного операционного риска, и может сложиться обманчивое впечатление, что его можно без труда устранить силами нескольких работников за достаточно короткий срок. Практика показывает, что это не так. Необходимо проводить предметный анализ операционных рисков, представляющий собой не что иное, как функцию бизнес-анализа, т.е. риск-менеджер должен обладать навыками бизнес-аналитика.

Последовательность проведения анализа может быть следующей:

а) анализ наличия / отсутствия нормативной документации (НД); отсутствие или неактуальность НД уже является операционным риском для банка;

б) анализ содержательной части НД (анализ технологий и бизнес-процессов);

в) описание бизнес-процесса (при отсутствии описания) в какой-либо нотации (например, IDEF) и проведение встреч с его владельцами и участниками;

г) сравнение выполнения процесса на практике с описанием в нормативной документации, выявление несоответствий;

д) запрос мнений экспертов, которые в обязательном порядке следует фиксировать и использовать в дальнейшей работе;

е) формирование отчета с предложениями по минимизации операционных рисков.

В некоторых случаях вместо анализа инцидентов операционного риска необходимо проводить служебное расследование - в зависимости от того, какими правами, обязанностями и полномочиями наделены риск-менеджеры банка и как организовано взаимодействие с подразделением безопасности.

При невозможности решения проблемы, выявленной в результате анализа, силами сотрудников данный вопрос передается на более высокий уровень:

путем формирования служебных записок в адрес руководства;

путем вынесения на обсуждение правлением банка;

путем вынесения на обсуждение специализированным коллегиальным органом управления (КОУ) (технологическим комитетом, комитетом по операционным и информационным рискам);

при отсутствии специализированного КОУ - путем сбора информации о действующих коллегиальных органах управления банка и вынесения вопросов минимизации операционных рисков на обсуждение данными КОУ (в рамках полномочий каждого КОУ).

) Решение задач по минимизации (устранению) ОР.

В целях минимизации операционных рисков принимают как стандартные, так и нестандартные решения.

К первым можно отнести принятие несущественного риска (в случае когда затраты на его устранение превышают ожидаемый эффект), а также выставление лимитов, страхование и аутсорсинг процессов (передача рисков сторонним организациям).

По мере развития СУОР все большее применение получают нестандартные решения, т.к. операционные риски разноформатны и охватывают практически всю деятельность банка. В зависимости от трудоемкости, сложности задачи и компетенции риск-менеджеров ОР снижают различными способами:

силами ответственного подразделения (владельца риска);

силами подразделения риск-менеджмента;

Допустим, процесс кредитования в конкретном банке является длительным, дорогим и неэффективным (с высокой долей просроченных кредитов), т.е. банк несет прямые потери (кредитный риск) из-за неправильно выстроенного процесса (операционный риск).

В ходе анализа процесса на соответствие бизнес-логике выявляют его недостатки и конкретизируют операционные риски. Далее разрабатывают варианты мероприятий по оптимизации процесса кредитования и минимизации операционных рисков. Затем реализуют утвержденные мероприятия по повышению прозрачности процесса (в том числе за счет автоматизации), вводят контрольные управленческие процедуры, изменяют входы и выходы подпроцессов и последовательность выполнения подпроцессов, актуализируют нормативные документы.

Проведенная работа позволяет увеличить скорость кредитования, снизить стоимость процесса, рост и долю просроченных кредитов. Работу проводят несколько подразделений, и вклад каждого подразделения (в процентном соотношении) в финансовый результат определить сложно. Однако практика показывает, что в целом применение СУОР может в значительной степени влиять на финансовый результат.

Кроме опосредованного влияния (в виде снижения операционных рисков, оптимизации бизнес-процессов, усиления внутреннего контроля за процессами, участия в коллегиальных органах управления и т.д.) подразделение по операционным рискам может оказывать и прямое влияние на финансовый результат, выражающееся в предупреждении мошенничества (в том числе возврат денежных средств), организации возмещения страховых сумм при наступлении страховых случаев, инициировании внедрения новых продуктов и технологий.

По мнению авторов, СУОР должна функционировать таким образом, чтобы минимизация операционных рисков производилась комплексно. Рассмотрим несколько комплексов мероприятий (проектов), направленных на решение указанной задачи.

Комплекс мероприятий по снижению риска персонала

Повышение стандартов обслуживания и регулярный мониторинг качества обслуживания клиентов.

Разработка системы поддержки фронт-офиса через call-центр.

Внедрение системы противодействия мошенничеству.

Распределение прав доступа в информационных системах и соблюдение правил информационной безопасности.

Внедрение эффективной системы мотивации персонала.

Анализ хронометража оказания услуг клиенту (сравнение нормативного значения с фактическим).

Создание "единого окна обслуживания" для сотрудников фронт-офиса (в случае если банк использует несколько разнородных информационных систем).

Анализ показателей по управлению персоналом (текучесть кадров, количество обученных сотрудников и т.д.).

Комплекс мероприятий по снижению риска процесса:

Внедрение процессного подхода (структурирование бизнеса на процессы, описание процессов, определение владельцев процессов, нейтрализация "зон безответственности", своевременная актуализация внутренней нормативной документации и т.д.).

