Вход
Операционный риск как мера качества функционирования банка (А. Сперанский, "Бухгалтерия и банки", N 1, январь 2011 г.)
-
Операционный риск как мера качества функционирования банка (А. Сперанский, "Бухгалтерия и банки", N 1, январь 2011 г.)
-
I.
-
II.
-
III.
-
IV.
-
V.
-
Базовый индикативный подход (BIA)
-
Стандартизованный подход (STA)
-
Усовершенствованный ("продвинутый") подход (АМА)
-
VI.
-
VII.
Операционный риск как мера качества функционирования банка*(1)
Наряду с рассмотренными ранее рисками операционный риск входит в число наиболее значимых для кредитных организаций, и поэтому в документах Базельского комитета по банковскому надзору (БКБН) ему уделяется большое внимание.
В отличие от других рисков (рыночных, кредитных, потери ликвидности), важность которых банками осознавалась давно, дискуссии об операционном риске начались только в конце 1990-х годов, в связи с тем что деятельность финансовых учреждений во всем мире значительно изменилась за последние десятилетия в результате развития информационных технологий, появления разнообразных производных финансовых инструментов, возникновения электронной торговли и т.д., что привело к появлению новых видов финансовых рисков. Позднее уточненные итоги этих дискуссий были включены в новое соглашение об оценке достаточности капитала (Базель II).
В это время кредитные организации начали признавать различные виды операционных рисков и пытаться предотвратить случаи мошенничества и сбоев в работе систем, а также сократить количество ошибок при оформлении сделок. Это вызвано тем, что в связи с ростом масштабов осуществления банковской деятельности, технологическим усложнением финансовых услуг и повышением их оперативности деятельность кредитных организаций становится все более многообразной. Банки, активно работающие на международных рынках, подвержены не только кредитному и рыночному рискам. Банковские услуги стали более изощренными, филиалы и иные обособленные подразделения в составе банковских групп связаны через сложные информационные системы и сети, которые могут оказывать значительное влияние на эффективность работы каждой отдельно взятой финансовой организации. Некомпетентность сотрудника или несостоятельность технического фактора может быть чревата убытками и нанести серьезный урон финансовому состоянию кредитной организации.
Однако если кредитный и рыночные риски можно количественно измерить, определить их вероятность, размер ущерба, степень влияния отдельных факторов, то в отношении операционных рисков такую взаимосвязь установить сложно, несмотря на то, что отдельные попытки предпринимаются. Поэтому операционный риск-менеджмент в меньшей степени использует количественные методы анализа, в том числе и стресс-тестирование (по причине малой репрезентативности данных для анализа), а базируется главным образом на создании системы внутреннего контроля и внутренней инфраструктуры для полного предотвращения таких рисков.
По этой причине в рамках Базеля II сформировался новый подход к управлению операционными рисками.
I.
БКБН определяет операционный риск как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Причем это определение включает юридический риск, но исключает стратегический и репутационный риски. Напомним, что согласно определению Базельского комитета "юридические риски включают, но не только, риски, связанные со штрафами, пенями или взысканиями, являющимися результатами действия органов надзора, а также частных судебных исков".
Надо признать, что юридический риск (а следовательно, и риск операционный) нередко является плодом реализации других рисков, например риска потери ликвидности. Об этом красноречиво свидетельствует опыт кризиса 1998 года, когда обанкротились многие "олигархические" банки. Причина проста: в связи с потерей ликвидности (ситуация была спровоцирована девальвацией рубля (реализовался валютный риск, а через него и кредитный риск от заемщиков, взявших валютные кредиты, но не имеющих источников валютной выручки) и утечкой капитала (воплотился фондовый риск)) они не сумели должным образом исполнять свои обязательства перед клиентами. Это вызвало вал частных (и не только: среди истцов были также налоговые и таможенные органы) судебных исков, причем практически беспроигрышных для истцов, ибо ответственность за неисполнение денежного обязательства предусмотрена нормами статьи 395 Гражданского кодекса РФ.
II.
Для более четкого понимания того, что же Базельский комитет исключает из операционного риска, приведем определения стратегического и репутационного рисков.
Стратегический риск - это риск возникновения у кредитной организации убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития кредитной организации (стратегическое управление) и выражающихся в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности кредитной организации, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых кредитная организация может достичь преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, людских) и организационных мер (управленческих решений), которые должны обеспечить достижение стратегических целей деятельности кредитной организации.
Риск потери деловой репутации кредитной организации (репутационный риск) определяется как риск возникновения у кредитной организации убытков вследствие влияния следующих внутренних и внешних факторов:
- несоблюдения кредитной организацией (аффилированными лицами кредитной организации, дочерними и зависимыми организациями, реальными владельцами кредитной организации) законодательства РФ, учредительных и внутренних документов кредитной организации, обычаев делового оборота, принципов профессиональной этики; неисполнения договорных обязательств перед кредиторами, вкладчиками и иными клиентами и контрагентами; отсутствия во внутренних документах механизмов, позволяющих эффективно регулировать конфликт интересов клиентов и контрагентов, учредителей (участников), органов управления и (или) служащих, а также минимизировать негативные последствия конфликта интересов, в том числе предотвращать предъявление жалоб, судебных исков со стороны клиентов и контрагентов и (или) применение мер воздействия со стороны органов регулирования и надзора;
- неспособности кредитной организации, ее аффилированных лиц, а также реальных владельцев эффективно противодействовать легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также иной противоправной деятельности, осуществляемой недобросовестными клиентами и контрагентами и (или) служащими кредитной организации;
- недостатков в управлении банковскими рисками кредитной организации, приводящих к возможности нанесения ущерба деловой репутации; осуществления кредитной организацией рискованной кредитной, инвестиционной и рыночной политики; высокого уровня операционного риска; недостатков в организации системы внутреннего контроля, в том числе в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- недостатков кадровой политики при подборе и расстановке кадров;
- возникновения у кредитной организации конфликта интересов с учредителями (участниками), клиентами и контрагентами, а также другими заинтересованными лицами;
- опубликования негативной информации о кредитной организации или ее служащих, учредителях (участниках), членах органов управления, аффилированных лицах, дочерних и зависимых организациях в средствах массовой информации.
