Швейцарский стандарт (А. Дроздов, "Риск-менеджмент", N 9-10, сентябрь-октябрь 2007 г.)

Швейцарский стандарт

Базель II против операционных рисков

Операционные риски - одна из самых серьезных угроз для банковского бизнеса. Они изменяются и требуют постоянного контроля. Как разработать систему управления, которая отвечает мировым стандартам и сокращает убытки от реализации этих рисков?

Из всех банковских рисков операционный -второй по значимости после кредитного. На третьем месте находится рыночный риск. По данным PricewaterhouseCoopers, 69% банков уверены, что потери от операционных рисков (ОР) такие же или даже более существенные, чем от рисков рыночных или кредитных. Базель II рекомендует рассматривать их в качестве отдельной категории рисков. Для управления этой угрозой кредитной организации следует выделить часть собственного капитала - так называемый экономический капитал под ОР.

Варианты оценки

Первый шаг в управлении тем или иным риском - это его выявление и оценка. Риски оценивают с помощью количественного и качественного способов. Количественная оценка основана на статистике, однако при этом результат имеет прогнозный характер и в значительной степени зависит от уровня принимаемой доверительной вероятности. В свою очередь, метод расчета ключевых индикаторов не требует "исторических" данных. В состав ключевых индикаторов входят показатели, которые характеризуют частоту операционных убытков: число сбоев информационных систем, число ошибок сотрудников. Кроме того, учитываются показатели, характеризующие вероятность возникновения потерь: текучесть кадров, частота резервного копирования информации. Наиболее эффективен анализ нефинансовых факторов ОР - так называемых риск-факторов. Этот метод основан на оценке таких показателей, как нагрузка на персонал и системы, эффективность распределения компетенций, обязанностей и полномочий сотрудников и т.д. Он позволяет определить связи факторов риска с объектами риска. Качественные (экспертные) способы оценки рисков применяются, когда не хватает статистических данных. Они используются для оценки качественного уровня процедур и технологий.

Оценивая ОР, следует помнить об их изменчивости. Необходим постоянный мониторинг, который будет учитывать не только значения показателей, но и тенденции их изменения.

Источники информации

Ведущую роль в организации банковского РМ играет Базельский комитет по банковскому надзору. Комитет вырабатывает правила по минимальному размеру собственного капитала для кредитных организаций. Подходы к управлению ОР были определены Базельским комитетом по банковскому надзору в 1998 году. Позднее в "Практических рекомендациях" Базеля II были сформулированы известные десять принципов РМ. Они затрагивали среду управления, идентификацию, оценку, мониторинг, контроль и снижение ОР, а также роль надзорных органов и информационной открытости. При эффективном управлении можно добиться значительного снижения требований к экономическому капиталу под ОР.

Основные документы, регламентирующие управление ОР в российских банках, - это Положение ЦБ РФ от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" и письмо Банка России от 24 мая 2005 года N 76-Т "Об организации управления операционным риском в кредитных организациях". Положение N 242-П определяет порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок, распределение должностных обязанностей служащих с целью исключения конфликта интересов, контроль управления информационными потоками, автоматизированными информационными системами и техническими средствами, а также контроль системы управления банковскими рисками.

Идентификацию ОР, согласно письму N 76-Т, следует проводить на нескольких уровнях: на уровне изменений в финансовой сфере в целом; на уровне подверженности ОР направлений деятельности банка (с составлением так называемого риск-портфеля банка); на уровне отдельных банковских операций и сделок; на уровне внутренних процедур, включая систему отчетности и обмена информацией. Мониторинг ОР осуществляется при помощи регулярного изучения показателей деятельности - статистических и финансовых.

Эффективный риск-менеджмент подразумевает создание в банке системы, которая имеет свою структуру, ролевую концепцию, регламенты и контроль. Письмо N 76-Т, определяя основы системы управления операционными рисками (СУОР) банка, предоставляет ему достаточно широкие возможности по точной настройке такой системы. В общем случае создание СУОР предполагает выполнение следующих работ (рис. 1).

На схеме видно, что идентификация ОР проводится применительно ко всем продуктам, услугам, бизнес-процессам и системам банка - как уже имеющимся, так и разрабатываемым. Регламенты ведения аналитической базы данных ОР предусматривают все случаи реализации операционных рисков. Данная информация в последующем может служить основой для применения статистических методов оценки.

