Как построить систему управления операционным риском
advertisement
Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê ä‡Í ÔÓÒÚÓËÚ¸ ÒËÒÚÂÏÛ ÛÔ‡‚ÎÂÌËfl ÓÔ‡ˆËÓÌÌ˚Ï ËÒÍÓÏ ë‚ÂÚ·̇ åÄãõïàçÄ É·‚Ì˚È ÒÔˆˇÎËÒÚ ìÔ‡‚ÎÂÌËfl ÏÂÚÓ‰ÓÎÓ„ËË ÔÛ‰Â̈ˇθÌÓ„Ó Ì‡‰ÁÓ‡ É·‚ÌÓ„Ó ÛÔ‡‚ÎÂÌËfl ·‡ÌÍÓ‚ÒÍÓ„Ó Ì‡‰ÁÓ‡ 燈ËÓ̇θÌÓ„Ó ·‡Ì͇, χ„ËÒÚ ˝ÍÓÌÓÏ˘ÂÒÍËı ̇ÛÍ Окончание. Начало в № 5 (334) Оценка риска предполагает количественную и качественную оценку вероятности наступления событий, приводящих к убыткам, и оценку размера потенциальных потерь (уязвимость перед риском). Не представляет большой сложности оценка прямых, то есть измеряемых убытков (direct losses), которые могут определять- ся количественным образом и характеризуются1: ● снижением или потерей части стоимости активов (write-down) в результате кражи, мошенничества, несанкционированных или кредитных/рыночных убытков, ошибок или сбоев операционного характера; ● потерями в результате ошибок в реквизитах платежей (loss of recourse), списанием средств из-за ошибок в реквизитах платежей или в отношении неправильных контрагентов, которые не были возвращены; ● потерями по компенсациям (restitution) клиентам платежей (включая проценты); ● потерями по юридическим обязательствам (legal liability), связанным с судебными разбирательствами, юридическими ошибкам в контрактных документах; ● потерями материальных активов (loss of or damage to assets) в результате каких-либо обстоятельств (кража, пожар и т. д.); ● штрафами по предписаниям регулирующих и контролирующих органов (regulatory and compliance) в результате нарушения нормативных актов; ● штрафами по предписаниям налоговых органов (tax loss) и другими потерями, связанными с неправильным регулированием собственных налоговых платежей и нарушениями правил налогового учета в результате ошибок операционного характера. Количественная оценка риска носит вероятностный (прогнозный) характер, расчет опирается на статистические методы, а величина зависит от уровня принимаемой доверительной вероятности. В качестве количественных оценок могут выступать следующие статистические параметры случайных величин, которыми являются конкретные источники риска: ● оценка вероятности осуществления неблагоприятного события на данном объекте риска из-за реализации конкретного источника риска; ● статистическая оценка результата неблагоприятного события как статистическая оценка размера возможных потерь по типам потерь, которые могут возникнуть на данном объекте риска; ● статистическая оценка возможных отклонений с заданным уровнем доверительной вероятности от оценки возможных потерь. Вероятностно-статистические методы применяются для источников (или категорий) операционного риска, имеющих характер элементов массового обслуживания: технологических сбоев или отказов электронных систем; ошибок операционистов при обслуживании потока клиентских заявок; процессинга платежей по пластиковым картам. Операционные риски не всегда имеют выраженную количественную, стоимостную оценку. Например, из-за несовершенства процедур прохождения документов или недостаточно высокой квалификации сотрудник банка ежедневно затрачивает больше времени для операционного обслуживания клиентов. То, что банк несет убытки от неэффективного использования Бухтин М. А. Методология управления операционными рисками //Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 3—4. 1 47 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê ресурсов, очевидно, однако оценить их в стоимостном выражении сложно. В таких случаях банку необходимо подвергнуть оценке косвенные, то есть неизмеряемые убытки (indirect losses), полученные от источников и объектов операционного риска, уровень которых нельзя однозначно выразить через некоторое число, характеризующее возможный уровень потерь, в частности1: ● снижение качества услуг (service levels) и обслуживания, приводящее в дальнейшем к потере клиентской базы банка; ● недополучение доходов (foregone income); ● потеря качества (quality) внутренних банковских процессов, приводящих в дальнейшем к дополнительным расходам; ● потеря репутации (reputation) или других параметров “goodwill”, приводящих в дальнейшем к потере клиентской базы; ● приостановка деятельности (business interruption) в результате неблагоприятного события (например, технологического сбоя или юридических/налоговых ошибок). Используемая в этих целях качественная оценка производится экспертно (например, по 3-, 5- или 10-балльной системе или трехуровневой цветовой шкале). Для проведения оценки банку следует определить критерии и факторы риска, которые целесообразно свести в специальные таблицы, содержащие шкалы оценок. Качественные оценки полезно использовать для выявления зон повышенного риска, а также для определения степени соответствия процедур совершения операций на практике установленному порядку. Базельским комитетом предлагается также оценивать условные потери (near-losses) — убытки, которые банк мог понести, но избежал в силу благоприятных обстоятельств. Общепринято измерять риск вероятностью угрозы и степенью негативного влияния последствий: риск = последствия х вероятность (таблица 1). 