Потеря деловой репутации влечет за собой уменьшение числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости кредитной организации, качестве оказываемых ею услуг или характере деятельности в целом.
III.
В то же время Банк России в письме от 24.05.05 N 76-Т "Об организации управления операционным риском в кредитных организациях" дает несколько иное (более развернутое) определение операционному риску:
"Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий".
Другими словами, к основным видам операционных рисков относятся:
- внутреннее мошенничество (сообщение дилерами неточных или неверных сведений по позициям, использование инсайдерской информации, хищения, совершенные штатными сотрудниками, заведомое искажение кредитной заявки в случае дачи взятки сотруднику);
- внешнее мошенничество (кража, подделка документов, взлом компьютерных сетей, предоставление неверной информации для получения кредита, мошенничество с использованием платежных карточек);
- политика приема на работу и техника безопасности на рабочем месте (охрана здоровья сотрудников, общая ответственность кредитной организации за действия сотрудников и возмещение убытков сотрудникам);
- клиенты, продукты и стандарты ведения бизнеса (несанкционированное использование конфиденциальной информации, предложение банками клиентам продуктов без должных санкций и разрешений, отмывание денег и мошенничество с использованием счетов);
- причинение ущерба материальным активам (вандализм, терроризм, землетрясения, пожары, наводнения);
- сбои в работе и ошибки систем информации и связи (отказ аппаратуры и сбои в программном обеспечении, телекоммуникационные проблемы);
- оформление документов, проведение операций и управление процессами (ошибки ввода данных, неполнота правовой документации, ошибки, касающиеся обеспечения кредита; несанкционированный доступ к счету клиента).
IV.
Различие в определениях операционного риска порождает споры между работниками российских кредитных организаций по поводу юридического (правового) риска. Спор ведется по двум позициям:
1. Юридический и правовой риск - это один или разные риски?
2. Базельский комитет включает юридический риск в состав операционного риска, тогда как Банк России рассматривает правовой риск отдельно, что видно из названий писем Банка России от 24.05.05 N 76-Т "Об организации управления операционным риском в кредитных организациях" и от 30.06.05 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах".
Считается, что если бы Банк России включал правовой риск в состав операционного риска, то не было бы никакой нужды рассматривать его в письме N 92-Т, а всю необходимую информацию о нем можно было бы сосредоточить в письме N 76-Т. По мнению автора, юридический и правовой риск - это одно и то же, происходят эти термины от одного английского понятия - legal risk, слово legal переводится как "юридический", "правовой", "законный", и разные лица при переводе брали за основу либо "юридический", либо "правовой".
С точки зрения Банка России, правовой риск - это риск возникновения у кредитной организации убытков вследствие влияния нижеследующих внутренних и внешних факторов.
К внутренним факторам относятся:
- несоблюдение кредитной организацией законодательства РФ, в том числе по идентификации и изучению клиентов, установлению и идентификации выгодоприобретателей (лиц, к выгоде которых действуют клиенты), учредительных и внутренних документов кредитной организации;
- несоответствие внутренних документов кредитной организации законодательству РФ, а также неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства;
- неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности кредитной организации вследствие действий служащих или органов управления кредитной организации;
- нарушение кредитной организацией условий договоров;
- недостаточная проработка кредитной организацией правовых вопросов при разработке и внедрении новых технологий и условий проведения банковских операций и других сделок, финансовых инноваций и технологий.
К внешним факторам возникновения правового риска относятся:
- несовершенство правовой системы (отсутствие достаточного правового регулирования, противоречивость законодательства РФ, его подверженность изменениям, в том числе в части несовершенства методов государственного регулирования и (или) надзора, некорректное применение законодательства иностранного государства и (или) норм международного права), невозможность решения отдельных вопросов путем переговоров и как результат - обращение кредитной организации в судебные органы для их урегулирования;
- нарушение клиентами и контрагентами кредитной организации условий договоров;
- нахождение кредитной организации, ее филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.
На самом деле различие между определением юридического риска Базельским комитетом и определением правового риска Банком России кажущееся: просто БКБН определил юридический риск достаточно лаконично и далеко не исчерпывающим образом, о чем говорит словосочетание "но не только".
Кстати, само указанное несоответствие можно было бы рассматривать как внешний фактор возникновения правового риска, если бы не одно обстоятельство: ни документы Базельского комитета, ни названные письма Банка России не являются нормативными актами, тогда как обязательными для федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, всех юридических и физических лиц являются только нормативные акты Банка России (к каковым относятся только его указания, положения и инструкции, но никак не письма).
Так как же следует ответить на вопрос о том, должен ли в составе операционного риска рассматриваться и правовой риск? Дело в том, что профессиональное управление операционными рисками предполагает не только их правильное выявление, но и сбор исчерпывающих данных и оценку влияния различных событий на деятельность кредитной организации. По мнению автора, правовой риск должен рассматриваться в составе операционного риска, хотя, строго говоря, способы и степень важности работы с операционными рисками в разных банках различны в зависимости от уровня и вида рисков, а также объема и типа банковских операций, выполняемых в конкретном банке.
V.
Следующий вопрос, который следует рассмотреть в связи с операционным риском, касается процедуры его измерения. При этом следует отметить, что Базельский комитет предлагает более широкий набор возможностей по измерению операционного риска, нежели Банк России. Поэтому начнем с рассмотрения подходов, предлагаемых для измерения операционного риска БКБН.
В документах Базельского комитета даются единые базовые правила измерения операционных рисков. В них вводятся три метода измерения рисков для подсчета требований к капиталу, которым должен владеть банк, чтобы покрыть свои операционные риски:
1) подход на основе базовых показателей - базовый индикативный подход (BIA);
2) стандартизованный подход (STA);
3) усовершенствованный подход, основанный на количественных и качественных критериях внутрибанковских систем измерения операционного риска (AMA).