/--------------\  /-------------\  /-------------\  /---------------\

|Формулирование|  |Классификация|  |Идентификация|  |  Определение  |

|целей, задач и|-|     ОР      |-|      ОР     |-|  регламентов  |---\

|  принципов   |  |             |  |             |  |ведения базы ОР|   |

|управления ОР |  |             |  |             |  |               |   |

\--------------/  \-------------/  \-------------/  \---------------/   |

/--------------\  /-------------\ /---------------\ /---------------\   |

| Определение  |  | Определение | |  Определение  | |  Определение  |   |

|   порядка    |  |    порядка  | |  полномочий   | |    методов    |   |

|контроля СУОР |  |представления| |ответственности| |    оценки и   |   |

| и раскрытия  |-|  внутренней ||   в рамках    ||  мониторинга  |--/

|информации об |  |  отчетности | |     СУОР      | |      ОР       |

|      ОР      |  |             | |               | |               |

\--------------/  \-------------/ \---------------/ \---------------/

Рис. 1. Этапы построения СУОР

Прозрачный бизнес

Риск-менеджмент в сфере ОР - это прежде всего прозрачные и управляемые бизнес-процессы, поэтому подход, который позволяет сделать их таковыми, называется процессным. Выявленные риски классифицируются - создаются так называемые деревья ОР. Следующий этап - сбор информации, которая необходима для анализа этих рисков.

Изучение и оценка ОР осуществляется по принципу "сверху вниз" или "снизу вверх". В первом случае рассматриваются последствия реализации риска. Такой подход обычно реализуется на уровне руководства. При этом используется база данных событий, повлекших за собой убытки. Риски объединяются в группы в соответствии с принятой в банке классификацией.

Во втором случае оцениваются причины возникновения риска. Подход реализуется на уровне отдельных подразделений. Создается иерархическая структура процессов, на основании которой можно определить ключевые места контроля.

В обоих случаях после описания процессов и рисков проводится комплексный анализ всех разработанных моделей. После этого разрабатываются и запускаются в работу правильные модели процессов.

Как показывает практика, оптимизация бизнес-процессов приводит к сокращению операционных рисков. Однако к модификации процессов следует подходить с осторожностью. Эти изменения могут нести в себе свои риски: сотрудники не всегда способны сориентироваться в новых условиях, а это негативно влияет на бизнес.

Стратегия безопасности

Стратегия управления играет основополагающую роль в создании системы РМ. Существует четыре стратегии управления операционными рисками. Первая стратегия нацелена на предотвращение. Области деятельности, где вероятность потерь высока, просто ликвидируются. Вторая стратегия подразумевает страхование. Здесь применяется частичное покрытие операционного риска с помощью страховых инструментов.

Третья стратегия принимает риски. Руководство банка знает о принятых рисках, которые финансируются за счет текущего потока наличности. Это относится к рискам, реализация которых приводит к незначительным убыткам, и вероятность наступления неблагоприятных событий невысока. Четвертая стратегия нацелена на контроль и уменьшение. Она построена на основе процессного подхода и предполагает внутренние организационные мероприятия. Данная система может объединять в себе элементы первых трех стратегий и часто включается в интегрированную систему риск-менеджмента и принятия рисков на основе отношения "убытки/прибыль". Применение этих стратегий требует идентификации рисков, что само по себе непростая задача. На практике применяются следующие методы идентификации OP: FMEA (Failure Mode and Effects Analysis) - анализ видов и последствий отказов; PHEA (Predictive Human Error Analysis) - предупредительный анализ человеческих ошибок; сценарный анализ (по принципу "что если..."); CSA (Control Self Assessment) - экспертная самооценка.

Анализ FMEA

Анализ FMEA проводится как для продуктов, так и для процессов. В первом случае определяются дефекты, которые несут в себе риски для потребителя. Во втором случае анализ происходит в рамках подразделений, где осуществляется бизнес-процесс, чтобы обеспечить должный уровень его исполнения.

В основе анализа FMEA лежит процессный подход. Сначала разрабатываются модели процесса - объекта анализа. Затем проводится исследование построенных моделей. В ходе исследования последовательно определяются потенциальные дефекты, потенциальные последствия дефектов для потребителя, потенциальные причины дефектов, возможности контроля их появления. При этом экспертным образом, например по десятибалльной шкале, оцениваются такие параметры каждого риска, как тяжесть последствий для потребителя, частота возникновения дефекта, вероятность необнаружения дефекта. В заключение определяется параметр приоритетности риска, который рассчитывается как произведение трех вышеперечисленных параметров. Для рисков с наиболее высокими значениями параметра приоритетности необходимо уменьшение этого параметра корректирующими мероприятиями. Пример расчета по методу FMEA показан в таблице.

