Операционный риск

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:

Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.

Более развернуто: операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий[1].

Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.

Факторы операционного риска[править | править вики-текст]

Основные факторы операционного риска связаны:

  • со случайными или преднамеренными действиями людей или организаций, направленными против интересов организации, в том числе несоблюдением требований законодательства и предусмотренных внутренних правил и процедур;
  • с несовершенством организационной структуры (распределения обязанностей подразделений и работников), порядков и процедур, а также их документирования, неэффективностью внутреннего контроля и т. д.;
  • со сбоями в функционировании систем и оборудования;
  • с внешними обстоятельствами вне контроля организации.

Классификация операционных рисков[править | править вики-текст]

Риск персонала — риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в Банке и т. д.

Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчётов по ним, их учёта, отчётности, ценообразования и т. д.

Риск систем — риск потерь, обусловленных несовершенством используемых в Банке технологий — недостаточной ёмкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т. д.

Риски внешней среды — риски потерь, связанные с изменениями в среде, в которой функционирует Банк — изменения в законодательстве, политике, экономике и т. д., а также риски внешнего физического вмешательства в деятельность организации.

Категории типов событий операционного риска согласно Базелю II[2]:

  • Внутреннее мошенничество (Internal Fraud)
  • Внешнее мошенничество (External Fraud)
  • Трудовое законодательство и безопасность труда (Employment Practices and Workplace Safety)
  • Клиенты, продукты и правила бизнеса (Clients, Products, & Business Practice)
  • Ущерб материальным активам (Damage to Physical Assets)
  • Прерывание бизнеса и сбои систем (Business Disruption & Systems Failures)
  • Управление исполнением, доставкой и процессами (Execution, Delivery, & Process Management)

Классификация ORX:

В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения.

Методы оценки операционного риска[править | править вики-текст]

В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:

  • Подход базового индикатора (BIA, Basic Indicator Approach)
  • Стандартизированный подход (TSA, The Standardized Approach) и альтернативный стандартизированный подход (ASA)
  • Продвинутые подходы (AMA, Advanced Measurement Approach), включающие в себя такие подходы как:
    • Подход внутреннего измерения (IMA, Internal Measurement Approach)
    • Подход на основе распределения потерь (LDA, Loss Distribution Approach)
    • Подход на основе моделирования сценариев (SBA, Scenario-based approach)
    • Подход оценочных карт или балльно-весовой подход (SCA, Scorecard Approach)

Субъекты, управляющие операционным риском[править | править вики-текст]

В документах Банка России и Базеля предусмотрены три вида субъектов, управляющих операционными рисками (три линии защиты)[3]:

1-я линия защиты — все подразделения и сотрудники организации (они работают с операционными рисками на месте его возникновения).

2-я линия защиты — субъект, который координирует в целом всю систему управления операционными рисками.

3-я линия защиты — подразделение внутреннего аудита, которое осуществляет независимый аудит системы управления операционными рисками.

Довольно часто на практике возникают споры, кого относить ко второй линии защиты. Так, помимо подразделения по операционным рискам, во вторую линию защиты себя записывают служба безопасности, служба комплаенс и иные сервисные подразделения (не бизнес-подразделения). Они обосновывают такую позицию тем, что устанавливают обязательные для всех правила в рамках своей функциональности, а значит занимают по отношению к таким подразделениям роль координатора в рамках предмета своих функций. Во-первых, множественность координаторов системы противоречит принципу единоначалия, согласно которому конечным координатором системы (ответственным) должен быть один субъект. Во-вторых, множественность субъектов во второй линии защиты противоречит требованиям нормативных документов (см. ссылку выше). В-третьих, факт того, что служба безопасности, служба комплаенс и иные сервисные подразделения устанавливают обязательные для всех правила в рамках своей функциональности, не является в данном случае аргументом, так как если развивать это обоснование дальше, то подразделение внутреннего аудита (3-я линия защиты) должно переместиться в первую линию, так как для него также будут действовать требования безопасности или комплаенс.