Иначе говоря, Базельский комитет не считает целесообразным и обоснованным сохранение стандарта, предусматривающего использование единого подхода к оценке рисков всеми банками. По этой причине и были предложены три подхода к оценке операционного риска. Принципиальное отличие этих подходов заключается в возрастании сложности и чувствительности к риску. Это отличие позволяет банкам и надзорным органам избрать наиболее приемлемый подход, соответствующий размеру, уровню развития и положению на рынке каждой отдельной организации. Предполагается, что банки будут перемещаться вдоль цепочки возможных подходов по мере разработки более продвинутых систем и практики измерения операционного риска. Для того чтобы перейти к применению стандартизованного подхода и подхода АМА, кредитная организация должна отвечать определенным критериям.
Считается, что крупные международные банки и банки, имеющие значительные операционные риски, должны применять более продвинутый по сравнению с базовым индикативным подход, соответствующий профилю риска учреждения. При этом после получения банком разрешения на использование продвинутого подхода банку не будет позволено по своему усмотрению (без разрешения органа надзора) возвращаться к более простому подходу. И только в случае если орган надзора сочтет, что банк, использующий более продвинутый подход, больше не удовлетворяет его критериям, он может потребовать, чтобы банк перешел к более простому подходу к некоторым или всем своим операциям, до тех пор пока не выполнит условия, установленные органами надзора для возврата к более продвинутому подходу.
Базовый индикативный подход (BIA)
Банки, использующие базовый индикативный подход, должны поддерживать капитал под операционный риск, равный среднему показателю за предыдущие три года, выраженному в фиксированных процентах (обозначаемому б) положительного ежегодного валового дохода. Показатели за любой год, в котором ежегодный валовой доход был отрицательным или нулевым, должны исключаться как из знаменателя, так и из числителя при расчете среднего значения. Требование к капиталу может выражаться следующим образом:
где - требование к капиталу в рамках базового индикативного подхода; GI - положительный ежегодный валовой доход за предыдущие три года; n - количество лет из предыдущих трех, в которые валовой доход был положительным;
= 15% - данный показатель установлен Базельским комитетом и относится к отраслевому уровню требуемого капитала, а также к отраслевому уровню индикатора.
Валовой доход определяется как чистый процентный доход плюс чистый непроцентный доход. Данный индикатор должен:
- включать все резервы (например, под невыплаченные проценты);
- учитывать операционные издержки, в том числе комиссионные вознаграждения, выплаченные внешним провайдерам услуг;
- исключать реализованные убытки или прибыли от продажи ценных бумаг из банковского портфеля;
- исключать экстраординарные и нерегулярные позиции, а также доход, полученный от страхования.
В документах БКБН не указаны никакие конкретные исходные условия использования базового индикативного подхода для расчета капитала.
Стандартизованный подход (STA)
В стандартизованном подходе деятельность банка разделяется на восемь бизнес-линий:
1) корпоративные финансы - слияния и поглощения, андеррайтинг, приватизация, секьюритизация, исследования, долговые обязательства (государственные, высокодоходные), акции, синдицированное кредитование, размещения на первичном и вторичном рынках;
2) торговля и продажи - ценные бумаги с фиксированным доходом, акции, инвалюта, финансирование, собственные позиции по ценным бумагам, кредитование и операции РЕПО, брокерские услуги, долговые обязательства;
3) розничные банковские услуги - розничное кредитование и депозиты, банковские услуги, траст и недвижимость, частное кредитование и депозиты, банковские услуги, траст и недвижимость, инвестиционное консультирование, торговые, коммерческие, корпоративные карты, магазинные карты и розничные услуги;
4) коммерческие банковские операции - проектное финансирование, недвижимость, экспортное финансирование, торговое финансирование, факторинг, лизинг, кредитование, гарантии, векселя;
5) платежи и расчеты - совершение и получение платежей, переводы средств, клиринг и расчеты;
6) агентское обслуживание - залоговые счета, депозитарные расписки, кредитование ценными бумагами, корпоративные операции, агенты эмитентов и плательщиков;
7) управление активами - сегрегированными, консолидированными, розничными, институциональными, закрытыми, открытыми, частных акций;
8) розничные брокерские операции - исполнение и полное обслуживание.
Базельский комитет предложил определенные принципы отнесения совершаемых кредитными организациями операций и сделок к бизнес-линиям:
- вся деятельность должна быть соотнесена с восемью бизнес-линиями взаимоисключающим и исчерпывающим образом;
- любая банковская или небанковская деятельность, которая не укладывается в схему бизнес-линий, но представляет вспомогательную функцию по отношению к деятельности, включенной в данную схему, должна быть отнесена к бизнес-линии, к которой относится этот основной вид деятельности. Если данной вспомогательной услугой поддерживается более чем одна бизнес-линия, должны применяться объективные критерии распределения;
- при распределении валового дохода, если деятельность не может быть соотнесена с конкретной бизнес-линией, используется бизнес-линия, приносящая наибольшую доходность. Та же бизнес-линия в равной степени применяется к связанной с ней вспомогательной функции;
- банки могут использовать внутренние методы ценообразования для распределения валового дохода между бизнес-линиями при условии, что общий валовой доход для банка (который будет показан в рамках базового индикативного подхода) в конечном итоге будет равен сумме валового дохода по всем восьми бизнес-линиям;
- соотнесение видов деятельности с бизнес-линиями в целях расчета капитала под операционный риск должно соответствовать определениям бизнес-линий, которые используются для расчета регулятивного капитала под другие типы риска, например кредитного и рыночного. Любые отклонения от данного принципа должны быть четко мотивированы и документированы;
- используемый процесс соотнесения должен быть четко документирован. В частности, письменные определения бизнес-линий должны быть четкими и достаточно подробными, для того чтобы третьи стороны могли повторить процесс соотнесения по бизнес-линиям совершенно однозначно. Документация должна, кроме всего прочего, четко обосновывать любые исключения и сохраняться должным образом;
- следует разработать процедуры соотнесения любых новых видов деятельности или продуктов;
- старший менеджмент должен отвечать за политику соотнесения, одобренную советом директоров;
- процесс соотнесения с бизнес-линиями должен подвергаться независимой оценке.
