Разработка положения по управлению операционными рисками коммерческого банка (Д. Штатов, В. Зинкевич, "Бухгалтерия и банки", N 10, октябрь 2006 г.)

Разработка положения по управлению
операционными рисками коммерческого банка

По мере усложнения банковских операций и увеличения их объемов, сопровождающихся консолидацией банковского сектора и укрупнением кредитных организаций, многие банки сталкиваются с серьезными проблемами, связанными с реализацией операционных рисков. Данная статья посвящена вопросам подготовки положения по управлению операционными рисками коммерческого банка на основе письма ЦБ РФ от 24 мая 2005 г. N 76-Т "Об организации управления операционным риском в кредитных организациях". Нами рассмотрены методологические трудности, с которыми сталкивается банк при подготовке положения, и указаны пути их разрешения.

Базельская история

В Первом Базельском соглашении по капиталу*(1), опубликованном в июле 1988 года, операционные риски даже не упоминались, соответственно они не включались в расчет достаточности капитала. В июле 1989 года Базельским комитетом была выпущена публикация "Риски в компьютерных и телекоммуникационных системах"*(2), признававшая рост рисков банков в связи с бурным ростом автоматизации их деятельности. Термин "операционный риск" еще не был введен, но Базелем была выделена отдельная группа рисков, таких как: недостаточное управление конфиденциальностью информации; ошибки компьютерных программ и ошибки сотрудников при вводе данных; мошеннические действия с использованием информационных систем банка; сбои программ и оборудования и остановка бизнеса; неэффективное развитие ИТ-инфраструктуры; риски потери данных. Опубликованный в 1998 году документ "Управление рисками в электронном банкинге и деятельности, связанной с электронными деньгами"*(3) четко определил "риски, возникающие в связи со значительными недостатками (дефектами) в надежности и целостности информационных систем" и подходы к управлению ими.

В сентябре того же года Базельским комитетом был выпущен специальный документ "Управление операционным риском"*(4), задающий принципы управления операционными рисками, определяемыми "от противного" как риски, не являющиеся кредитными и рыночными. Важнейший с точки зрения методологии управления операционными рисками документ был выпущен Базельским комитетом в феврале 2003 года - "Обоснованные практики управления и надзора за операционными рисками"*(5). Определение операционного риска пока не было дано, однако в документе четко прописано, какого рода риски должны пониматься под операционными - приводятся примеры операционного риска, сгруппированные в семь категорий, а именно:

внутреннее мошенничество;

внешнее мошенничество;

практика занятости и безопасность труда;

клиенты, продукты и ведение бизнеса;

ущерб материальным активам;

остановка бизнеса и сбои в системах;

проблемы с управлением и исполнением операций.

Кроме того, в документе отражены десять рекомендованных принципов обоснованного управления операционными рисками банка.

Последний документ, выпущенный Базельским комитетом к моменту написания статьи, - это Новое соглашение по капиталу (также известное как Базель II)*(6). Оно определяет операционный риск как "риск потерь в результате неадекватности или ошибок (сбоев) внутренних процессов, людей и (или) систем, или в результате внешних событий". Базель II уделяет особое место операционным рискам, поскольку в деятельности западных кредитных организаций операционный риск по величине потенциальных потерь занимает второе место, находясь между кредитным (1-е место) и рыночным (3-е место) рисками. Учитывая это, Базель II обоснованно рекомендует рассматривать операционный риск как отдельную категорию рисков, которая должна поддерживаться определенной частью собственного капитала банка, носящей название "экономический капитал под операционный риск".

Российская действительность

Необходимость создания резервов под операционный риск или включение операционного риска в расчет норматива достаточности собственного капитала (Н1) может стать для российских коммерческих банков реальностью уже в ближайшие два года, так как это отражает стратегию развития банковского сектора и курс Банка России на внедрение риск-ориентированных подходов в оценке кредитных организаций.

Указание от 16 января 2004 г. N 1379-У "Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов" и представленный на обсуждение проект Указания "Об оценке экономического положения кредитных организаций"*(7) являются частью реализации этого риск-ориентированного подхода и дают представление о том, как Банк России оценивал и будет оценивать систему управления рисками банка. Письмо ЦБ РФ от 24 мая 2005 г. N 76-Т "Об организации управления операционным риском в кредитных организациях" (далее - письмо N 76-Т) достаточно четко прописывает основы системы управления операционными рисками в кредитных организациях. К сожалению, вопросы понимания операционных рисков и управления ими являются достаточно сложными, и такая степень детализации может оказаться недостаточной для выстраивания системы управления и подготовки внутренних документов банка по управлению операционными рисками. Об этом свидетельствуют как результаты исследования, проведенного в 2006 году компанией InfoWatch*(8), говорящие о том, что операционные риски вызывают у банков наибольшие трудности, так и наш опыт консультационной работы, показывающий, что финансистам сложно воспринимать нефинансовые показатели операционного риска, идентифицировать его факторы.

Кроме того, по результатам проведенных в 2005 году опросов руководителей и топ-менеджмента российских банков*(9) операционные риски не попадают даже в первую двадцатку основных проблем в управлении банком. Однако это не означает, что потенциал операционных потерь у нас ниже, ведь операционные риски возрастают с ростом объемов операций, чем и характеризуется российский банковский сектор, уже несколько лет существенно опережающий по темпам роста остальную часть российской экономики. Дополнительные опасения внушает также тот факт, что этот рост происходит во многом за счет роста розничного бизнеса, что предполагает большое количество операций и транзакций, и, следовательно, ведет к повышению уровня операционных рисков. Проявления операционных рисков в России уже видны, более того, они широко обсуждаются, так как рост невозвратов и просроченной задолженности по потребительским кредитам обусловлен не только и не столько кредитным риском отдельных заемщиков, сколько отсутствием в российских банках адекватных процедур их оценки, что является одним из проявлений операционного риска.

На этом фоне рекомендации Банка России по управлению операционными рисками пришлись как нельзя кстати, поскольку положение по управлению операционным риском в вашем банке должно основываться на нем.