퇷Îˈ‡ 1 Измерение риска Последствия 1. Средний риск 2. Высокий риск 3. Низкий риск 4. Средний риск Вероятность Убытки от операционного риска в соответствии с приведенной моделью обычно разделяют на два вида: небольшого размера, происходящие с высокой частотой (ожидаемые, или среднестатистические), и крупные, происходящие с низкой частотой (непредвиденные). Среднестатистические убытки можно спрогнозировать исходя из собственного опыта банка, для чего целесообразно использовать аналитический учет расходов (убытков), вызванных операционным риском, в разрезе отдельных категорий риска. Оценка непредвиденных убытков возможна на базе среднестатистических данных по банковской системе. Для оценки риска банк может использовать самостоятельно разработанные методы на основе меню уязвимости перед потенциальными операционными рисками. Этот процесс является внутренним и нередко включает контрольные перечни и рабочие совещания для идентификации сильных и слабых сторон среды операционного риска. Однако пока в большинстве банков методы измерения операционного риска находятся на ранней стадии развития. Лишь немногие зарубежные банки имеют формализованные методики измерения, остальные ведут активную работу в данном направлении. При этом следует отметить, что существующие методики относительно просты и носят в основном экспериментальный характер, хотя уже появляются серьезно проработанные практические решения и соответствующее программное обеспечение2 (таблица 2). Известная компания NetRisk приводит следующую эволюцию подходов к измерению операционного риска, охватывающую период с начала 90-х годов ХХ века по настоящее время: Внутренний аудит > Внутренние расследования постфактум > Самооценка > Сценарный анализ > Анализ статистики потерь > Вычисление Capital at Risk > Развитие методологии RAROC (Risk-adjusted return on capital — скорректированная на риск доходность капитала). 퇷Îˈ‡ 2 Используемое программное обеспечение ç‡ËÏÂÌÓ‚‡ÌË ÔÓ„‡ÏÏÌÓ„Ó Ó·ÂÒÔ˜ÂÌËfl Algo WatchDog OpVaR SOFTWIN RiskOps C4i äÓÏÔ‡ÌËfl-‡Á‡·ÓÚ˜ËÍ Algorithmics Incorporated PriceWaterhouseCoopers FRASIN NetRisk Latilla LLC Бухтин М. А. Методология управления операционными рисками //Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 3—4. 2 Балашова Н. Управление операционным риском: анализ современных тенденций // Рынок ценных бумаг, 2001. № 7 (190). 1 48 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê Методология RAROC, используемая пока немногими, в основном наиболее продвинутыми и активными на международном рынке банками, при расчете уровня доходности инвестиций предполагает учитывать величину риска путем корректировки самой доходности, а не величины ожидаемых вложений капитала. Например, банки ING-Group (Нидерланды) рассчитывают RAROC как соотношение доходности с учетом рисков (кредитного, трансферного, рыночного, делового, операционного и других) и экономического капитала. В некоторых российских и украинских банках применяется система ARIS1, позволяющая не только описывать существующие бизнес-процессы, но и реализующая возможность ведения классификаторов операционных рисков c последующим расчетом возможных потерь по каждой из категорий риска. Кроме того, на этапе моделирования рисков система позволяет указать участки их возникновения в бизнес-процессах, при этом частота возникновения рисков может быть как фиксированной величиной (выступать как атрибут риска), так и расчетной величиной (например, зависеть от количества банковских продуктов, продаваемых по данной технологии/процессу). Вероятность наступления того или иного риска также может являться либо фиксированной величиной, либо расчетной (например, учитывая вероятности и сценарии непосредственно в процессах, возможно значительно повысить качество оценки операционного риска). Сама методика оценки, анализа и контроля операционных рисков банка средствами ARIS базируется на рекомендациях Базельского комитета и отвечает его требованиям, в частности, о необходимости предварительной оценки рисков по всем тем операциям, которые банк предполагает осуществить. Однако чаще (особенно на начальном этапе) банками