Базельский комитет исходит из того, что валовой доход служит общим показателем масштаба операций и, следовательно, ожидаемого масштаба операционных рисков в рамках каждой из бизнес-линий. Требование к капиталу для бизнес-линии рассчитывается путем умножения валовых доходов на фактор (обозначаемый в), присваиваемый данной бизнес-линии. в служит показателем общеотраслевого соотношения между имевшими место операционными убытками и общим уровнем валового дохода для данной бизнес-линии. Следует заметить, что в рамках стандартизованного подхода валовой доход измеряется для каждой бизнес-линии, а не для всей кредитной организации, например для корпоративного финансирования индикатором является валовой доход, полученный от корпоративного финансирования.
Общая сумма требований к капиталу рассчитывается как трехлетняя средняя простого суммирования требований к регулятивному капиталу для каждой из бизнес-линий за каждый год. В любой отдельно взятый год негативные требования к капиталу (возникающие в результате отрицательного валового дохода) любой бизнес-линии могут без ограничений компенсировать положительные требования к капиталу в других бизнес-линиях. Однако если консолидированное требование к капиталу для всех бизнес-линий в рамках данного года является отрицательным, тогда числитель для данного года будет равен нулю. Общее требование к капиталу выражается следующей формулой:
где - требование к капиталу в рамках стандартизованного подхода;
- ежегодный валовой доход данного года, определенный выше согласно базовому индикативному подходу для каждой из восьми бизнес-линий;
- установленный Базельским комитетом фиксированный процент, связывающий уровень требований к капиталу с уровнем валового дохода для каждой из восьми бизнес-линий (см. таблицу).
Значение фактора в для различных бизнес-линий
Бизнес-линии |
|
Корпоративное финансирование ( | 18 |
Торговля и продажи ( | 18 |
Розничные банковские операции ( | 12 |
Коммерческие банковские операции ( | 15 |
Платежи и расчеты ( | 18 |
Агентские услуги ( | 15 |
Управление активами ( | 12 |
Розничные брокерские услуги ( | 12 |
Согласно требованиям БКБН чтобы получить право на применение стандартизованного подхода, банк должен удовлетворять определенным квалификационным критериям, а именно доказать органам надзора, что как минимум:
- его совет директоров и старший менеджмент активно участвуют в контроле за механизмом управления операционными рисками;
- он имеет концептуально надежную и адекватно реализованную систему управления операционными рисками и достаточные ресурсы для использования этого подхода в основных бизнес-линиях, а также в области контроля и аудита.
Банк должен разработать конкретные стратегии и иметь документированные критерии распределения валового дохода по текущим бизнес-линиям и видам деятельности в целях стандартизованного подхода. По мере появления новых или изменения прежних видов деятельности критерии должны проверяться и корректироваться.
Если банк, осуществляющий деятельность на международных рынках, захочет использовать стандартизованный подход, он должен иметь адекватные системы управления операционными рисками и отвечать следующим дополнительным критериям:
- система управления операционными рисками должна четко регулировать обязанности и ответственность соответствующих подразделений. Подразделение управления операционными рисками отвечает за разработку стратегии выявления, оценки, мониторинга и контроля (снижения) операционных рисков, кодифицирование корпоративной политики и процедур управления и контроля операционных рисков, разработку и внедрение корпоративной методологии оценки операционных рисков, разработку и внедрение систем отчетности об операционных рисках;
- частью внутрибанковской системы оценки операционных рисков должно стать систематическое отслеживание данных об операционных рисках, включая существенные убытки в рамках бизнес-линии. Система оценки операционных рисков должна быть тесно интегрирована в процессы управления рисками банка, а ее результаты - составлять неотъемлемую часть процесса мониторинга и контроля профиля операционного риска банка. Например, эта информация должна играть значительную роль в отчетах о рисках, управленческих отчетах и анализе риска. Банк должен иметь методы стимулирования улучшения корпоративного управления операционным риском;
- руководителям бизнес-подразделений, старшему менеджменту и совету директоров должна представляться регулярная отчетность об операционных рисках, включая существенные операционные убытки. Банк должен иметь процедуры принятия соответствующих мер в соответствии с информацией, содержащейся в отчетах менеджмента;
- банковская система управления операционными рисками должна быть хорошо документирована. Банк должен иметь механизм соблюдения документированных внутренних стратегий, процедур контроля и управления операционными рисками, включая меры на случай их несоблюдения;
- банковские процессы управления и система оценки операционного риска должны подвергаться проверке и регулярному независимому аудиту. Проверять следует деятельность как бизнес-подразделений, так и подразделений по управлению операционными рисками;
- внешние аудиторы и органы надзора должны регулярно проверять систему оценки операционных рисков банка (включая процессы их внутренней проверки).
Для прочих банков данные критерии носят рекомендательный характер, причем национальные органы надзора могут по своему усмотрению вводить их как обязательные требования.
Усовершенствованный ("продвинутый") подход (АМА)
В рамках АМА требование к регулятивному капиталу равно показателю риска, генерируемому внутрибанковскими системами измерения операционного риска с использованием количественных и качественных критериев для АМА, обсуждаемых ниже. Применение АМА подлежит одобрению органом надзора.
Банк, принимающий подход АМА, может с согласия органа надзора страны пребывания и при поддержке органа надзора страны происхождения использовать механизм распределения для расчета требований к регулятивному капиталу для своих международных дочерних подразделений, которые не считаются значительными по отношению ко всей банковской группе.
Одобрение органов надзора будет зависеть от того, сможет ли банк убедить их в адекватности и эмпирической обоснованности распределительного механизма. Совет директоров и старший менеджмент каждого из дочерних подразделений отвечает за собственную оценку операционных рисков и систем контроля дочернего подразделения и его адекватную капитализацию.