Формирование электронной базыбизнес-процессов, поддерживаемых в актуальном состоянии (например, с применением программного обеспечения Business Studio (www.businessstudio.ru)).

Внедрение системы мониторинга показателей деятельности на ежедневной основе (применение ключевых индикаторов риска в рамках общей системы мониторинга показателей банка).

Анализ организационной структуры банка.

Внедрение системы разработки (от идеи до ввода в действие) дополнительных процессов и новых продуктов. В качестве примеров подобных процессов можно указать следующие: "Управление инновациями и рацпредложениями"; "Анализ внутренних инвестиционных проектов" (чистый денежный поток (NCF), индекс прибыльности (PI), срок окупаемости проекта (РВР), внутренняя норма рентабельности (IRR), модифицированная внутренняя норма рентабельности (MIRR), дисконтирование, средневзвешенная стоимость капитала (WACC)); "Расчет маржинальной доходности в разрезе продуктов для эффективного управления продуктовым рядом".

Внедрение системы определения приоритетности автоматизации процессов (с учетом рисков).

Создание единого хранилища данных и формирование на его основе ERP-системы, системы бизнес-анализа (Business Intelligence. BI).

Усиление внутреннего контроля бизнес-процессов.

Комплекс мероприятий по снижению риска систем:

Оперативный учет информационных активов (информационные системы, оборудование, каналы связи).

Формирование планов восстановления ГГ-сервиса.

Внедрение системы оперативной замены оборудования, системы резервирования каналов связи.

Внедрение системы Help-Desk.

Виртуализация серверов.

Внедрение проектногоподходакдеятель-ности подразделения, отвечающего за доработку используемого ПО и разработку нового.

Внедрение сервисногоподходакдеятельно-сти подразделения, отвечающего за обслуживание IT-сервисов (информационных систем) (IT Service Management, ITSM).

Четкое разделение функций между отделами, занимающимися разработкой программного обеспечения и обслуживанием информационных систем.

Комплекс мероприятий по снижению риска внешней среды:

Комплексное страхование бизнеса.

Внедрение системы ОНиВД (обеспечения непрерывности деятельности и/или восстановления деятельности банка в случае возникновения непредвиденных обстоятельств): повышение физической безопасности объектов банка; повышение информационной безопасности банка; повышение организационной безопасности банка.

Представленные выше проекты могут быть как взаимодополняющими, так и взаимоисключающими. При этом решение данных задач требует активного участия всех подразделений банка. Успех описанных проектов зависит от уровня слаженности управленческой команды и понимания общих целей и задач.

) Мониторинг и контроль минимизации ОР.

Мониторинг проводят с установленной периодичностью путем наблюдения, т.е. операционному риску (группе операционных рисков) присваивается статус: "устранен", "минимизирован", "принят", "передан сторонним организациям", "в работе". Необходимо фиксировать, каким образом был минимизирован тот или иной операционный риск.

Существует несколько вариантов проведения мониторинга:

На основании анализа индикаторов операционного риска. Отметим, что в некоторых случаях внедрение учетной системы ключевых индикаторов риска требует значительных затрат, при этом получаемый эффект остается "непрозрачным" в денежном выражении.

На основании отчетов руководителя рабочей группы о ходе выполнения того или иного проекта.

На основании повторного выявления операционных рисков.

На основании данных системы административного контроля (результаты выполнения задач, зафиксированных в письменной или электронной форме в контрольных карточках). Административный контроль позволяет снижать вероятность затягивания работ по минимизации ОР и зачастую помогает улучшить качество и эффективность выполнения решений.

Наиболее сложным моментом в мониторинге процесса минимизации ОР является определение качества выполняемых работ. Этот вопрос можно решить путем повышения компетентности риск-менеджеров в той или иной профессиональной области, а также с помощью сторонних экспертов (дорогой вариант решения) либо путем проведения опроса внутренних потребителей услуг.

Система управления операционными рисками может быть представлена следующими отчетами:

отчеты, рекомендуемые НБ РК;

отчет об операционных рисках, выявленных за определенный период (и вероятности их реализации); отметим, что большинство внутренних заказчиков интересует не математический расчет вероятности реализации риска (особенно в условиях кризиса), а конкретные меры по его предотвращению;

отчет по ключевым индикаторам риска (план-факт-анализ КИР);

отчет о технологическом отличии (превосходстве / отставании) от лидирующих кредитных организаций в части операционного риска;

отчет об операционных рисках корпоративного уровня и уровня бизнес-единиц;

карта рисков.

) Анализ СУОР.

Дополнительной полезной работой является регулярный анализ СУОР. Результаты анализа дают представление о недостатках системы и позволяют определить приоритеты ее развития.