Отправная точка

Основными внешними документами, на которых основывается положение по управлению операционным риском, являются Положение ЦБ РФ от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П) и письмо N 76-Т. Положение N 242-П определяет такие важные моменты управления и ограничения операционных рисков банка, как порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок; распределение должностных обязанностей служащих с целью исключения конфликта интересов; вопросы контроля за управлением информационными потоками, автоматизированными информационными системами и техническими средствами, а также вопросы контроля системы управления банковскими рисками. Письмо N 76-Т, закладывая основы системы управления операционными рисками (ОР) банка, оставляет широкий простор для творчества как в создании системы, так и в подготовке внутренних документов банков по управлению ОР.

Если у банка не налажена система управления
операционными рисками, с чего начать?

С подготовки документации или с построения системы? Рекомендуем начать с подготовки документов, что будет служить основой системы управления ОР и позволит ее правильно структурировать.

Положение по управлению ОР является документом третьего уровня (классификация условная) в системе документов банка, поэтому при его составлении следует руководствоваться внутренними документами банка первого уровня: уставом, положением о совете директоров (наблюдательном совете), положением о правлении, кодексом корпоративного управления. Это связано с тем, что ограничение операционных рисков, как никаких других, кроме, конечно, репутационного, напрямую связано с уровнем корпоративного управления и внутренней культурой кредитной организации.

Документы второго уровня, к которым относятся политика управления рисками и (или) положение о системе управления рисками, положение об организационной структуре банка, положение о распределении полномочий и др., позволят определить подходы и общую структуру, в рамках которой и будет осуществляться операционный риск-менеджмент.

Составные элементы положения

Структура документа во многом определяет его понятность и полезность ответственным сотрудникам, контролирующим и регулирующим органам. Хорошей практикой является использование многоуровневой структуры разделов, т.е. заголовков и подзаголовков. При создании структуры документа следует руководствоваться следующими основными принципами:

общие принципы и положения предшествуют более конкретным и частным, например, можно взять за основу саму структуру письма N 76-Т;

степень детализации зависит от масштабов и состава операций банка. Если для крупных банков необходима детализация принципов управления операционными рисками по направлениям деятельности, а методы идентификации и оценки следует вынести в отдельные приложения к положению или разработать отдельные методики, то для небольших, а зачастую и средних банков такая детализация, как правило, не нужна.

Приведем примерную структуру разделов положения, разработанную с учетом письма N 76-Т.

1. Общие положения.

2. Определения и термины.

3. Цели, задачи и принципы управления операционными рисками.

4. Классификация операционных рисков.

5. Идентификация операционных рисков.

6. Порядок ведения аналитической базы данных случаев реализации операционного риска.

7. Методы оценки и мониторинга операционных рисков.

8. Методы ограничения (минимизации) операционных рисков.

9. Стресс-тестирование и основные меры по обеспечению непрерывности финансово-хозяйственной деятельности.

10. Полномочия и ответственность подразделений банка в рамках системы управления операционными рисками.

11. Порядок предоставления внутренней отчетности.

12. Контроль системы управления операционными рисками.

13. Порядок раскрытия информации об операционных рисках.

14. Заключительные положения.

В том случае, если кредитная организация намерена раскрывать информацию об управлении операционными рисками таким заинтересованным сторонам, как иностранные партнеры и инвесторы, западные рейтинговые агентства, то в положение следует включить разделы "Культура управления операционным риском" и "Расчет экономического капитала".

Общие положения

В этом разделе следует отразить цели составления положения и ограничить круг вопросов, которые в нем рассматриваются, а также указать круг подразделений, для которых положение предназначено. В силу специфики ОР, которые проявляются при осуществлении любой деятельности, данное положение обязательно к изучению и исполнению всеми структурными подразделениями банка.

Также важно в этом разделе явно указать, в соответствии с какими нормативными или рекомендательными документами оно составлено. Минимумом здесь являются Положение N 242-П и письмо N 76-Т, а также внутрибанковские документы, указанные в разделе статьи "Отправная точка". Кроме того, в зависимости от стратегии и политики банка в области управления рисками могут быть указаны рекомендации Базельского комитета по банковскому надзору, общепринятые принципы управления рисками (Generally Accepted Risk Principles), лучшие отечественные и международные практики управления операционным риском (если в положении отражены передовые подходы к оценке операционного риска, не включенные ни в один из вышеприведенных документов, тем не менее признанные российским и западным банковским сообществом).

Определения и термины

Данный раздел призван унифицировать понимание операционных рисков и используемых банком способов управления ими всеми заинтересованными сторонами внутри банка, к которым относятся совет директоров, исполнительные органы, отдел (сотрудник) по управлению рисками, бизнес- и поддерживающие подразделения, а также контролирующие органы внутри и вне банка.

Как указывалось выше, выработка общепринятого в финансовом мире определения операционных рисков заняла не один год, что подчеркивает сложность проблематики, поэтому начать надо с определения операционного риска. Основываться можно на определении, данном Банком России в письме N 76-Т (является немного более подробной версией Базельского определения) либо определении Базельского комитета. При этом следует учесть, что определение Базеля включает в операционный риск юридические риски, в то время как Банк России рекомендует управление юридическим (правовым) риском выделить отдельно.

Другими существенными терминами, которые должны быть определены, являются термины подпунктов 1.2-1.4, 3.8, 3.11 и др. письма N 76-Т, т.е. все те термины, которые важны для идентификации, оценки, мониторинга, минимизации и контроля ОР и в отношении которых может не быть единого понимания. К таким терминам относятся: объекты ОР, факторы ОР, случай реализации операционного риска, бизнес-направление. Рассмотрим более подробно эту небольшую группу терминов.

Определение объектов операционного риска звучит так - "отдельные виды активов, расходов, доходов банка, качество процессов и операций, значения или состояние которых может претерпеть негативное изменение под воздействием источников (факторов) операционного риска". Различие между рекомендациями Базеля и письма N 76-Т (п. 1.4 "Операционные убытки...") заключается в том, что Базель явно указывает такой объект риска, как косвенные потери (недополученные доходы), которые подчеркивают связь между операционными рисками и риском потери деловой репутации. Например, исследование компании McKinsey*(10) показало, насколько сильно влияние операционных потерь компании на оценку ее стоимости участниками рынка. Так, падение котировок акций компаний продолжается в течение 100-180 дней с момента объявления о понесении убытков, что приводит к существенному (до 5,5%) снижению ее стоимости. Хотя в России подавляющее большинство кредитных организаций не имеют свободно обращающихся на рынке акций, это не означает, что косвенные операционные потери будут меньше: на Западе они легко наблюдаемы на рынке и поэтому легко измеримы; у нас же косвенные операционные убытки могут выражаться в закрытии лимитов на банк банков-партнеров, потере существующих или недостаточности притока новых клиентов и т.п.