Приемлемость методологии распределения будет рассматриваться с учетом того, на каком этапе развития находятся методики распределения с учетом риска и насколько это отражает уровень операционного риска в юридических лицах и в рамках банковской группы. Органы надзора ожидают, что банковские группы, использующие АМА, продолжат усилия по созданию чувствительных к риску методик распределения операционного риска, безотносительно от первоначального одобрения методик, основанных на валовом доходе или других показателях операционного риска.
Чтобы иметь возможность использовать АМА, банк должен продемонстрировать органу надзора, что как минимум:
- совет директоров и старший менеджмент активно участвуют в контроле за механизмом управления операционными рисками;
- имеется в наличии концептуально надежная и полностью внедренная система управления операционными рисками;
- имеются достаточные ресурсы для использования подхода в основных бизнес-линиях, а также в сферах контроля и аудита.
Система оценки банка должна рационально определять непредвиденные убытки, основываясь на комбинированном использовании внутренних и релевантных внешних данных об убытках, на сценарном анализе, а также принимая во внимание деловую среду банка и систему внутреннего контроля. Банковская система оценки должна также быть в состоянии поддерживать распределение экономического капитала под операционные риски различных бизнес-линий таким образом, чтобы содействовать совершенствованию управления этими рисками.
Банк должен удовлетворять определенным качественным стандартам, чтобы получить разрешение на использование АМА для расчета капитала под операционные риски, а именно:
- должен иметь независимое подразделение, отвечающее за разработку и внедрение механизма управления операционными рисками. Это подразделение осуществляет необходимые процедуры управления и контроль операционных рисков в соответствии с принятой корпоративной политикой; создает и внедряет корпоративную методологию оценки операционных рисков, а также систему отчетности об операционных рисках; разрабатывает стратегию выявления, оценки, мониторинга и контроля (снижения) операционных рисков;
- внутрибанковская система оценки операционных рисков должна быть тесно интегрирована с текущими процессами управления рисками в банке, а ее результаты - составлять неотъемлемую часть процесса мониторинга и контроля структуры операционных рисков банка. В частности, эта информация должна играть существенную роль при составлении отчетов о рисках, управленческих отчетов, внутреннем распределении капитала и анализе рисков. Банк должен иметь методики распределения капитала под операционные риски основных бизнес-линий и стимулирования улучшения корпоративного управления операционным риском;
- отчетность об операционных рисках и убытках должна регулярно представляться менеджменту бизнес-подразделений, старшему менеджменту и совету директоров. Банк должен иметь процедуру принятия мер в соответствии с информацией, содержащейся в управленческих отчетах;
- банковская система управления операционными рисками должна быть хорошо документирована. Банк должен иметь механизм соблюдения документированных внутренних стратегий, процедур контроля и управления операционными рисками, включая меры на случай их несоблюдения;
- внутренние или внешние аудиторы должны регулярно проверять процессы управления и систему оценок операционных рисков. Проверяется деятельность как бизнес-подразделений, так и самостоятельного подразделения по управлению операционным риском;
- проверка системы оценки операционных рисков внешними аудиторами или органами надзора должна включать проверку эффективности процедур внутреннего аудита и обеспечение прозрачности и доступности данных и процессов, связанных с системой оценки риска. В частности, аудиторы и органы надзора должны в любое время по своему усмотрению в рамках соответствующих процедур иметь доступ к параметрам и спецификациям системы.
Учитывая постоянное развитие аналитических подходов к операционному риску, Базельский комитет не конкретизирует какие-либо допущения о распределении, которые могли бы использоваться для генерирования показателя операционных рисков в целях регулятивного капитала. В то же время банк должен быть в состоянии показать, что его подход учитывает потенциально значимые случаи экстремальных убытков. Вне зависимости от используемого подхода банк должен продемонстрировать, что его показатель операционного риска удовлетворяет стандарту надежности, сравнимому со стандартом подхода к оценке кредитных рисков, покрываемых капиталом, через внутрибанковские рейтинги контрагентов (т.е. сопоставим с периодом владения в один год и 99,9%-ном односторонним интервалом уверенности).
VI.
Теперь обратимся к нормативному акту Банка России - Положению от 03.11.09 N 346-П "О порядке расчета размера операционного риска". Им регламентируется порядок определения размера операционного риска для включения в расчет норматива достаточности собственных средств (капитала) банка (Н1), установленного Инструкцией Банка России от 16.01.04 года N 110-И "Об обязательных нормативах банков".
Согласно Положению N 346-П размер операционного риска рассчитывается по формуле:
где ОР - размер операционного риска; - доход за i-й год для целей расчета капитала на покрытие операционного риска; n - количество лет, предшествующих дате расчета размера операционного риска (не должно превышать трех лет).
В приведенном выражении мы узнаем формулу, которую Базельский комитет предлагал для базового индикативного подхода (о стандартизованных или продвинутых подходах в Положении N 346-П речь не идет).
Показатель Д за год для целей расчета капитала на покрытие операционного риска представляет собой сумму чистых процентных доходов и чистых непроцентных доходов.
Чистые процентные доходы равны сумме, отражаемой по строке "Чистые процентные доходы (отрицательная процентная маржа)" отчетности по форме 0409807 "Отчет о прибылях и убытках (публикуемая форма)" (далее - форма 0409807), установленной Указанием Банка России от 12.11.09 N 2332-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации".
Чистые непроцентные доходы равны сумме, отражаемой по строкам: "Чистые доходы от операций с ценными бумагами, оцениваемыми по справедливой стоимости через прибыль или убыток", "Чистые доходы от операций с иностранной валютой", "Доходы от участия в капитале других юридических лиц", "Комиссионные доходы", "Прочие операционные доходы" (за исключением прочих доходов в виде штрафов, пеней, неустоек по другим банковским операциям и сделкам, по прочим (хозяйственным) операциям; других доходов, относимых к прочим, от безвозмездно полученного имущества, поступлений в возмещение причиненных убытков, в том числе страхового возмещения от страховщиков, от оприходования излишков материальных ценностей, денежной наличности, от списания обязательств и невостребованной кредиторской задолженности), за вычетом суммы, отражаемой по строке "Комиссионные расходы" формы 0409807.