используются методы, широко распространенные в международной практике: 1. Основанные на применении статистического анализа распределения фактических убытков, позволяющие прогнозировать потенциальные операционные убытки исходя из размеров подобных убытков, понесенных банком в прошлом. При применении этих методов в качестве исходных данных рекомендуется использовать информацию, накопленную в аналитической базе о понесенных убытках, включая сумму и валюту убытка, дату и причины его возникновения, описание события, подразделение, вид банковского продукта, бизнес-линию, ответственное подразделение, категорию риска и иную дополнительную информацию. Порядок ведения базы, ответственные лица, форма и периодичность представления руководству/уполномоченным специалистам, требования к вводимой информации должны определяться в локальном документе. Целесообразным представляется дополнение внутренней информации внешними данными о потерях других банков, которые должны помогать восполнить недостатки собственных сведений. Внешние данные можно получать из двух основных источников2. Первый — путем мониторинга прессы (то есть открытых источников, различающихся количеством событий; периодом, в течение которого они регистрировались; порогом, начиная с которого регистрировались события, — наиболее крупные и скандальные повторяются практически во всех источниках). Второй — из сведений, собранных специальными международными компаниями, такими, как: NetRisk (база компании основана на данных, собираемых с 1993 года американским банком Bankers Trust, которым в настоящее время владеет Deutsche Bank), Operational Risk Exchange (ORX), Global Operational Loss Data (GOLD), база консорциума MORE (Multinational Operational Risk Exchange), интерактивная, существующая десять лет база Zurich IC Squared и другие. Необходимые сведения собираются от нескольких банков — участников пула (обычно крупные международные банки и финансовые институты). Эти организации открыты для вступления, но стоимость участия в них обычно очень высока. 2. Сущность балльно-весового метода (метода оценочных карт) заключается в оценке операционного риска в сопоставлении с мерами его минимизации. На основе экспертного анализа выбираются информативные показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Основными параметрами являются частота случаев потерь и их размер (существенность). Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе бизнес-линий банка, отдельных банковских продуктов и сделок. Определенная величина риска в последующем корректируется с учетом оценки эффективности действующих в банке процедур внутреннего контроля. Оценочные карты позволяют учесть положительные изменения в организации внутреннего контроля, уменьшающие вероятность возникновения убытков от операционного риска и их величину. Обычно в оценочных картах используются индикаторы операционного риска (доход, среднегодовая стоимость активов, объем платежей и расчетов и другие). Такие карты заполняются сотрудниками подразделений банка как минимум раз в год и подлежат проверке независимым контролирующим подразделением (например, внутренними аудиторами). Применение балльно-весового метода позволяет выявить Управление операционными рисками в ARIS (сайт в Интернете: www.aris.infman.ru/article). Натурина М., Громенко О. Внешние данные по операционным потерям // Оперативное управление и стратегический менеджмент в коммерческом банке, 2005. № 4. 1 2 49 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê сильные и слабые стороны в управлении операционным риском. Указанный подход отличается от прочих тем, что здесь при расчете операционного риска помимо количественных оценок внимание уделяется качественным характеристикам менеджмента банка. 3. В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности банка, отдельных бизнес-линий, продуктов и сделок определяются возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, используемая затем для оценки операционного риска. Существенное отличие от предыдущих подходов заключается в том, что четкая взаимосвязь между ожидаемыми и непредвиденными убытками отсутствует, непредвиденные убытки оцениваются напрямую. Расчеты могут производиться на основе эмпирических данных, например, с помощью метода Монте-Карло (Monte-Carlo Simulation). С использованием перечисленных моделей связан значительный круг проблем. По мнению экспертов, математические модели, основывающиеся на синтетической или аналитической обработке информации, пока не могут дать комплексной оценки рисков банка. Абстрагируясь от вопроса о степени проработанности самого математического аппарата, можно