По определению источники (факторов) операционного риска - это причины возникновения случайных или возможных событий, воздействующие на объекты риска и приводящие к ухудшению качества (сбоям) процессов и (или) финансовым потерям банка. В этом разделе можно ограничиться кратким определением, поскольку вопросы классификации и выявления (идентификации) факторов риска ввиду их важности как с точки зрения ограничения ОР, так и с точки зрения построения адекватных моделей для измерения величины ОР следует выделить в отдельный раздел.

Также следует определить, что банк понимает под случаем реализации операционного риска. Письмо N 76-Т не вводит такого термина, концентрируя внимание банков на понятии "операционные убытки". Однако с точки зрения выявления факторов операционного риска, его минимизации путем улучшения бизнес-процессов и связанных с персоналом факторов важна идентификация и фиксация случаев реализации операционного риска, которые не сопровождались потерями. Например, ошибки персонала какого-либо структурного подразделения или сотрудников, участвующих в определенном бизнес-процессе, могут не повлечь за собой потери, поскольку они исправляются другими сотрудниками или руководителями. Тем не менее эти ошибки должны фиксироваться в базе данных случаев проявления операционного риска и анализироваться, поскольку они могут быть связаны с неправильной организационной структурой, недостаточно или неэффективно организованным бизнес-процессом, свойствами персонала или системы отбора и обучения персонала.

Рассмотрим понятие "бизнес-направление", или "направление деятельности кредитной организации", под которым Банк России рекомендует понимать "относительно автономный компонент деятельности, выделяемый по признаку: категории клиентов, либо однородности банковских операций и других сделок, либо общности технологических процессов" и зададимся вопросом, зачем вообще выделять направления деятельности помимо структурных подразделений. Оно может быть необходимо для расчета экономического капитала по стандартизованному подходу, рекомендуемому Базельским комитетом. В таком случае бизнес-направление следует определять в точном соответствии с рекомендациями Базельского комитета, поскольку коэффициенты модели, позволяющей произвести расчет, определены именно на такой статистике, правда, западных банков. Углубляться в вопрос о применимости этих коэффициентов в российских условиях в данной публикации мы не будем, однако следует подчеркнуть, что статистика собрана Базельским комитетом по крупнейшим (универсальным) западным банкам, для которых характерна именно такая организационная структура, практически совпадающая с "бизнес-линиями" (в определении Базеля).

Выделение и определение направлений деятельности также необходимо, если банк планирует построение внутренней модели ОР. Хотя в данном случае речь скорее должна идти о бизнес-процессах, которые являются основными носителями операционного риска в банке. Например, лишь малая часть ошибок персонала связана со свойствами личности, большая же их часть определяется неправильной организацией или недостаточной регламентацией основного бизнес-процесса или бизнес-процесса набора и подготовки персонала.

Рекомендуется также определить такие инструменты мониторинга и оценки ОР, как карта операционного риска, ключевые показатели ОР, внутренняя модель и пр., если банк их использует.

Цели, задачи и принципы управления операционными рисками

Понятно, что основной целью управления операционными рисками любой кредитной организации является их своевременное выявление и минимизация. Однако банк может в положении сформулировать несколько целей с учетом их иерархии, что рекомендуется для крупных банков. Задачи, вытекающие из целей управления операционными рисками, существенно зависят от приоритетных направлений деятельности банка, а также той стадии, на которой находится система управления ОР банка. Положение по управлению операционными рисками рекомендуется пересматривать не реже одного раза в год, корректируя или устанавливая новые задачи, а возможно, и цели. Особенно это касается введения новых направлений деятельности и новых продуктов, географического расширения банка. Принцип обновления такой же, как, например, при управлении кредитным риском, где при введении принципиально нового продукта следует проанализировать кредитную политику и внести в нее изменения, добавить раздел или отдельную методику оценки кредитоспособности заемщика, изменить способ оценки кредитного портфеля.

"Рис."

Отметим здесь также те вопросы, которые обошел вниманием Банк России в письме N 76-Т. Они касаются вопроса культуры управления ОР в рамках корпоративного управления банка, а также понятий присущий и остаточный риск. Обратимся к рисунку. Суммарная площадь круга отображает операционные риски банка, возникающие в связи с осуществлением его деятельности и зависящие от масштабов деятельности банка и характера его операций. Их принято называть "присущий риск". Сектор "контролируемый риск" отражает ту величину риска, которую банк идентифицировал и полностью контролирует за счет четкой регламентации бизнес-процессов и операций, разграничения прав и ответственности, защиты информационных систем, выбора поставщиков программного обеспечения и оборудования, эффективного отбора и обучения персонала и т.д. Цель банка - максимально расширить эту область как за счет лучшей идентификации рисков, так и за счет улучшения методов его контроля (предупреждения), что, в свою очередь, определяется культурой управления операционными рисками, контролем за системой управления операционными рисками в рамках системы корпоративного управления банка.

Важно также определить те объекты операционного риска, которые подлежат защите страхованием (сектор "страхуемый риск"), а в отношении "нестрахуемого риска", факторы которого идентифицированы, обеспечить покрытие либо резервированием, либо закладыванием в бюджет доходов и расходов, например, таких статей, как пени, штрафы, неустойки и пр., либо покрытие частью собственного капитала банка.