Расчет величины показателя Д за каждый финансовый год, предшествующий дате расчета размера операционного риска, осуществляется кредитной организацией на основании сопоставимых данных формы 0409807.
В случае отсутствия в форме 0409807 сопоставимых данных за какой-либо финансовый год, предшествующий дате расчета размера операционного риска, кредитная организация определяет величину показателя Д за соответствующий финансовый год расчетным путем. Для этого осуществляется перерасчет показателей формы 0409807 за соответствующие годы путем использования алгоритмов разработочной таблицы для составления отчета о прибылях и убытках (публикуемая форма) порядка составления и представления отчетности по форме 0409807 "Отчет о прибылях и убытках (публикуемая форма)", установленного Указанием Банка России N 2332-У.
Если показатель Д за какой-либо год (какие-либо годы) отрицателен или равен нулю, его значение не включается в расчет операционного риска. Одновременно с этим показатель количества лет (n) уменьшается на количество лет, по итогам которых зафиксировано отрицательное или нулевое значение показателя Д.
Размер операционного риска рассчитывается ежегодно по состоянию на первое января года, следующего за отчетным, в операционный день, следующий за датой опубликования формы 0409807 за отчетный год.
Размер операционного риска включается в расчет норматива достаточности собственных средств (капитала) банка (Н1) следующим образом:
- начиная с отчетности на 1 августа 2010 года - в размере 40% от рассчитанного в соответствии с Положением N 346-П размера операционного риска;
- на 1 августа 2011 года - в размере 70% от рассчитанного в соответствии с Положением N 346-П размера операционного риска;
- на 1 августа 2012 года - в размере 100% от рассчитанного в соответствии с Положением N 346-П размера операционного риска.
Из того факта, что Положение от 03.11.09 N 346-П "О порядке расчета размера операционного риска" умалчивает о стандартизованных и продвинутых подходах к расчету размера операционного риска, вовсе не следует, что банк не может по своей инициативе (а не для демонстрации надзорному органу) применять эти подходы для совершенствования собственной системы управления операционными рисками. Если только при этом не будет занижаться значение капитала на покрытие операционного риска, вычисленное в соответствии с названным документом.
VII.
Рассмотренные выше подходы к измерению операционного риска позволяют сделать вывод, что валовой доход, используемый в базовом индикативном и стандартизованном подходах к операционному риску, выступает всего лишь заменой масштабов подверженности банка операционному риску и может в отдельных случаях (например, для банков с низкими маржами или рентабельностью) приводить к недооценке потребности в капитале на покрытие операционного риска. По этой причине в задачу надзорного органа входит обязанность определять, отражает ли расчетное значение картину подверженности отдельного банка операционному риску, например, в сравнении с другими банками подобной величины, осуществляющими аналогичные операции.
Если говорить о стресс-тестировании, стоя на позициях базового индикативного и стандартизованного подходов, то оно по существу сведется к прогнозированию валового дохода банка на трехлетнем временном горизонте - либо в целом, либо по отдельным бизнес-линиям. Именно валовой доход "испытает на себе" влияние всех других рисков, которым подвержена деятельность банка (о чем мы говорили, вспоминая кризис 1998 года). Недостаток стресс-тестирования в этом варианте уже отмечался - возможность недооценки потребности в капитале на покрытие операционного риска.
Следовало бы признать, что только подход АМА обеспечивает банкам значительную гибкость в развитии систем оценки и управления операционным риском, несмотря на то, что Базельский комитет при этом требует, чтобы при разработке данных систем банки пользовались надежными процедурами разработки и независимой проверкой модели операционных рисков. В частности, любая внутренняя система измерения операционных рисков должна отвечать определению операционного риска, данному Базельским комитетом по банковскому надзору, и типам событий, определенным в нижеследующем перечне (список А):
- внутреннее мошенничество;
- внешнее мошенничество;
- кадровая политика и безопасность труда;
- клиенты, продукты и деловая практика;
- причинение ущерба физическим активам;
- нарушения в ведении бизнеса и системные сбои;
- исполнение, доставка и управление процессами.
Банку необходимо рассчитывать требования к регулятивному капиталу в виде суммы ожидаемых убытков (EL) и непредвиденных убытков (UL), кроме тех случаев, когда банк может продемонстрировать, что он адекватно учитывает EL в своей внутренней деловой практике. Другими словами, для того чтобы основывать минимальное требование к регулятивному капиталу исключительно на UL, банк должен быть в состоянии продемонстрировать национальному органу надзора, что он измерил и учел свои риски EL.
Банковская система оценки риска должна быть достаточно развитой (а не укрупненной) для учета основных факторов операционных рисков, влияющих на форму "хвоста" распределения убытков.
В целях расчета минимальных требований регулятивного капитала должны добавляться показатели риска для различных оценок операционного риска. Банку может быть разрешено использовать самостоятельно определяемые корреляции убытков по операционным рискам для индивидуальных оценок операционных рисков при условии, что его системы по определению корреляции надежны, полностью внедрены и учитывают неопределенность, присущую любым подобным оценкам корреляции (особенно в периоды стресса). Банк должен проверить свои предположения по корреляциям, используя соответствующие качественные и количественные методы.
Система измерения операционного риска должна иметь ключевые параметры, удовлетворяющие требованиям стандартов надежности, сформулированных надзорным органом. Эти элементы должны включать использование внутренних данных, релевантных внешних данных, сценарных анализов и факторов, отражающих состояние бизнес-среды и систем внутреннего контроля.