Таблица. Пример расчета по методу FMEA

Результаты мероприятий

Функция

Потенциа-
льные де-
фекты

Потен-
циаль-
ные
после-
дствия
дефек-
тов

Тя-
жесть
пос-
лед-
ствий

Потен-
циаль-
ная
при-
чина/
меха-
низм
дефе-
кта

Час-
тота
воз-
ник-
но-
ве-
ния

Возможно-
сти кон-
троля по-
явления
дефектов

Веро-
ят-
ность
обна-
руже-
ния
де-
фек-
тов

При-
ори-
тет-
ность
риска

Реко-
мен-
дуе-
мые
дей-
ствия

Ответст-
венный/
срок

Тя-
жесть
пос-
лед-
ствий

Час-
тота
воз-
ник-
но-
ве-
ния

Веро-
ят-
ность
обна-
руже-
ния
де-
фек-
тов

При-
ори-
тет-
ность
риска

Клиент
посыла-
ет зап-
рос на
продукт

Требова-
ния к
продукту
и услови-
ям поста-
вки не
доведены
до кли-
ента

Требо-
вания
клиен-
та не
будут
полно-
стью
удов-
летво-
рены

Ошибка
в про-
цессе

Создать
инстру-
мент
настройки
конфигу-
рации
продукта

105

Испо-
льзо-
вать
инст-
ру-
мент
наст-
ройки
кон-
фигу-
рации
про-
дукта

Выполне-
но
11.12.06

Анализ РНЕА

Анализ РНЕА призван оценить влияние человеческого фактора на безопасность выполнения критических для банка задач. РНЕА-анализ, так же как анализ FMEA, основывается на процессном подходе и включает следующие этапы: в процессе выявляются шаги, где ошибка может привести к сбоям (рассматриваются ошибки планирования, реализации, проверки, отображения, передачи информации, выбора); устанавливается природа выявленных ошибок; определяются возможные компенсирующие воздействия; формулируются предупредительные меры. Сценарный анализ "что если..." включает следующие этапы: в процессе выявляются шаги для анализа; проводится мозговой штурм с целью генерации возможных влияний на исполнение функции и соответствующих результатов; определяется наихудший сценарий выполнения процесса; предлагаются мероприятия по снижению рисков процесса.

Оценка CSA

Экспертная самооценка CSA используется для пересмотра ключевых целей бизнеса, рисков, связанных с их достижением, и механизмов контроля, разработанных для управления этими рисками. При проведении экспертной самооценки для каждого риска последовательно определяются ключевые показатели результативности процесса, сигнализирующие о возможности наступления риска, оценивается частота возникновения риска, возможный объем убытков, разрабатываются компенсирующие мероприятия и оценивается снижение риска в случае их проведения, разрабатывается план внедрения мероприятий.

Для снижения операционных рисков в банках могут использоваться различные методы. Первый - совершенствование: разделение функций, двойной ввод и подтверждение операций, подтверждение сделки контрагентом. Кроме того, необходима организация эффективного контроля за выполнением бизнес-процессов, например проведение независимой оценки результатов деятельности. Второй метод - управление причинами и величиной рисков: заблаговременное изучение и предотвращение рисков, уклонение от риска, воздействие на источник риска с целью уменьшения его угрозы. Также следует упомянуть реструктуризацию рисков, в том числе страховой и нестраховой трансферт риска.

Особый проект

Основной путь минимизации ОР - это создание системы управления операционными рисками. При организации СУОР рекомендуется придерживаться некоторых принципов.

/----------\   /-----------------\   /---------------\   /----------\

|Разработка|   |  Моделирование  |   | Идентификация |   |Разработка|

| политики |--|бизнес-прроцессов|--|и оценка рисков|--|концепции |---\

|в области |   |                 |   |               |   |  СУОР    |   |

| рисков   |   |                 |   |               |   |          |   |

\----------/   \-----------------/   \---------------/   \----------/   |

       /---------\           /----------\  /------------------------\   |

       |Поддержка|----------|Реализация|-|Апробация и тестирование|--/

       \---------/           \----------/  \------------------------/

Рис. 2. Этапы проекта по внедрению СУОР

Прежде всего полномочия и ответственность за управление рисками должны быть организационно закреплены за СУОР. Сама система должна органично интегрироваться в общую систему управления банком.

Функцию управления рисками нужно поэтапно развивать на всех уровнях менеджмента, при этом следует ориентироваться на успешный опыт западных банков по реализации управления рисками.

Необходимо широко использовать информационные технологии для автоматизации РМ. Нужно проводить тестирование всех предполагаемых инструментов. Нельзя забывать о минимизации трудозатрат со стороны бизнеса. Реализация СУОР - сложная задача, которая обычно решается в рамках специального проекта. Успех зависит от методологии, инструментария, специальных знаний и опыта консультантов, решительности руководства банка, готовности топ-менеджмента к сотрудничеству и т.п. Проект по внедрению СУОР включает несколько этапов (рис. 2). Результаты мониторинга и контроля СУОР - это ценная информация по бизнес-процессам банка. На основе этих данных можно организовать работу по совершенствованию процессов, что приведет к дальнейшему снижению OR Рассмотренный метод позволяет выстроить управление ОР в соответствии с Базельскими стандартами и российским законодательством. Кроме того, он существенно снижает возможные убытки от реализации этих угроз.

А. Дроздов,

старший консультант компании "IDS Scheer Россия

и страны СНГ" Андрей КОПТЕЛОВ,

директор департамента II-консалтинга

компании "IDS Scheer Россия и страны СНГ"

"Риск-менеджмент", N 9-10, сентябрь-октябрь 2007 г.

Вы можете открыть актуальную версию документа прямо сейчас.

Открыть документ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.