В зависимости от величины кредитной организации, количества бизнес-процессов, широты продуктового ряда, наличия тех или иных систем управления численность подразделения по операционным рискам может варьироваться:

в небольших кредитных организациях - один сотрудник в каждом филиале (дополнительный функционал для сотрудника); качество управления рисками не будет высоким и может "иметь уклон" в профессиональную деятельность ответственного лица;

в средних кредитных организациях - риск-менеджер в головном офисе (основной функционал) и ответственный сотрудник в каждом филиале (дополнительный функционал);

в больших кредитных организациях - риск-менеджеры операционного риска в головном офисе (две-четыре штатные единицы) и риск-менеджер в каждом филиале (две штатные единицы) либо ответственные сотрудники в филиале (два человека).

Организационная структура подразделения по операционным рискам головного офиса может быть представлена следующими отделами:

отдел операционных рисков;

отдел по борьбе с мошенничеством;

отдел информационных рисков;

отдел оптимизации бизнес-процессов;

отдел методологии.

В качестве автоматизированного инструмента при управлении операционными рисками можно использовать следующее ПО: Excel, ULTOR, Zirvan, "Техносерв", "Бизнес-студио", а также собственные разработки. Мы не будем подробно рассматривать плюсы и минусы перечисленных программных продуктов. Отметим лишь, что автоматизация СУОР снижает трудоемкость работы риск-менеджеров, повышает оперативность выявления и качество анализа инцидентов операционного риска, способствует формированию базы знаний по операционным рискам, является эффективным инструментом контроля за мероприятиями, позволяет сократить денежные и временные затраты на сопровождение системы.

Система управления операционными рисками обычно формализуется в "Политике управления операционными рисками" и может корректироваться с учетом развития организации.

При организации системы управления операционными рисками "с нуля" целесообразно разбить процесс на несколько последовательных этапов. Например, можно внедрять систему управления операционными рисками в три этапа: начальный, базовый и основной. Можно предусмотреть и четвертый, "продвинутый", этап, включающий разработку и внедрение инструментов и методов управления операционными рисками, не указанных в настоящей статье и требующих предварительной эффективной реализации первых трех этапов. На практике план раз работки и внедрения системы управления операционными рисками полезно разрабатывать детально и с разбивкой по составным частям каждого этапа и по срокам их реализации.

На самой ранней стадии важно начинать с разработки общей стратегии управления операционными рисками и формализации системы управления ими в "Политике", утверждаемой наблюдательным советом банка. Подобный подход позволит обеспечить осведомленность высшего руководства банка об операционных рисках как об особой категории рисков, требующих отдельного управления, а также обеспечит понимание того, как именно банк планирует управлять операционными рисками. По своей сути "Политика управления операционными рисками" является опорным документом, описывающим общую концепцию управления операционными рисками. В числе прочего "Политика" разъясняет суть процесса сотрудникам банка с учетом того, что многие из них могут быть не знакомы с понятием операционного риска. В документе необходимо определить это понятие и указать источники рис ков, а также категории возможных событий. При описании концепции управления операционными рисками обычно излагаются соответствующие принципы, которых будет придерживаться банк. В большинстве случаев основные принципы заимствуют из документа "Надежные практики управления и надзора за операционным риском" [8], а также добавляют отдельные внутри банковские принципы в соответствии со спецификой деятельности банка. Если есть необходимость, то при описании концепции банк формализует процесс управления операционными рисками, включая детальную характеристику каждого из его этапов. Регламентируя в "Политике" основные инструменты и методы управления операционными рисками, стоит ограничиться наиболее существенными моментами, позволяющими понять суть отдельного инструмента, цели и особенности его применения. Тонкости реализации инструментов и процессов можно раскрыть в отдельных документах, таких как регламенты, положения, методики и инструкции. Важным разделом "Политики управления операционными рисками" является распределение полномочий и функциональных обязанностей структурных подразделений банка при управлении операционным риском. Здесь стоит детально определить основной функционал сотрудников и подразделений банка на всех уровнях, начиная с функций и полномочий наблюдательного совета и правления банка и заканчивая основными обязанностями исполнителей.

На начальном этапе необходимо разработать подробные классификации возможных событии операционного риска и факторов их реализации с учетом специфики деятельности банка. Одной из первостепенных задач является определение схемы взаимодействия сотрудников и подразделений банка в системе управления операционными рисками. В настоящее время большинство банков использует "децентрализованную" систему управления рисками с элементами централизации в службе операционного риск менеджмента. При организации управления операционными рисками в банке важным моментом является обучение ему сотрудников банка. Это может стать основой развития культуры управления операционными рисками в банке. В программу обучения можно включить такие моменты, как раскрытие понятия операционных рисков и их специфики, объяснение необходимости управления рисками, сути инструментов этого управления, важности участия каждого сотрудника в этом процессе, выгоды для банка. В большинстве случаев во время обучения сотрудники банка, понимая суть операционного риска, не могут применить полученные знания на практике, поэтому вопросу практического использования этих знаний необходимо уделять особое внимание.