Наконец, банк должен иметь надежный, прозрачный, хорошо документированный и поддающийся проверке подход к взвешиванию этих фундаментальных элементов в своей общей системе измерения операционных рисков. Например, в некоторых случаях оценки 99,9%-ного интервала уверенности, основывающиеся главным образом на данных о внутренних и внешних кредитных событиях, не будут надежными для бизнес-линий со значительным сдвигом в распределении убытков ("толстые хвосты" в распределении потерь) и с незначительным количеством наблюдаемых убытков. В подобных случаях для системы измерения риска могут быть важнее сценарный анализ, деловая среда и системы контроля. И наоборот, данные о событиях, связанных с операционными убытками, могут играть более значительную роль в системе измерения риска для бизнес-линий, где оценки 99,9%-ного интервала уверенности, основанные главным образом на таких данных, считаются надежными.
Применяя подход АМА в целях оценки операционного риска, банки должны отслеживать внутренние данные об убытках, им вызванных. Отслеживание внутренних данных о негативных событиях - необходимая предпосылка развития и функционирования надежной системы измерения операционных рисков. Внутренние данные об убытках важны для увязывания банковской оценки рисков с реальными убытками. Это может быть достигнуто несколькими способами, включая использование внутренних данных об убытках в качестве основы для эмпирической оценки рисков, для проверки исходных элементов и результатов банковской системы оценки риска или в качестве связующего элемента между реальными убытками и решениями в области управления и контроля над рисками.
Внутренние данные об убытках являются наиболее релевантными, если они четко привязаны к текущей деловой деятельности банка, технологическим процессам и процедурам управления рисками. Банк должен иметь документированные процедуры оценки текущей релевантности исторических данных об убытках, включая описание ситуаций, в которых могут применяться отмена профессиональных суждений, масштабирование или иные корректировки, степень использования подобных методов, а также лиц, уполномоченных принимать подобные решения.
Базельский комитет настаивает на том, чтобы самостоятельно генерируемые оценки операционных рисков, используемые в целях регулятивного капитала, базировались как минимум на пятилетнем периоде наблюдений внутренних данных об убытках, вне зависимости от использования внутренних данных об убытках напрямую для разработки показателя убытков или для его проверки. (Исключение допустимо только при первоначальном переходе на АМА, когда можно ограничиться трехлетним периодом.)
Чтобы быть приемлемыми для расчета регулятивного капитала, внутрибанковские процессы сбора данных об убытках должны удовлетворять следующим стандартам:
- для содействия надзорному процессу банк должен быть в состоянии распределять свои исторические внутренние данные об убытках в соответствующие регулятивные категории и по первому требованию предоставлять эти данные органам надзора. Он должен иметь документированные объективные критерии распределения убытков по бизнес-линиям и типам событий. При этом банк может сам принимать решения о применимости этой категоризации в своей внутренней системе измерения операционных рисков;
- внутренние банковские данные об убытках должны быть всеобъемлющими и учитывать все существенные события и риски всех подсистем и географических регионов;
- банк должен быть в состоянии доказать, что любые исключенные события и риски как по отдельности, так и консолидированно не окажут существенного воздействия на общие оценки рисков. Банк должен иметь соответствующий минимальный порог валовых убытков для сбора внутренних данных об убытках (Базельский комитет в качестве примера приводит значение 10 000 евро). Соответствующий порог может варьироваться у разных банков и в рамках одного банка для различных бизнес-линий и (или) типов событий. Однако эти пороги должны в целом соответствовать ориентирам, используемым аналогичными банками;
- помимо информации о валовых убытках банк должен собирать информацию, касающуюся даты события, любого возмещения валовой суммы убытков, а также описательную информацию относительно движущих сил или причин конкретных событий. Детальность описательной информации должна соответствовать валовой сумме убытка;
- банк должен разработать конкретные критерии распределения данных об убытках, возникающих в подразделении, выполняющем централизованные функции (например, департамент информационных технологий), или в результате использования операций, которые включают более одной бизнес-линии, а также в результате ряда связанных между собой событий в течение определенного периода времени;
- операционные убытки, связанные с кредитными рисками и исторически включавшиеся в банковские базы данных по кредитным рискам (например, убытки от управления залогом), будут продолжать рассматриваться в качестве кредитного риска в целях расчета минимальных требований к регулятивному капиталу. Таким образом, данные убытки не будут подлежать отчислениям капитала под операционные риски. Однако для внутреннего управления операционными рисками банки должны выявить все существенные убытки от рисков, соответствующих определению операционных и типам событий, описанных в списке "А", включая те, которые связаны с кредитными рисками. Подобные существенные убытки по кредитным рискам, связанные с операционными рисками, должны указываться отдельно во внутрибанковских базах данных по операционным рискам. Существенность этих убытков может варьироваться между банками и в рамках одного банка между бизнес-линиями и (или) типами событий. Порог существенности должен в целом соответствовать показателю, используемому аналогичными банками;
- убытки по операционным рискам, связанные с рыночными рисками, расцениваются как операционные риски в целях расчета минимального регулятивного капитала на покрытие операционных рисков.
Кроме того, следует отметить, что банковская система измерения операционных рисков должна использовать релевантные внешние данные (открытые и (или) сводные отраслевые данные), особенно если имеются основания полагать, что банк подвержен хотя и не частым, но потенциально значительным убыткам. Эти внешние данные должны включать данные о реальных суммах убытков, информацию о масштабе деловых операций в регионе (отрасли и т.д.), где были понесены убытки, информацию о причинах и обстоятельствах событий, вызвавших убытки, или прочую информацию, которая могла бы помочь в оценке актуальности этих событий для других банков. Банк должен располагать систематической процедурой выявления ситуаций, в которых используются внешние данные, и методологиями учета этих данных (например, масштабирование, качественные корректировки или информационное обеспечение совершенствования сценарного анализа). Условия и практику использования внешних данных следует регулярно отслеживать, документировать и периодически подвергать независимым проверкам.