Операционные убытки: события[править | править вики-текст]

Российская практика:

Ограбление инкассаторов Сбербанка в Перми. Общая сумма похищенного составила порядка 250 млн рублей.

У инкассаторов Московского Кредитного Банка похищено около 12 млн рублей

СКР окончательно обвинил экс-главу Росбанка Голубкова в коррупции

В Краснодаре из офиса МТС-Банка похищено 20,5 млн рублей

Обыски по делу о хищении у Россельхозбанка 1,2 млрд рублей проходят в Москве и Новосибирске

Экс-глава оренбургского филиала РСХБ обвиняется в причинении банку ущерба на 100 млн рублей

В Петербурге инкассаторы, перевозившие 200 млн рублей, застрелили друг друга

В Москве из отделения Сбербанка похищен банкомат с 8 млн рублей

Сотрудник Сбербанка похитил со счета клиента 2 млн рублей

На севере Москвы обрушилась крыша здания Роспромбанка

Полиция задержала 13 человек, похитивших 70 млн рублей с помощью интернет-вируса

В Дагестане у фальшивомонетчиков изъято 2 млрд поддельных рублей

Экс-глава филиала ВТБ в Кемерово получил три года колонии за хищения на 345 млн рублей

Шестеро сотрудников ДжиИ Мани Банка погибли в авиакатастрофе под Казанью

В Москве злоумышленник пытался погасить в банке поддельный вексель на 100 млн рублей

В Перми эвакуировали центральный офис Сбербанка сообщения о заложенной бомбе

ТКС Банк стал самым крупным биржевым падением года среди банков

Пожар в здании Почты России на Варшавском шоссе (май 2013)

Западная практика:

BARINGS PLC — 1995, USD 1.3 млрд. — несанкционированная торговля Nick Leighson.

Mizuho Securities — Декабрь 2005 (USD 250 млн.) — торговая ошибка (продал 620 тыс. акций за 1 иену вместо продажи 1 акции за 620 тыс. иен) — проданные акции в 4 раза превышают объем акций компании, находящийся в обращении; синдром «толстого пальца» (тех. ошибки при биржевых операциях).

SG — 2008, 4.9 млрд. Евро за вычетом налогов (или 6.3 млрд до вычета налогов). Причины -: • несанкционированная торговля, поддельное хеджирование, риск, измеренный/оцененный на основе после выплаты налогов, • управление паролем и знание механизмов контроля • Слабые механизмы контроля; «культура терпимости», игнорирование сигналов предупреждения • структура поощрения трейдеров…. и т. д..

UBS — списание субстандартных кредитов, связанное с потерями при невыполнении обязательств (свыше $38 млрд.), S&P понизил рейтинг до AA- в связи с «упущениями в сфере управления рисками». Без увеличения капитала или коэффициент достаточности капитала 1 уровня упадет до 7 % (ОР в рамках убытка по кредитному риску).

Ипотечный кризис в США — регистрация залогов по ипотечным кредитам не в реестрах местных органов власти, а в принадлежащей банкам Электронной системе регистрации (64 млн ипотек).

Управление операционными рисками[править | править вики-текст]

Система управления операционными рисками — комплекс организационных, методических, информационных средств, направленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных инцидентов операционного риска.

Управление операционными рисками призвано обеспечить снижение убытков организаций от различного рода инцидентов операционного риска, обеспечить менеджмент компании системой формирования «планов мероприятий по предупреждению операционных рисков» и «планов действий при наступлении инцидентов операционного риска».

Принципы управления операционными рисками[править | править вики-текст]

Базельский комитет установил следующие основные принципы управления операционным риском в кредитной организации[4][5]:

Принцип 1. Ключевая роль совета директоров в формировании и обеспечении развитой культуры управления операционным риском на всех уровнях организации

Принцип 2. Банки должны создавать, внедрять и использовать систему управления, полностью интегрированную в общий процесс управления рисками

Принцип 3. Совет директоров должен разработать и анализировать систему управления рисками и осуществлять контроль над исполнительными органами;

Принцип 4. Совет директоров должен установить риск-аппетит и допустимый уровень риска

Принцип 5. Исполнительный орган должен разработать и представить совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение принципов, процессов и систем управления операционным риском в соответствии с риск-аппетитом и допустимым уровнем риска.