Итак, к инструментам и процессам, которые не обходимо внедрять на начальном этапе организации системы управления операционными риска ми, относятся: централизованное ведение единой внутрибанковской базы данных о событиях операционного риска; ведение базы данных о случаях реализации операционного риска в других кредитных организациях; разработка и утверждение порядка информационного обмена в процессе управления операционными рисками, включая порядок составления и предоставления управленческой отчетности по операционным рискам на постоянной основе и положения о раскрытии ин формации по управлению операционным риском в банке. На начальном этапе управления операционными рисками необходимо разработать методику оценки операционных рисков, которая позволит сотрудникам банка проводить единообразную оценку выявленных операционных рисков вне зависимости от факторов, направлений деятельности, которым он присущ и иных параметров. Отметим, что методика оценки операционного риска должна содержать алгоритм, который позволит любому сотруднику банка оценить выявленный риск, не имея специфических знаний и навыков. Параллельно с внедрением процесса сбора данных о событиях операционного риска в банке нужно организовать процесс ведения реестра операционных рисков, регистрируя в нем все выявленные в банке операционные риски и отражая информацию о мерах, предпринятых для их снижения.

При переходе на второй, базовый этап внедрения системы управления операционными рисками основной акцент делается на развитие культуры управления операционными рисками в банке, повышение осведомленности его сотрудников об управлении операционными рисками и обучение их практическим навыкам выявления, оценки, мониторинга и снижения уровня операционного риска. На втором этапе разрабатываются и внедряются такие инструменты, как самостоятельная оценка операционного риска подразделениями банка, ключевые индикаторы риска, а также положения по страхованию, противодействию мошенничеству и т.д. В связи с тем, что предполагается последовательное внедрение системы, на втором этапе банк уже может приступить к раскрытию ин формации об управлении операционным риском для улучшения репутации и повышения степени доверия клиентов к банку.

Внедрив первоочередные инструменты и методы управления операционными рисками, банк может приступать к третьему - основному этапу. На данном этапе происходит реализация бол ее ресурсоемких инструментов по управлению операционными рисками. Такими инструментами могут быть разработка планов обеспечения непрерывности финансово хозяйственной деятельности банка, внедрение автоматизированных систем управления операционными рисками или разработка унифицированных методик по выявлению и оценке операционных рисков, присущих уже существующим и новым направлениям деятельности, продуктам, услугам и процессам.

Отметим также, что предложенная очередность не является догмой и может варьироваться в зависимости от различных факторов, начиная от специфики и масштабов деятельности банка или наличия уже внедренных отдельных инструментов и заканчивая опытом и предпочтениями сотрудников подразделения операционного риск менеджмента.

В основе эффективности системы управления операционными рисками, как отмечалось ранее, лежит комплексный подход к решению поставленных задач. Более того, процесс управления операционными рисками должен быть детально продуман и систематизирован, т.к. конечной целью является незамедлительная доставка в подразделение риск менеджмента банка актуальной и достоверной информации из подразделений, наиболее отдаленных от центрального офиса.

Эффективное управление операционным рис ком строится на вертикали "специалист - начальник отдела- начальник управления /управляющий филиалом - начальник департамента/ответственный по региону - подразделение риск менеджмента - правление банка" (правление банка получает периодическую управленческую отчетность по операционным рискам). В мае штабах многофилиального банка такое звено, как ответственный по региону, является одним из ключевых, т.к. в подразделение риск менеджмента центрального офиса может поступать сводная по филиалам региона информация из региональных центров, которых может быть от двух до 20, тогда как в каждом региональном центре могут быть десятки филиалов. Ответственность за переданную по цепочке информацию должна возлагаться на принявшего ее сотрудника, а ответственность за сокрытие данных - на сотрудника, не сообщившего о выявленном или реализовавшемся риске своему руководителю. Необходимо отметить, что конкретная цепочка получения информации не является фиксированной и определяется исходя из организационной структуры банка, специфики направления деятельности филиала или региона. Для более наглядного описания та кого подхода можно провести аналогию с сетевым маркетингом, способным охватить любой масштаб и объем деятельности при помощи ограниченного круга лиц. При организации подобной схемы взаимодействия в подразделениях банка обычно назначаются сотрудники, ответственные за управление операционными рисками в подразделении, а также за информационный обмен с операционным риск менеджментом центрального офиса в установленном порядке.

.3 Совершенствование инструментов и методов управления операционным риском

При управлении операционным риском принципиальным является различие между понятиями события операционного риска и самого операционного риска. На практике сотрудники банка очень часто путают эти понятия, что приводит к искаженному пониманию или полному непониманию сути процесса управления операционными рисками и к некорректному применению соответствующих инструментов и методов управления. Событием операционного риска мы можем назвать только то, что уже произошло. Операционным же риском мы называем то, что пока еще не реализовалось, но может произойти в будущем. В тот момент, когда операционный риск реализовался, он перестал быть риском и стал событием. Например, зная, что уже в течение нескольких месяцев в банке каждую неделю происходит какое то событие операционного риска, можно предположить, что это событие произойдет и на следующей неделе, но до тех пор, пока оно не реализовалось, оно является риском (рисунок).

операционный риск коммерческий банк

Рисунок Соотношение события и операционного риска

В Приложении 9 к документу "Базель III" Комитет по банковскому надзору приводит классификацию событий операционного риска, в которой все типы возможных событий разделены на следующие категории:

) противоправная внутрибанковская деятельность;

) противоправные действия третьих лиц;

) кадровая политика и безопасность рабочих мест;

) клиенты, продукты и практика деловых отношений;

) ущерб физическим активам;

) срыв бизнес деятельности и сбои в системах;

) управление процессами.