Для оценки своей подверженности событиям, которые могут повлечь значительные убытки, банк должен использовать сценарный анализ в сочетании с внешними данными. Обоснованно оценить их вероятность позволяют знания и опыт менеджеров и экспертов по управлению рисками. Причем экспертные оценки могут выражаться как параметры предполагаемого статистического распределения убытков.
Кроме того, сценарный анализ должен использоваться для оценки воздействия отклонений от корреляционных допущений, встроенных в механизмы банковского измерения операционного риска, в частности для оценки потенциальных убытков в результате многочисленных одновременных событий, вызывающих операционные убытки. С течением времени подобные оценки для обеспечения их надежности нуждаются в проверке и переоценке путем сравнения с реальным уровнем убытков.
Помимо использования данных об убытках, как реальных, так и основанных на сценариях, банковская методология консолидированной оценки риска должна учитывать основные факторы и характеристики деловой среды и систем внутреннего контроля, которые могут повлиять на профиль операционного риска. Учет этих факторов сделает банковские оценки риска более прогнозными, позволит непосредственно отразить качество систем банковского контроля и операционной среды, поможет соотнести оценки капитала с целями управления рисками и оперативно выявить как улучшение, так и ухудшение профиля операционного риска. Чтобы применяться при расчете регулятивного капитала, использование данных факторов в рамках банковской системы измерения риска должно удовлетворять следующим требованиям:
- выбор каждого фактора должен быть оправдан его значимостью, основан на опыте и учете мнений экспертов соответствующих областей бизнеса. Насколько возможно, факторы должны быть переводимы в количественные показатели, которые сами по себе могут быть подвергнуты проверке;
- чувствительность банковских оценок риска к изменениям факторов и относительный вес различных факторов должны быть хорошо аргументированы. Помимо учета изменений уровня риска вследствие совершенствования системы контроля, механизм должен учитывать потенциальное повышение риска вследствие усложнения операций или увеличения оборота;
- механизм и каждый случай его применения, включая дополнительные поводы для любых корректировок эмпирических оценок, должны быть документированы и подвергаться независимой проверке как в рамках банка, так и со стороны органов надзора;
- с течением времени процесс и выводы должны проверяться путем сравнения с реальными внутренними убытками, релевантными внешними данными и соответствующими корректировками.
В рамках подхода АМА банку будет разрешено признавать воздействие снижающего риск страхования в показателе операционного риска, используемом для расчета минимальных требований к регулятивному капиталу. Признание снижения за счет страхования будет ограничиваться 20% общих отчислений капитала под операционный риск, рассчитанных в рамках АМА.
Возможность банка воспользоваться подобным снижением риска будет зависеть от выполнения следующих критериев:
- провайдер страхования имеет рейтинг платежеспособности не ниже А (или эквивалент);
- страховой полис должен иметь первоначальный срок действия не менее года. К полисам с остаточным сроком менее года банк должен применить соответствующие дисконты, отражающие уменьшающийся остаточный срок действия полиса, вплоть до полного 100-процентного дисконта для полисов, имеющих остаточный срок действия 90 дней и менее;
- страховой полис имеет минимальный период уведомления об аннулировании 90 дней;
- страховой полис не предусматривает ограничений или исключений, вызываемых надзорными действиями, или, в случае с банком-банкротом, условий, которые не позволят банку, конкурсному управляющему или ликвидатору возместить понесенные убытки либо расходы банка, за исключением событий, произошедших после инициирования процедур банкротства или ликвидации данного банка. При этом страховой полис может не покрывать штрафы, пени или взыскания в результате действий надзорных органов;
- расчеты по снижению риска должны прозрачно и последовательно отражать страховое покрытие банка относительно фактической вероятности и последствий убытка, используемого для определения банковского капитала под операционные риски;
- страхование предоставляется третьей стороной. В случае страхования через дочерние или аффилированные страховые компании риск должен передаваться независимой третьей стороне, например путем перестрахования, удовлетворяющего критериям приемлемости;
- механизм признания страхования хорошо обоснован и документирован;
- банк раскрывает информацию об использовании страхования в целях снижения операционного риска.
Банковская методология признания страхования в рамках подхода АМА должна учитывать следующие элементы посредством соответствующих дисконтов в отношении признаваемой суммы страхового обеспечения:
- остаточный срок действия полиса, если он составляет менее одного года, как указано выше;
- срок аннулирования полиса, если он составляет менее одного года;
- неопределенность платежа, а также несовпадения в покрытии страховых полисов.
* * *
По мнению БКБН, банку можно будет разрешить использовать подход АМА для некоторых операций и базовый индикативный подход или стандартизованный подход для остальных операций (частичное использование) при условии выполнения следующих требований:
- учтены все операционные риски глобальных консолидированных операций банка;
- все банковские операции, к которым применяется АМА, удовлетворяют качественным критериям использования АМА, а операции, к которым применяется один из более простых подходов, удовлетворяют критериям этого подхода;
- по состоянию на дату внедрения АМА значительная часть банковских операционных рисков учитывается АМА;
- банк предоставляет органам надзора план-график применения АМА ко всем своим операциям, кроме несущественных, руководствуясь практичностью и способностью перехода к АМА в течение определенного периода времени, а не иными причинами.
С одобрения органов надзора банк, выбирающий частичное использование, может установить, к каким из операций будет применяться АМА на основе бизнес-линий, правовой структуры, региональной принадлежности либо на иной основе, определяемой самим банком.
А. Сперанский
"Бухгалтерия и банки", N 1, январь 2011 г.
-------------------------------------------------------------------------
*(1) См. также статьи А. Сперанского "Стресс-тестирование как недооцененный антикризисный инструмент" в "Б&Б" N 10, 11 и "Стресс-тестирование риска потери ликвидности и кредитного риска" в N 12 за 2010 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "Бухгалтерия и банки"
Журнал зарегистрирован Федеральной службой по надзору в сфере связи и массовых коммуникаций. Свидетельство о регистрации ПИ N ФС77-35433 от 25 февраля 2009 г.
Издается с 1996 г.
Учредитель: ООО Издательский дом "Бухгалтерия и банки"