При отражении в положении принципов управления операционными рисками мы рекомендуем руководствоваться, помимо письма N 76-Т, десятью принципами, предложенными Базельским комитетом. Приведем тезисно некоторые из принципов, которые, безусловно, должны быть включены в положение:

управление операционными рисками проводится на постоянной основе во всех структурных подразделениях банка;

совет директоров (наблюдательный совет) регулярно информируется об уровне операционных рисков банка и периодически дает оценку результатам работы системы управления операционными рисками банка;

исполнительные органы банка несут ответственность за создание эффективной системы управления ОР, установление порядка взаимодействия и представления отчетности по ОР;

проводится регулярная оценка уровня операционных рисков, присущих как существующим на момент оценки, так и разрабатываемым продуктам, видам деятельности, автоматизированным системам и процессам банка;

ведется постоянный мониторинг операционных рисков и операционных потерь, соответствующая информация предоставляется в виде отчетов руководству банка.

Список основных принципов должен быть расширен в соответствии со спецификой деятельности банка и объемом его операций. Например, в случае, если вы знаете, что в банке есть "узкие места" с повышенной нагрузкой на людей или информационные системы, включите в список принципов приоритетность управления операционными рисками именно на этих участках. Для операций, ошибка в проведении которых может дорого обойтись банку (например, расчет ликвидной позиции, работа с VIP-клиентами), целесообразно использовать принцип двойного контроля при их осуществлении.

Определенные в положении принципы управления операционным риском не должны рассматриваться как некая декларация о намерениях. Следует сформулировать их так, чтобы они служили фундаментом и ориентиром как при расширении и развитии системы управления операционными рисками, так и при проведении внутренних проверок эффективности работы этой системы.

Классификация операционных рисков

Учитывая огромное многообразие проявлений операционного риска, для целей идентификации риска, оценки и управления необходимо иметь надежный инструмент более точного определения принадлежности каждого инцидента потерь к тому или иному типу операционных рисков.

Классификация операционных рисков и фактов потерь по ним является критически важной для их количественного анализа, проводимого на основе данных аналитической базы данных, о которой будет сказано ниже. Категоризация операционных потерь при ведении этой базы данных является необходимым (для целей последующего анализа) элементом, так же как и в общем процессе управления операционными рисками, поскольку различные категории операционных рисков предполагают принятие различных мер, направленных на их снижение (минимизацию).

Модель классификации операционных рисков на первом уровне категорий должна быть согласована с приведенной в письме N 76-Т (п. 1.3), которая полностью совпадает с рекомендованной Базельским комитетом. В этом отношении необходимо учитывать, что данная структура категорий определена на основе примеров входящих в различные категории рисков, а значит, точные определения данных категорий еще находятся в стадии разработки. В связи с этой недоопределенностью у специалистов банка нередко возникают затруднения с отнесением случаев реализации операционного риска в одну из его категорий. Поэтому мы рекомендуем в положении банка приводить максимально подробную расшифровку этих категорий с тем, чтобы уменьшить возникающую неоднозначность.

Хорошей формой организации данного раздела может послужить, например, такая таблица, фрагмент которой приведен ниже (табл. 1).

Данная классификация используется как риск-менеджерами, так и сотрудниками других подразделений банка при ведении аналитической базы данных по операционным рискам. Сотрудники подразделений, вносящие в базу данных случаи реализации операционных рисков, должны, руководствуясь данной классификацией, определять категорию и тип операционных рисков, к которым относится регистрируемый случай, либо приводить описание инцидента в свободной форме, если категоризация вызывает затруднения. На основе этого описания риск-менеджеры сами определяют категорию и тип операционного риска.

Таким же образом следует действовать при проведении идентификации операционных рисков, описанной ниже, для которой рассмотрение подверженности деятельности банка различным категориям и типам операционных рисков является необходимым.

Идентификация операционных рисков

Совершенствование системы управления операционными рисками банка разумно начинать с повышения качества его идентификации, основные методы которой перечислены в письме N 76-Т (подп. 3.2-3.4). Это связано с тем, что неявный характер принятия ОР, связанный со сложностью его выявления и оценки, приводит к тому, что часть операционных рисков, которая не была выявлена или была недооценена, увеличивает остаточный риск (см. рисунок), принимается банком неявно, а значит, лежит вне контроля банка.

Идентификация операционного риска является одной из самых сложных задач, с которыми сталкиваются специалисты банков в рамках общей системы управления операционным риском. Выявлять факторы операционного риски сложнее, чем рыночного и кредитного, и не только потому, что кредитный и рыночный риски четко определены и проявляются лишь в определенных видах деятельности банка, в то время как операционные риски присущи любой деятельности и к тому же недоопределены. Операционные риски более сложны по своей природе, разнородны по источникам возникновения, трудны для формализованного описания и моделирования. Поэтому в данном разделе необходимо четко прописать методы идентификации ОР, включая ссылки на принятый банком способ классификации факторов риска, случаев реализации ОР, объектов риска.

Операционные риски необходимо идентифицировать во всех продуктах, услугах, бизнес-процессах и системах, как уже имеющихся, так и разрабатываемых и планируемых к внедрению, что невозможно без детального знания продуктов, бизнес-процессов и информационных систем. Только зная детали и тонкости работы всех этих механизмов, можно идентифицировать большую часть операционного риска, ведь он имеет свойство проявляться в самых узких местах, неочевидных на первый взгляд и почти никогда незадокументированных. Поэтому выявлением операционных рисков должны заниматься специалисты на местах, которые непосредственно имеют дело с соответствующим бизнес-процессом, продуктом или системой, действуя сообща с риск-менеджерами банка. Роль риск-менеджеров в идентификации - установить систему правил, по которой она проводится, довести ее до сведения соответствующих компетентных сотрудников, удостовериться в правильном их понимании и оказывать этим сотрудникам необходимую методологическую поддержку при возникновении затруднений.

Эти сотрудники, проанализировав свои участки работы, должны довести до сведения специалистов по рискам выявленные на их участках уязвимости к операционным рискам. Наиболее оптимальный вариант - сделать это в форме опросного листа по процессу (части процесса), деятельности структурного подразделения или направления деятельности (в зависимости от требуемой степени детализации). В опросе должны принимать участие в первую очередь разработчики продукта (процесса), руководители (владельцы бизнес-процессов) и ключевые специалисты подразделений, которые имеют более целостную картину проблем. Вопросы анкеты должны быть структурированы так, чтобы "провести" сотрудника-респондента через несколько точек зрения на риски бизнес-процессов, в которых он задействован.