Каждая из этих категорий содержит несколько подкатегорий, позволяющих использовать более детальные признаки при группировке событий.

Операционный риск возникает не только во время проведения операций, но он присущ всем процессам, людям, системам и внешним факторам. Поэтому возможность прогнозирования и оценки некоторых видов операционного риска ограничена по сравнению с иными видами рисков.

Также значительная часть операционных рисков является неотъемлемой частью внутрибанковских процессов. Кроме того, операционный риск имеет скрытый характер: не все потери в явной форме отражаются в бухгалтерской отчетности, а эффект от реализации операционного риска не всегда приводит к финансовым потерям. Эти особенности препятствуют процессу эффективного управления операционными рисками.

Необходимо также обратить внимание на то, что при отсутствии должного контроля возрастающая автоматизация процессов может привести к трансформации риска ошибок персонала в риск систем. Аналогично при снижении уровня кредитного и рыночного риска по банку могут возрасти операционный или юридические риски, а при передаче части процессов на аутсорсинге целях снижения операционного риска можно значительно увеличить другие риски банка, в том числе и операционные.

В качестве особенности операционного риска можно также указать разнообразие случаев его реализации и динамику появления новых видов риска. Даже при максимально полном перечне всех операционных рисков, которые могут реализоваться, всегда останутся риски, которые не войдут в этот перечень либо из-за невозможности все предусмотреть, либо из-за появления новых факторов операционного риска, отсутствовавших на момент составления перечня. Например, увеличение доли услуг, предоставляемых через Интернет, повышает не до конца изученные риски, такие как внутреннее и внешнее мошенничество или угрозы информационной безопасности. Перечень возможных операционных рисков постоянно пополняется.

При управлении операционным риском очень большое значение имеет системный подход, который позволяет не только полностью реализовать процесс управления операционным риском, но и обеспечить замкнутость этого процесса.

Процесс управления операционным риском состоит из четырех последовательных этапов: выявления, оценки, мониторинга и контроля/минимизации операционного риска.

В основе управления операционными рисками лежит их идентификация, т.к. невозможно управ пять рисками, о которых банк не знает. Идентификация операционного риска предполагает анализ всей деятельности банка на различных уровнях, начиная с внутрибанковской нормативной базы, отдельных операций, сделок и процессов банка и заканчивая анализом определенных направлений деятельности банка, а также условий функционирования банковской сферы в целом.

После того как риск выявлен, необходимо произвести его оценку для прояснения дальнейших действий, т.к. невозможно предпринимать какие либо шаги, не зная, насколько серьезное воздействие на деятельность банка может оказать реализация выявленного риска. Под оценкой операционного риска подразумевают оценку вероятности реализации операционного риска или оценку потенциальных потерь, которые она способна повлечь, а также их комбинацию. Важно отметить, что оценка операционного риска может быть основана на качественном или количественном анализе или их взаимосвязи. При количественном анализе потенциальный убыток от случая реализации операционного риска часто определяется на основе анализа статистических данных о событиях операционного риска. Одним из подходов к его оценке является расчет математического ожидания убытка от случая реализации такого риска. Для ситуаций, когда затруднительно определить вероятность реализации события операционного риска либо выразить потенциальный ущерб в денежном эквиваленте, производится ранжирование аналогичных качественных характеристик, экспертно установленных исходя из специфики деятельности конкретного банка. Качественный анализ применяется для оценки операционных рисков и случаев их реализации, когда потери невозможно однозначно выразить конкретным числом либо делать это нецелесообразно. Например, если вследствие какого либо форс-мажорного события деятельность центрального офиса банка была парализована в течение нескольких дней, даже после восстановления его работоспособности будет не только экономически нецелесообразно, но и практически сложно оценить все понесенные за этот период прямые и косвенные потери, а также оценить упущенную выгоду. Для подобных случаев применяется качественный анализ, позволяющий описать ущерб, не сводя его к финансовым показателям. Необходимо отметить, что оценку и от дельных операционных рисков, и уровня операционного риска в целом банк должен проводить регулярно.

Важным этапом при управлении операционным риском является его постоянный мониторинг. Периодичность проведения мониторинга обычно определяется внутрибанковскими нормативными документами и зависит от конкретно го инструмента, позволяющего реализовать мониторинг, и от уровня отдельного операционного риска. В случае принятия банком риска, дол жен проводиться мониторинг, частота проведения которого зависит от уровня принятого риска, а цель состоит в том, чтобы удостовериться, что этот уровень не изменился. В противном случае возникнет необходимость в пересмотре мер по минимизации риска. Аналогичным образом нужно постоянно убеждаться, что меры, предпринятые в целях снижения уровня риска, не потеряли свою эффективность, и уровень риска не вырос до первоначального значения. Если уровень операционного риска для банка не значителен, то мониторинг можно проводить раз в полгода, а если риск достаточно высок, эту процедуру можно повторять ежемесячно, еженедельно и даже ежедневно, если возникнет такая необходимость.