Принцип 6. Исполнительный орган должен обеспечить выявление и оценку операционного риска с целью четкого понимания природы и факторов риска

Принцип 7. Исполнительный орган должен обеспечить одобрение нововведений с учетом операционных рисков

Принцип 8. Исполнительный орган должен организовать регулярный мониторинг операционного риска, включая систему отчетности подразделений.

Принцип 9. Наличие надежной системы внутреннего контроля, а также надлежащей системы снижения или передачи риска.

Принцип 10. Разработка планов обеспечения непрерывности и восстановления деятельности в случае реализации операционных рисков.

Принцип 11. Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском

Методы управления операционными рисками[править | править вики-текст]

  • Риск-аудит операций, процедур и направлений деятельности
  • Сбор и анализ внутренних и внешних данных по операционным рискам
  • Мониторинг ключевых индикаторов риска (KRI)
  • Оценка (включая сценарный анализ) и самооценка операционного риска бизнес-подразделениями
  • Регламентация бизнес-процессов (внутренних правил и процедур)
  • Контроль соблюдения законодательства и внутренних правил и процедур
  • Контроль информационно-технологических рисков
  • Обучение и совершенствование системы мотивации персонала
  • Автоматизация бизнес-процессов, в том числе отдельных (стандартных) процедур контроля
  • Регулярная внутренняя отчетность по операционным рискам
  • Разработка планов по обеспечению непрерывности деятельности и действий на случай реализации операционных рисков
  • Страхование от операционных рисков
  • Аутсорсинг отдельных функций

Ключевые индикаторы операционного риска[править | править вики-текст]

Ключевой индикатор операционного риска (KRI, в русском варианте — КИР или КИОР) — показатель, используемый для отслеживания и прогнозирования фактов реализации операционного риска.

Ключевые индикаторы риска используются для регулярного (с различной периодичностью — в зависимости от ключевого индикатора риска) мониторинга подверженности риску, проявления риска и источников (причин) потерь.

Примеры ключевых индикаторов риска: текучесть кадров;количество сбоев оборудования;простои оборудования;количество исправительных ордеров;количество выявленных нарушений законодательства, внутренних документов и др.

Программное обеспечение по операционным рискам[править | править вики-текст]

Комплекс средств, необходимых для решения задач управления операционными рисками предприятий, предоставляют автоматизированные системы управления операционным риском

Специализированное программное обеспечение:

Непрофильное программное обеспечение:

Система мотивации[править | править вики-текст]

Без мотивации невозможно ожидать искреннего участия людей в управлении операционными рисками. Стимуляция может быть поощрительной или дисциплинирующей, относится к руководству и к рядовым сотрудникам банка.

Для высшего руководства может быть внедрена бонусная система вознаграждения в виде получаемых акций банка соразмерно с проработанным временем без значительных и катастрофических операционных случаев. Хорошо разработанная, простая и ясная отчётность по операционным рискам также даёт определённый стимул в развитии и поддержке менеджмента операционных рисков.

На уровне низовых подразделений необходимо разработать материальные и моральные стимулы для менеджмента операционных рисков как, для отдельных сотрудников так и для групп (подразделений). Возможно их включение как поддержание системы качества, но этот вопрос остаётся в творческом поле совместной работы менеджера по операционным рискам с отделом по работе с персоналом. В литературе приводится, например, определение лучшего подразделения банка с учётом работы по операционным рискам.

Литература[править | править вики-текст]

Ссылки[править | править вики-текст]

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях»
  2. Приложения к Базелю II (рабочий вариант перевода ЦБ)
  3. В соответствии с п.13-16 письма ЦБ N69-Т 16.05.2012 , а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
  4. Principles for the Sound Management of Operational Risk June 2011
  5. Письмо Банка России от 16 мая 2012 г. N 69-Т "О рекомендациях Базельского комитета по Банковскому надзору "Принципы надлежащего управления операционным риском