Еще одной проблемой является выработка единого и четкого понимания по разграничению операционных рисков с другими типами рисков. ОР в ряде бизнес-процессов связаны с кредитными и рыночными рисками, что затрудняет их правильную идентификацию.

Пример

Специалист отдела ценных бумаг неверно ввел в торговую систему объемы желаемой покупки акций, завысив их в десять раз (вместо 1000 шт. бумаг ценой 1000 руб. купил 10 000 шт.). За то время, пока данная ошибка не была обнаружена, биржевая цена на соответствующую ценную бумагу изменилась в негативную для банка сторону (уменьшилась на 1% при длинной позиции). Это приводит к дополнительным потерям по ошибочно открытой позиции в 9000 бумаг. При этом потери в 10 000 руб. по изначально желаемой позиции в 1000 акций относятся на рыночный риск, а потери в 90 000 руб. по нежелательной позиции в 9000 акций относятся на потери по операционному риску. Суммы приведены для примера.

При выявлении операционного риска стоит учитывать, что факторы различаются по своему значению для банков. Так, большинство специалистов сходится на том, что наиболее опасны с точки зрения увеличения операционного риска банков именно риски, связанные с бизнес-процессами и персоналом банка. Поэтому как при идентификации, так и при оценке операционных рисков особое внимание следует уделять именно этим факторам. Вместе с тем на текущий момент большинство подходов к оценке операционных рисков в явном виде не учитывают структуру бизнес-процессов банка, хотя именно они являются основными носителями операционного риска. Этим обусловлено развитие специальных методологий, позволяющих выявлять и оценивать уровень операционного риска, учитывая организационную структуру и специфику бизнес-процессов конкретного банка.

Порядок ведения аналитической базы данных случаев реализации
операционного риска

В данном разделе необходимо прописать порядок ведения аналитической базы данных (ответственность и регламент осуществления записей), а также указать основные атрибуты, которыми описываются случаи реализации ОР. Непрерывное ведение базы данных необходимо, чтобы банк имел четкое представление о вероятности возникновения операционных потерь определенного размера, определенного типа и в определенном месте, требуемых для повышения точности оценки ОР. Повышения точности можно достичь, только измеряя параметры риска на основе реальных данных о потерях. И наконец, в свете приближающегося момента внедрения Банком России требований к капиталу по Базелю II, информация, накопленная к тому времени в базе данных, существенно облегчит банку задачу расчета экономического капитала под операционный риск. В соответствии с Базельскими стандартами для признания базы данных пригодной для использования в целях расчета экономического капитала на основе внутренних моделей в ней должна содержаться информация как минимум за три последних года. Поэтому лучше начинать сейчас.

Как правило, ведение аналитической базы данных операционных убытков возлагается на отдел по управлению рисками, поскольку отчеты об операционных убытках и инцидентах от различных подразделений требуют дополнительной обработки, с учетом того, что информация в базе данных должна храниться в унифицированном формате. Помимо этого при занесении информации в базу данных должны быть указаны категория операционных рисков и бизнес-линия, к которым принадлежит фиксируемое событие. Случаи реализации операционного риска должны четко классифицироваться по категориям факторов риска, типов операционных потерь, что может вызвать затруднения у сотрудников остальных подразделений банка.

В базу данных должны включаться как факты понесения операционных убытков, снижения стоимости и утраты активов, так и случаи (инциденты) проявления операционных рисков, не повлекшие за собой прямых денежных потерь (например, ошибки сотрудников и т.п.), что также является информацией, необходимой для анализа операционных рисков, ведь при наличии тенденции к увеличению числа инцидентов, не повлекших за собой финансовых убытков, эти инциденты могут "перейти в другую категорию" и начать приносить реальные убытки.

События (записи) в базе данных должны как минимум содержать следующие элементы:

дату и время события;

подразделение (подразделения), в котором оно произошло;

бизнес-линию (направление деятельности), в которой оно произошло;

описание события;

категорию операционного риска;

тип операционного риска;

объект операционного риска (например, бизнес-процесс кредитования);

величину потерь.

При составлении данного раздела положения полезно учитывать, что аналитическая база данных обеспечивает адекватную информационную базу для применения продвинутых подходов к оценке операционных рисков. Использование таких подходов позволит банку по мере накопления статистики существенно снизить уровень требуемого экономического капитала под операционный риск по сравнению с базовым и стандартизованным подходами к его расчету, рекомендуемыми Базельским комитетом, и соответственно соблюдать нормативное значение коэффициента достаточности капитала при увеличении рисковых активов.

Для построения внутренней модели ОР в базу данных рекомендуется также регулярно (не реже одного раза в месяц) вносить значения коэффициентов, характеризующих состояние факторов операционного риска: параметры организационной структуры, показатели эффективности бизнес-процессов, показатели нагрузки на системы и персонал. Это позволит построить модель операционного риска, связывающую объекты риска с факторами риска с учетом организационной специфики банка и обладающую, в отличие от статичных подходов, управленческой ценностью.

Методы оценки и мониторинга операционных рисков

Описание данного раздела положения в части методов оценки ОР сильно зависит от уровня, на котором находится система операционных рисков банка. В риск-менеджменте измерение риска всегда предшествует управлению им, и операционный риск в этом не исключение. Стоит отметить, что лишь немногие методы оценки операционного риска являются на текущий момент общепринятыми в финансовом мире, и все признанные подходы к оценке являются таковыми потому, что во многом традиционны и хорошо себя показали при использовании в других прикладных задачах риск-менеджмента. Специализированный же инструментарий для оценки именно операционных рисков, хотя, на наш взгляд, уже довольно хорошо разработан, пока применяется в основном крупными западными финансовыми институтами.

Использование статистических методов оценки операционного риска будет необходимо банкам для целей вычисления уровня операционного риска по методологии Value-at-Risk (VaR) и на его основе - расчета уровня экономического капитала под операционный риск (в случае использования так называемых продвинутых методов оценки риска). Хотя VaR является высокоточной и стандартно используемой в риск-менеджменте мерой риска, ее применение на текущем этапе в большинстве российских банков невозможно. Это объясняется высокими требованиями, которые данная методология предъявляет к объему исходных данных об операционных потерях, необходимых для построения кривой распределения потерь. Достаточный объем информации по операционным убыткам будет накоплен российскими банками только через несколько лет.