Минимизация операционного риска осуществляется за счет снижения вероятности реализации операционного риска, ограничения величины потенциальных потерь либо комбинацией этих подходов. Однако при внедрении мер по снижению операционного риска важно своевременно анализировать возможность трансформации одного риска в другой, а также оценивать возможные последствия. Чаще всего контроль операционных рисков осуществляется службой внутреннего контроля банка.

Основа описанного подхода была представлена Базельским комитетом в 1998г. в документе "Управление операционным риском" [6], но она содержала только три этапа: оценку, мониторинг и контроль операционного риска. Спустя почти пять лет в документе "Лучшие практики управления и надзора за операционным риском" Комитет представил расширенную модель, где появился этап идентификации операционного риска, а к контролю добавился еще и процесс снижения уровня риска. В настоящий момент разделение процесса на четыре основных этапа (идентификация операционного риска, оценка, мониторинг, контроль и снижение уровня операционного риска) не потеряло своей актуальности, подобную практику поддерживают Национальный Банк РК и большая часть кредитных организаций. Стоит отметить, что на сегодняшний день нет альтернативного подхода, который отличался бы неоспоримыми преимуществами перед "базельской" системой.

Основные инструменты и методы управления операционным риском:

) Сбор данных о событиях операционного риска. Ведение базы данных о событиях операционного риска является одним из основных инструментов управления операционными риска ми. Обычно ведутся две независимые базы данных: в первой регистрируются случаи реализации операционного риска в банке (внутренняя база данных), а во второй - информация о событиях операционного риска в других кредитных организациях (внешняя база данных).

Ведение и постоянная актуализация единой внутренней базы данных о событиях операционного риска, которые произошли в банке или имели непосредственное отношение к его деятельности, преследует сразу несколько целей. Этот процесс обеспечивает условия для эффективного выявления операционных рисков, а также их оценки в масштабах деятельности всего банка. Такая база данных позволяет выявлять области наибольшей концентрации операционных рис ков, присущих различным направлениям деятельности или подразделениям. Например, регистрируя в базе данных в течение определенного времени схожие события операционного риска, происходящие в разных регионах, городах и дополнительных офисах банка, можно заметить, что определенному внутреннему процессу банка присущ специфический, часто реализующийся операционных риск Более детальный анализ за регистрированных событий поможет выявить этот риск. Оценивать его рекомендуется на основе накопленной статистической базы, при необходимости корректируя полученную оценку с учетом экспертного мнения и специфики выявленного риска. После введения мер по снижению уровня выявленного риска внутрибанковская база данных поможет оценить эффективность предпринятых мер, а также контролировать их актуальность. Таким образом, централизованное ведение базы данных о событиях операционного риска обеспечит возможность координации процесса сбора данных, а также проведения постоянного мониторинга его функционирования. Стоит отметить, что формирование репрезентативной статистической базы о случаях реализации операционного риска в банке не только играет очень важную роль для анализа всех внутрибанковских процессов и выявления их слабых мест, но также помогает получить объективную оценку уровня операционного риска по банку в целом и может использоваться для анализа и обоснования экономической целесообразности страхования операционных рисков.

Информация о событиях операционного риска, которые произошли в банке, в первую очередь должна поступать от структурных подразделений банка или отдельных сотрудников. В дополнение к этому источнику, а также для проверки сообщений подразделений, зарегистрированных в базе, рекомендуется использовать результаты проверок и расследовании, проводимых службой внутреннего контроля и аудита, службой безопасности, внешними аудиторами и регуляторами, а также бухгалтерскую отчетность.

Для сбора данных о событиях операционного риска в других кредитных организациях (внешняя базаданных) в основном используются средства массовой информации и иные открытые источники. Основная цель, для которой ведется внешняя база данных, заключается в накоплении информации о событиях операционного риска, которые имеют низкую частоту реализации, но могут повлечь за собой очень большие, в том числе и критические, потери. Многие из таких событий, случившись лишь однажды, могут привести банк к банкротству, и регистрация их во внутрибанковской базе данных уже не будет иметь никакого смысла. Именно для предотвращения подобных случаев, анализа чужих ошибок и принятия их во внимание необходимо постоянно вести внешнюю базу данных.

) Реестр операционных рисков. Для работы с выявленными рисками в банке рекомендуется вести реестр операционных рисков. Реестр операционных рисков централизованно ведется на постоянной основе и содержит в себе подробную информацию о выявленных в банке рисках, их уровне, статусе мероприятий по их снижению, информацию об ответственном за риск подразделении и других факторов, которые каждый банк определяет для себя сам. Подход к его ведению во многом схож с ведением внутрибанковской базы данных о событиях операционного риска и принципиально отличается от базы тем, что в реестре регистрируются только риски, тог да как в базу попадают события, которые в банке уже произошли. Регистрация рисков в реестре и событий в базе ведется в разрезе соответствующих многочисленных параметров. Реестр операционных рисков ведется на основе сообщений самостоятельных структурных подразделений, информации, полученной службой операционного риск менеджмента при анализе базы данных о событиях операционного риска, результатов этом повышая и развивая культуру управления операционными рисками в банке. Результаты проведенной самостоятельной оценки операционного риска можно также использовать для сравнения с результатами количественного анализа, проведенного с применением других инструментов и методов управления операционными рисками.