отметить еще один негативный аспект. Оказалось, что применение количественных методик и моделей не снимает проблемы преобразования оценок из качественных в количественные, — в подавляющем большинстве случаев исходная информация по операционным рискам представлена в виде субъективных экспертных оценок, сравнений и т. д., а это резко снижает ценность мате- 1 2 матических методов как точных инструментов1. Признавая математику королевой точных наук, нельзя не отметить, что ее применение связано с выбором методов и построением моделей человеком, и данный выбор уже субъективен, поскольку продиктован не только потребностями анализа, но и квалификацией, а также личными предпочтениями аналитика. Таким образом, неверный выбор может привести к ошибкам при использовании метода и неверному результату. Кроме того, вероятностные модели нередко выполняют не только прогнозные функции, но и являются своеобразным оправданием потерь. Если потери укладываются в рамки ожидаемых с точки зрения теории вероятностей, то это принимается как должное независимо от истинных причин потерь, что, в свою очередь, способствует сокрытию возможных ошибок. Немаловажный негативный фактор — значительная стоимость построения работоспособной модели, и если она используется не по назначению или, что еще опаснее, дает неверные результаты, банк несет неоправданные затраты, тем самым не только не снижая уровень операционного риска, но наоборот увеличивая его. Также не будет преувеличением утверждать, что эффективно решить проблему операционного риска исключительно экономико-математическими методами невозможно. Эти методы в той или иной степени используются во всех областях экономики, и практически все, что можно взять у них для управления рисками, уже применяется. В дальнейшем будут совершенствоваться существующие и создаваться новые модели, но границы их использования более или менее очевидны. Именно поэтому следует ожидать появления методов, не отменяющих экономико-математических моделей, а дополняющих их, возможно, с учетом психологических аспектов, связанных с человеческим фактором2. Выбранный метод, процедура применения и регулярность проведения оценки риска должны отражаться в локальных документах банка. Независимо от применяемого метода в банке целесообразно организовать систему внутренней отчетности, представляющую заинтересованным пользователям информацию об уровне операционного риска в разрезе бизнес-линий банка, которая позволит проводить мониторинг риска. Эффективный процесс мониторинга является важным фактором для адекватного управления операционными риском. Регулярный мониторинг дает преимущество быстрого выявления и исправления недостатков в политике, процессах и процедурах по управлению операционными риском. Быстрое выявление дефектов и их решение может значительно сократить потенциальную частоту и/или серьезность случаев материальных потерь. В зависимости от характера операционного риска банк может избегать его (не осуществлять виды деятельности, несущие риск), принимать (если риска избежать не удается), ограничивать (путем установления лимитов и совершенствования процедур внутреннего контроля) и перераспределять. Мониторинг риска банк должен осуществлять путем регулярного ведения базы данных об убытках и изучения показателей деятельности банка, для чего может быть создана система индикаторов (показателей/параметров) операционного риска, связанных с его уровнем, показывающих потенциальные источники риска. Такие индикаторы должны быть нацелены на перспективу и могут отображать потенциальные источники риска, например, быстрый рост, появление новых продуктов, текучесть служащих, сбои трансакций, простои системы и другие. Если значения порогов непосредственно связаны с этими индикаторами, то эффективный процесс мониторинга способен помочь в Кудрявцев О. Оценка операционных рисков // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 3. Криночкин Д.Л. Управление операционным риском: проблемы анализа и принятия решений // Банковские услуги. 2003. № 11. 