В условиях отсутствия достаточного объема данных в качестве основных подходов к измерению ОР банк может использовать экспертные методы. Одним из таких методов является составление карты операционных рисков. Карты рисков могут использоваться как для оценки риска, так и для его мониторинга, если строятся с определенной периодичностью. В идеале построение карты рисков также должно основываться на фактических данных о потерях, но в качестве первого приближения она может быть построена на основе результатов опроса экспертов (менеджеров и специалистов банка). Очевидным минусом данного подхода является субъективный характер получаемых результатов, поэтому по мере накопления реальных данных об операционных потерях построение карты рисков должно осуществляться на их основе.

Экспертные методы являются вспомогательными в тех областях, где возможны объективные численные оценки, там, где количественная оценка величины риска невозможна, они практически не имеют альтернативы. Так, основным методом оценки уровня контроля ОР является проведение анкетных опросов менеджмента банка. В ходе этого опроса эксперты (руководители подразделений) проводят критическую самооценку уровня контроля в своих отделах. По результатам проведения опроса, на основе ответов экспертов и значимости (веса) каждого вопроса, вычисляется итоговый балл, характеризующий состояние контроля и управления в банке. Несмотря на то что данный итоговый балл служит лишь косвенной оценкой уровня операционных рисков, важно регулярно (не реже одного раза в год) проводить такие опросы, поскольку это практически единственный инструмент оценки одного из основных факторов операционного риска - уровня контроля (см. рисунок), который нельзя напрямую количественно измерить.

Одним из методов численной оценки операционных рисков, не требующих "исторических" данных, является расчет ключевых индикаторов операционного риска. В состав данных индикаторов входят как показатели, характеризующие частоту возникновения случаев операционных убытков (число сбоев информационных систем, число ошибок сотрудников и т.д.), так и показатели, косвенно характеризующие вероятность возникновения потерь (текучесть кадров, частота резервного копирования информации и т.д.). Ключевые индикаторы риска являются инструментами не только оценки, но и мониторинга, а также раннего предупреждения, поскольку наличие тенденции к ухудшению их значений может свидетельствовать о возрастающей уязвимости банка (бизнес-направления, бизнес-процесса) к операционным рискам*(11).

Наиболее полезным методом оценки операционного риска с точки зрения управления является анализ основных носителей операционного риска - организационной структуры и бизнес-процессов банка. Этот метод основан на системе показателей, характеризующих значения факторов операционного риска, таких как нагрузка на персонал и системы, эффективность распределения компетенций, обязанностей и полномочий сотрудников и т.д. Это практически единственный из всех приведенных выше методов оценки операционных рисков, который дает возможность для построения модели связи факторов операционного риска с объектами риска (величиной операционных потерь).

Не все из приведенных в этом разделе методов подходят для частого использования, а значит, и для мониторинга операционных рисков, который необходим для оперативной оценки уровня ОР. Оптимальными инструментами для целей мониторинга являются, на наш взгляд, ключевые индикаторы ОР, а также расчет параметров организационной структуры и бизнес-процессов, поскольку остальные описанные методы не предназначены для целей оперативного анализа. При проведении мониторинга важно обращать внимание не только на значения соответствующих показателей и их нахождение в пределах установленных лимитов, но и на тенденции в их изменении, что позволит сосредоточить усилия по управлению на наиболее проблемных участках деятельности банка.

Методы ограничения (минимизации) операционных рисков

При описании данного раздела, так же как и при разработке комплекса мер по ограничению операционных рисков и уменьшению последствий операционных потерь, следует в первую очередь исходить из того, что факторы операционного риска делятся на подконтрольные банку и не подконтрольные ему. Поэтому данный раздел рекомендуется разбить на два соответствующих подраздела, особенно для крупных банков.

В отношении подконтрольных банку факторов операционного риска в разделе описываются основные меры, направленные на их снижение (минимизацию). Общее описание мер, приведенное в письме N 76-Т, необходимо детализировать и дополнить с учетом специфики банка и его корпоративного управления. Конкретные меры, направленные на снижение операционного риска на каждом конкретном участке деятельности банка, вырабатываются на основе информации об уровне операционных рисков на данном участке (полученной при оценке операционных рисков) в сопоставлении со стоимостью принятия рассматриваемых мер. Целесообразно применять такие меры по ограничению риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек.

В отношении неподконтрольных банку факторов риска, таких как, например, ущерб материальным активам в результате форс-мажорных обстоятельств, в положении прописываются подходы банка к использованию страхования в отношении различных объектов своей собственности или сотрудников, а также меры, направленные на максимально быстрое преодоление подобного рода обстоятельств, в случае их наступления. Для этого рекомендуется заранее предусматривать варианты действий при возникновении непредвиденных обстоятельств, чтобы обеспечить максимально оперативный выход из кризиса (об этом будет сказано ниже).

В состав мер по снижению (минимизации) операционного риска (как в части подконтрольных, так и неподконтрольных факторов) должны входить меры, направленные на предотвращение случаев проявления операционного риска, и меры, направленные на ограничение потерь, в случае если рисковое событие все же произошло. Первые направлены на уменьшение вероятности возникновения потерь (вплоть до сведения ее к нулю), вторые - на уменьшение величины потерь, что позволяет достичь всестороннего управления операционным риском по частоте и величине операционных потерь.

Стресс-тестирование и основные меры по обеспечению
непрерывности финансово-хозяйственной деятельности банка

Сценарный анализ и стресс-тестирование используются банком для анализа возможных значений его операционных убытков в различных вариантах развития событий. Сильной стороной данных методов является возможность детальной оценки таких факторов операционного риска, которые проявляются, как правило, в единичных случаях и не подлежат статистическому анализу (например, масштабное отключение энергоснабжения, серьезные системные сбои, форс-мажорные обстоятельства). Данные методы оценки операционных рисков - основные при выработке планов по обеспечению непрерывности деятельности банка.

Стресс-тестирование в отношении операционных рисков для крупных кредитных организаций должно быть вынесено в отдельную методику даже в том случае, если отсутствуют модели операционных рисков и она проводится экспертно. Для небольших и средних банков, как правило не имеющих моделей, в данном разделе могут быть прописаны характеристики стресс-теста и экспертная оценка последствий реализации рисковых событий (цепи событий). Реализация операционных рисков такого масштаба, как правило, требует адекватных планов.