) Ключевые индикаторы риска. В процессе управления операционными рисками очень важную роль играют ключевые индикаторы риска (КИР, Key Risk Indicator, KRI). Они позволяют отслеживать и прогнозировать случаи реализации операционного риска, а также осуществлять мониторинг эффективности внедренных принципов контроля. Главным преимуществом этого инструмента является возможность его применения именно с той периодичностью, с какой это необходимо, для каждого индикатора определяется своя частота применения.

По своей сути ключевые индикаторы риска - это превентивная мера, при этом они основываются на статистических данных. Обычно ключевой индикатор риска является отношением индикатора эффективности контроля (Key Control Indicator, КО) к ключевым индикаторам эффективности (Key Performance Indicator, KPI). Например, оценив среднее количество транзакций, приходящихся на одного операциониста, а также количество ошибочных транзакций, можно установить КИР, показывающий долю неправильных операций в общем объеме. Для функционирования КИР необходимо установить его пороговый уровень (trigger), без которого индикатор неприменим. На практике наибольшие затруднения вызывает именно определение критического значения. Для установки триггера обычно используют статистику, принимая средний уровень ошибок за допустимый. Если доля ошибочных операций чрезмерно высока, устанавливается предельно допустимый для банка уровень и при этом внедряются меры по снижению уровня риска. В дальнейшем каждое последующее превышение значения КИР по отношению к пороговому является сигналом для разработки и применения мер по снижению уровня операционного риска.

Отметим также, что целесообразно каждому КИР присваивать уровень риска, который характеризует индикатор. Исходя из этого уровня определяется период расчета индикатора, а также приоритет реагирования.

) План обеспечения непрерывности бизнес-деятельности. В своей работе банк использует широкий спектр сложных технических систем, формирующих его внутреннюю инфраструктуру, которые могут выходить из строя под влиянием различных факторов. Ущерб от сбоев в системах может быть различным, зависит от характера сбоя и степени важности системы для банка. Для обеспечения непрерывности функционирования банка при отказе систем и сбоях в работе технического оборудования, а также при воз действии внешних неблагоприятных факторов банку нужно разрабатывать и внедрять планы непрерывности бизнес деятельности. Наличие таких планов в первую очередь позволяет избе жать паники при наступлении форс-мажорных обстоятельств. Они дают возможность следовать заранее продуманной и проверенной инструкции, обеспечивающей достижение наилучшего результата при минимальных потерях и в максимально сжатые сроки. Наличие у банка таких планов действий говорит о его надежности, значительно улучшает его репутацию и повышает степень доверия клиентов. Качественно разработанный план обеспечения непрерывности деятельности формирует у клиентов и контрагентов банка уверенность в том, что при наступлении форс мажорных обстоятельств, способных парализовать работоспособность отдельного направления деятельности или всего банка, с их деньгами ничего не случится и банк обеспечит выполнение своих обязательств перед клиента ми и контрагентами своевременно и в полном объеме.

Важно отметить, что разработка действительно эффективных планов обеспечения непрерывности деятельности требует очень больших инвестиций, в том числе финансовых, временных, кадровых. Из-за того, что проект по разработке планов является столь ресурсоемким, многие банки очень долго не решаются приступить к его реализации, составляя формальные документы, которые не реализуются на практике, но удовлетворяют регуляторов. Когда банк все же решается на запуск проекта, он получает значительное число дополнительных выгод, например понимание и спецификацию действительно важных для деятельности банка процессов и областей, которые лежат в основе его функционирования. Более того, во время проведения проекта наводится порядок в сфере информационных технологий банка и в его ключевых бизнес процессах. Это обеспечивает прозрачность и ясность его технологических цепочек, от чего, прежде всего, выигрывает сам банк, т.к. эффективность внутрибанковских процессов существенно повышается.

) Передача риска: страхование. Одним из важнейших методов управления операционными рисками является их передача. Иными словами, передача риска представляет собой перенесение ответственности за риск на третьих лиц без устранения источника риска. На сегодняшний день существуют два наиболее распространенных способа передачи операционного риска - это страхование и аутсорсинг.

К страхованию прибегают в тех случаях, когда банк не может самостоятельно покрыть отдельные операционные риски либо когда страховать операционные риски получается дешевле, чем внедрять меры по их снижению. При этом можно как страховать отдельные виды операционных рисков (например, страхование сотрудников банка от несчастных случаев или имущества, принятого в залог), так и оформлять полисы комплексного банковского страхования. Основными видами убытков, подпадающими под комплексный пакет страхования банков от преступлений (Bankers Blanket Bond, BBB), являются утрата имущества в помещениях банка, мошенничество сотрудников, включая сговор с третьими лицами, ущерб офисам банка и оборудованию, а также подделка ценных бумаг, денежных знаков, чеков и других платежных документов. В дополнение к полису ВВВ обычно оформляется полис страхования от электронных и компьютерных преступлений (Electronic & Computer Crime, ECC), покрывающий убытки от несанкционированного ввода информации в АБС банка, включая ответственность за убытки клиента по этой причине, убытки банка от уничтожения электронных данных, действия вирусов, утраты ценных бумаг в электронной форме из-за исполнения мошеннического электронного поручения. Комплексное банковское страхование обычно имеет покрытие, равное нескольким миллионам долларов, при годовой страховой премии в несколько сотен тысяч долларов и немного меньшей франшизе. Также особенностью таких пакетов является то, что большинство российских страховых компаний не принимает риски на себя, перестраховывая их все или большую их часть у лондонских страховых синдикатов и оставляя себе от 0% до 10% рисков.