Поэтому во второй части раздела описываются основные меры по обеспечению непрерывности финансово-хозяйственной деятельности и даются ссылки на документы, где детально прописаны мероприятия, ответственность конкретных лиц, регламенты взаимодействия. В положении необходимо отразить по каждой из ситуаций стресс-теста:

принципы, которыми банк руководствуется при обеспечении непрерывности деятельности;

ссылки на документы, детализирующие состав мер, принимаемых банком по недопущению нарушения нормальной деятельности, порядок действий при возникновении сбоев в деятельности банка, порядок действий, направленный на восстановление нормальной деятельности банка после сбоя.

Стресс-тестирование и подготовка планов обеспечения непрерывности деятельности должны касаться, в первую очередь, остановки информационных систем, нарушений каналов связи, катастроф и террористических актов.

Полномочия и ответственность подразделений банка в рамках системы
управления операционными рисками

В разделе должны быть описаны полномочия и ответственность совета директоров (наблюдательного совета) и исполнительных органов банка в соответствии с документами первого уровня (устав, кодекс корпоративного управления и др.). Функции подразделений банка и отдела (сотрудника) по управлению операционными рисками детализируются не только с точки зрения вопросов идентификации, оценки, мониторинга ОР, но и в плане предоставления (получения) информации по ОР. Рекомендуется избегать чрезмерного усложнения состава потоков данных и отчетов, передаваемых между подразделениями в рамках системы управления ОР, поскольку это может существенно повысить нагрузку на персонал и сделать систему управления рисками еще одним источником операционных рисков.

Основная часть работ по анализу рисков в рамках системы управления ОР осуществляется подразделением (сотрудником) по управлению рисками. Подразделение (ответственный сотрудник) контролирует ведение базы данных, проводит обобщение результатов, на регулярной основе осуществляет анализ уровня операционных рисков и объемов понесенных убытков в разрезе направлений деятельности и (или) структурных подразделений банка, категорий ОР, проводит оценку экономического капитала. В рамках системы управления операционными рисками данный отдел наделен исключительными полномочиями по обобщению и обработке отчетов структурных подразделений и предоставлению соответствующих отчетов исполнительным органам банка. Отдел отвечает также за разработку и апробацию новых методик оценки, анализа и управления ОР.

Важная роль в управлении ОР отводится другим подразделениям банка, которые не только обязаны на регулярной основе предоставлять в отдел риск-менеджмента информацию о случаях операционных потерь, но и выявлять факторы ОР в бизнес-процессах, услугах и продуктах. На руководителей структурных подразделений рекомендуется возложить ответственность за создание такого климата и культуры управления рисками в подразделении, чтобы это способствовало раннему выявлению факторов риска, а также полному отражению фактов реализации ОР в базе данных. В настоящее время это является одной из существенных проблем при выявлении факторов риска, учете потерь от реализации ОР.

Также следует прописать ответственность службы внутреннего контроля, хотя функциям СВК рекомендуется посвятить отдельный раздел.

Порядок предоставления внутренней отчетности

Состав и конкретные формы отчетности сильно зависят от выбранных банком методик анализа операционных рисков и принятой культуры корпоративного управления. В рамках системы управления ОР основная часть отчетов создается в подразделении по управлению рисками и предоставляется на рассмотрение комитету по управлению рисками (если размер банка предполагает создание такого коллегиального органа), исполнительным органам. Отдельные виды отчетов рекомендуется разработать для совета директоров (наблюдательного совета) банка. В соответствии с политикой банка в области раскрытия информации по операционным рискам часть сведений из отчетов об уровне операционного риска может быть включена в годовой отчет банка.

Приведем пример схемы предоставления отчетности, применяемой одним из банков (табл. 2).

Приведем пример отчетной таблицы того же банка о фактическом уровне понесенных операционных убытков в разрезе категорий операционного риска (табл. 3).

Контроль системы управления операционным риском

Контроль системы управления операционным риском банка осуществляется службой внутреннего контроля и исполнительными органами банка на постоянной основе. Периодичность проверок СВК определяется частотой возникновения операционных убытков; в любом случае соответствующая проверка должна проводиться не реже одного раза в год. Особо подчеркнем, что СВК имеет полномочия и обязанность только по проверке и контролю эффективности системы управления операционным риском, но никак не по контролю самих операционных рисков. Это соответствует основополагающему принципу разделения функций управления и контроля управления в организации.

СВК банка, в целях обеспечения контроля системы управления операционными рисками, включает в ежегодные планы проверок вопросы оценки эффективности системы управления операционным риском, при проверке отдельных операций (направлений деятельности, подразделений) контролирует соблюдение основных принципов управления операционными рисками, выборочно проверяет правильность применения и использования инструментов оценки и подходов к управлению операционным риском, проверяет организацию процесса ведения аналитической базы данных по операционным убыткам, а также при изменении или разработке новых нормативных внутрибанковских документов проводит оценку их соответствия основным принципам управления операционным риском.

Порядок раскрытия информации

В положении необходимо отразить порядок раскрытия информации об управлении операционными рисками, принятый в банке в соответствии с его нормами корпоративного управления. При определении политики раскрытия информации необходимо руководствоваться следующими принципами:

чем более "рыночным" (конкурентным) является банк, тем больше информации по ОР ему рекомендуется раскрывать;

характер и детализация раскрываемой информации должны соответствовать статусу заинтересованной стороны;

часть самой общей информации, отражающей наличие в банке системы управления операционными рисками и ее основные принципы, рекомендуется включать в годовой отчет.

Например, банку, обслуживающему в основном небольшое число связанных с ним компаний, нет необходимости публично раскрывать детали управления операционными рисками, достаточно минимального публичного раскрытия. Если же банк планирует привлечь западные инвестиции, получить рейтинг западного агентства, выпустить долговые ценные бумаги, объем раскрытия информации должен быть достаточным для того, чтобы участники рынка могли составить мнение о культуре и методах управления операционными рисками.

Форма предоставления соответствующей информации выбирается банком в соответствии с целевой аудиторией. Например, если эта информация предназначена для небольшого числа контрагентов - юридических лиц, оптимальной формой раскрытия будет ее предоставление по запросу (информация о возможности такого запроса должна быть доведена до их сведения заранее). Если банк имеет целью сделать эту информацию доступной широкому кругу клиентов и контрагентов, оптимальным вариантом будет использование интернет-сайта банка.

Заключительные положения

В данном разделе рекомендуется отражать: дату вступления положения в действие, наименование подразделения - разработчика положения; порядок доведения документа до сведения сотрудников банка, периодичность его пересмотра и порядок принятия изменений и дополнений к нему.

Что касается периодичности пересмотра положения, то его следует производить регулярно, не реже одного раза в год.

Таблица 1

N	Категория операционного риска	Типы операционного риска
3	...	...
4	Клиенты, продукты и ведение бизнеса Описание: Нарушения иного законодательства, неиспол- нение или ненадлежащее исполнение возникаю- щих из договоров обязательств, связанных с основной деятельностью, перед клиентами, контрагентами и (или) иными третьими лица- ми; нарушение обычаев делового оборота	Нарушения банковского, антимонопольного законода- тельства; нарушения законодательства по противодействию от- мыванию доходов, полученных преступным путем, и финансированию терроризма; нарушения правил и инструкций по раскрытию инфор- мации; ненадлежащее использование конфиденциальной ин- формации; ненадлежащее использование инсайдерской информа- ции, в том числе при операциях с ценными бумага- ми; осуществление нелицензированной деятельности; нарушение общих принципов ведения банковского бизнеса; нарушение доверительных отношений с клиентами и контрагентами банка, нарушение этических принци- пов взаимоотношений с клиентами; умышленное осуществление действий, противоречащих интересам и правам клиентов; умышленное предоставление клиентам некачественных консультационных услуг, в том числе при операциях с ценными бумагами; навязывание услуг, сговор по ценам; умышленное предоставление клиентам некачественных банковских продуктов, неполное сообщение или ис- кажение информации о банковских продуктах; другие нарушения взаимоотношений с клиентами и базовых принципов ведения бизнеса
5	...	...

Таблица 2

Наименование отчета	Порядок предоставления
Отчет о фактически понесенных операционных убыт- ках (на основе информации аналитической БД)	Предоставляется: комитету по управлению рисками - ежемесячно; исполнительным органам - ежеквартально (при нас- туплении существенных убытков - незамедлительно); совету директоров (наблюдательному совету) - по итогам года
Отчет о значениях ключевых показателей риска (в целом по банку и в разрезе подразделений) и соб- людении лимитов ключевых показателей риска	Предоставляется: комитету по управлению рисками - ежедекадно; исполнительным органам - ежеквартально. По решению исполнительных органов информация мо- жет быть вынесена на совет директоров
Отчет по результатам анкетного опроса самооценки уровня контроля ОР	Предоставляется: комитету по управлению рисками - ежегодно; исполнительным органам - ежегодно; совету директоров (наблюдательному совету) - еже- годно. В случае существенных изменений организационной структуры, бизнес-процессов, вводе новых продук- тов проводится внеплановый анкетный опрос
Отчет по результатам расчета экономического ка- питала и соблюдения установленных лимитов на операционный риск	Предоставляется: комитету по управлению рисками - ежегодно; исполнительным органам - ежегодно; совету директоров (наблюдательному совету) - еже- годно
...

Таблица 3

Операционные убытки в разрезе категорий операционного риска

N	Категория операционного риска	Размер убытков, тыс. руб.	Максимальный размер убытков*(1)	Средний размер убытков*(1)	Количество случаев операционных убытков
1	Внутреннее мошен- ничество
2	Внешнее мошенниче- ство
3	Практика занятости и безопасность труда
4	Клиенты, продукты и ведение бизнеса
5	Ущерб материальным активам
6	Остановка бизнеса и сбои в системах
7	Проблемы с управ- лением и исполне- нием операций
*(1) Среди всех случаев операционных потерь, зафиксированных по банку и принадлежащих данной категории операционного риска.

Д. Штатов,

консультант компании "Франклин & Грант. Финансы и аналитика"

В. Зинкевич,

руководитель отдела консалтинга

компании "Франклин & Грант. Финансы и аналитика"

"Бухгалтерия и банки", N 10, октябрь 2006 г.

-------------------------------------------------------------------------

*(1) International Convergence of Capital Management and Capital Standards//Basle Committee on Banking Supervision, Basle: July 1988.

*(2) Risks in Computer and Telecommunication Systems//Basle Committee on Banking Supervision, Basle: July 1989.

*(3) Risk Management for Electronic Banking and Electronic Money Activities//Basle Committee on Banking Supervision, Basle: March 1998.

*(4) Operational Risk Management//Basle Committee on Banking Supervision, Basle: September 1998.

*(5) Sound Practices for Management and Supervision of Operational Risk//Basel Committee on Banking Supervision, Basel: February 2003.

*(6) International Convergence on Capital Measurement and Capital Standards: a Comprehensive Version//Basel Committee on Banking Supervision, Basel: June 2006.

*(7) Указание ЦБ РФ "Об оценке экономического положения кредитных организаций" (проект). Обсуждение данного документа было закончено 1 сентября 2006 года.

*(8) "Соглашение Basel II в России 2006: Операционные риски - основная проблема банков", совместное исследование компании InfoWatch и Национального Банковского Журнала, 2006 г.

*(9) См., например, "Ежегодное исследование рисков, с которыми сталкиваются банки: Banana Skins 2005" Центра по Изучению Финансовых Инноваций (ЦИФИ), в котором принимали участие в том числе респонденты из РФ.

*(10) Robert S. Dunnett, Cindy B. Levy and Antonio P. Simoes. Managing operational risk in banking. The McKinsey Quarterly, 2005 (1).

*(11) Вопросу расчета индикаторов операционного риска будет посвящена отдельная статья в журнале "Бухгалтерия и банки".

Методы оценки и анализа операционных рисков, а также модели оценки, способы их построения - очень широкая и интересная область "науки управления рисками", которая заслуживает отдельного рассмотрения. - Примеч. ред.