) Передача риска: аутсорсинг. Вторым вариантом передачи риска является аутсорсинг, когда определенные операционные риски переносятся на сторонние организации и покрываются за их счет. Аутсорсингу обычно подлежат бизнес процессы, полностью невыгодные для банка либо несущие в себе повышенные операционные риски. Важно отметить, что на практике уровень операционных рисков, присущий процессу, не всегда является решающим фактором для передачи процесса на аутсорсинг. В большинстве случаев операционному риск менеджменту приходится иметь дело не с процессами, планируемыми к передаче, а с процессами, уже переданными на аутсорсинг из-за полной незаинтересованности в них банка. В связи с этим в банковской терминологии появилось понятие "риски аутсорсинга". В то же время при становлении системы управления операционными рисками в банке и организации такой схемы управления ими, когда операционный риск менеджмент применяется на стадии принятия решения о передаче риска на аутсорсинг, подход может быть изменен.

Еще одной специфической особенностью аутсорсинга, о которой уже упоминалось ранее, является то, что снижая с помощью этого инструмента одни операционные риски, банк может получить новые риски, иногда даже более значимые по уровню, чем исходные.

) Принятие операционного риска банком. Операционный риск, снижение которого экономически нецелесообразно для банка, может быть принят на банк. Процедура принятия риска означает принятие ответственности за реализацию конкретного операционного риска и последствия, которые он может повлечь. Операционный риск может быть принят на банк только после того, как он будет оценен. Однако принять можно операционные риски не всех уровней. Не смотря на то, что уровень риска, который ни при каких обстоятельствах не может быть принят на банк, определяется исходя из специфики принятой в банке градации операционных рисков по их значимости, принципиальным критерием здесь является финансовая устойчивость банка в случае реализации данного риска. Например, ее ли с высокой долей вероятности реализация операционного риска может значительно подорвать финансовую устойчивость банка либо привести к его банкротству, операционный риск на банк не принимается, важно помнить, что процедура принятия риска на банк совсем не означает, что о выявленном риске можно "забыть". Необходимо проводить постоянный мониторинг принятого риска. Мониторинг, периодичность которого определяется уровнем самого риска, должен включать в себя оценку риска, а также контроль изменения факторов, способных повлиять на его уровень. Приведем пример. На банк был принят "низкий" операционный риск, а период проведения мониторинга составил один год. Предположим, что в установленный срок по каким либо причинам мониторинг не провели, а спустя два года после принятия риска на банк этот риск реализовался, но не как "низкий", а как "высокий".

За два года в банке могли произойти значительные изменения, включая запуск новых направлений деятельности, продуктов, региональную экспансию и даже внедрение новой автоматизированной банковской системы. Если бы мониторинг провели своевременно, то уже за год до события могли быть выявлены факторы, существенно повышающие уровень риска либо трансформирующие его, а также могли быть разработаны и пред приняты меры по его снижению. Однако в нашем примере банк не обладал актуальной информацией о принятых рисках. Если принять во внимание, что подобных операционных рисков, принимаемых на банк, могут быть сотни, то при отсутствии должного мониторинга и контроля инструмент принятия риска на банк может потерять свою эффективность.

) Избежание операционного риска. Если банк выявляет достаточно высокие операционные риски, присущие какому либо процессу, продукту или услуге, которые экономически нецелесообразно снижать, но которые не могут быть приняты банком в силу своей значимости, выявленных рисков можно избежать. Избежание операционных рисков подразумевает разработку стратегических и тактических решений, исключающих возникновение рисковых ситуаций, или отказ от реализации операций и проектов с высоким уровнем риска. Данный инструмент обычно используется на этапе принятия решений о запуске новых направлений деятельности, продуктов, услуг или технологических цепочек, когда реализация проекта еще не началась и остается возможность пересмотреть ранее принятые решения.

Экономический капитал на покрытие операционного риска и формирование резервов. Согласно документу "Базель III" для покрытия убытков по операционным рискам банк дол жен рассчитать экономический капитал под операционный риск. В европейской практике вели чина капитала, резервируемая для покрытия возможных потерь пооперационным рискам, представляет собой величину минимально достаточного капитала на покрытие операционных потерь, рассчитывается банком заблаговременно и отражается в бухгалтерской отчетности. По своей сути капитал на покрытие операционного риска является оценкой операционного риска по банку в целом. В казахстанской практике резервы на возможные потери практически не связаны с реализацией операционного риска.