50 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê выявлении ключевых материальных рисков, а также позволит банку действовать надлежащим образом1. Индикаторами могут служить данные о периодичности и/или серьезности допускаемых ошибок и нарушений, суммах штрафов, судебных издержек, внесудебных компенсаций клиентов, затрат на устранение последствий аварий, текучести кадров, количестве сбоев информационных систем, простоях системы, случаях мошенничества, появлении и быстром росте новых продуктов и других. Для каждого индикатора необходимо устанавливать пороговые значения (лимиты), которые должны регулярно пересматриваться. Мониторинг необходимо осуществлять на всех уровнях — от исполнителя (подразделения) до банка в целом. В состав органов управления банка должно входить специальное подразделение (сотрудник) по управлению риском. Важно, чтобы периодичность мониторинга соответствовала исследуемым рискам, а также частоте и характеру изменений операционной среды. Мониторинг наиболее эффективен, если система внутреннего контроля интегрирована в операции банка и сама генерирует регулярные отчеты. Последние должны содержать внутренние финансовые, операционные данные и информацию об их соответствии (политике банка), а также сведения о событиях и условиях на внешнем рынке, имеющих отношение к принятию решений. Отчеты должны доводиться до нужных уровней управления и сфер банка, где эта информация может оказать требуемое влияние. Кроме того, отчеты должны отражать и выявлять проблемные области и мотивировать своевременное решение соответствующих проблем. Для обеспечения полезности и надежности отчетов аудита управленческий персонал обязан регулярно проверять своевременность, точность и адекватность систем генерирования отчетов и внутреннего контроля в целом. Управленческий персонал может также ис- пользовать отчеты, подготовленные внешними источниками (аудиторами, органами надзора), для оценки полезности и надежности внутренних отчетов. Отчеты должны анализироваться с точки зрения повышения производительности управления риском, а также создания новых принципов, процедур и практики управления риском. Результаты мониторинга нужно включать в отчеты руководителям и совету директоров наряду с анализом соответствия, выполняемым внутренним аудитом или службой управления риском2. Банком должны устанавливаться и соблюдаться периодичность представления информации совету директоров и исполнительным органам (например, ежемесячно), определяться пороговые значения убытков для включения в отчет (например, об убытках свыше 100 тысяч рублей руководству сообщается незамедлительно, менее этой суммы — ежемесячно). Руководству необходимо своевременно и адекватно реагировать на факты реализации операционного риска. В целом совет директоров должен получать достаточную информацию, подготовленную на высоком уровне, позволяющую оценить общий профиль риска банка и сосредоточиться на материальных и стратегических последствиях, которые операционный риск способен оказать на практическую деятельность. В идеале мониторинг операционного риска должен проходить в режиме “он-лайн”, чтобы обеспечить возможность немедленного реагирования и предотвращения потерь. Ограничение/снижение риска предполагает осуществление банком комплекса мер, направленных на снижение вероятности наступления событий, приводящих к убыткам, или уменьшение их размера. Принимаемые меры зависят от характера, объема и разнообразия деятельности банка, однако можно выделить следующие методы ограничения/снижения риска, которые следует признать обяза- тельными для любого банка. Разработка организационной структуры, внутренних правил и процедур совершения банковских и иных операций, исключающих (минимизирующих) возможность возникновения факторов операционного риска. Такими регламентирующими документами банка могут быть: инструкция об организации внутреннего контроля, должностные инструкции сотрудников, порядок совершения банковских операций, контроля за программным обеспечением, доступа и распределения информации, планы работ в случае критических (аварийных) ситуаций и другие. Целесообразно создание структур, отвечающих за предупреждение нарушений нормативных показателей, а также ведущих базу данных операционного риска. Соблюдение принципов разделения полномочий и порядка утверждения отчетности, четкое распределение основных функций по управлению риском. Должно быть организовано регулярное информирование структурных подразделений относительно уровня и методов управления риском (в рамках их компетенции); проведение регулярных совещаний (тренингов) по вопросам управления риском. Известно, что инструментом снижения потерь в результате представления неполной или несвоевременно представляемой информации по причине недостаточной квалификации самого руководства банка или из-за низкого уровня развития систем управленческой информации может служить политическая воля владельцев и высшего руководства банка. В банке должно быть организовано введение и соблюдение ограничений (лимитов) на осуществление отдельных направлений деятельности как центрального офиса, так и структурных подразделений, концентрации рисков, видов сделок, отдельных операций. Система лимитов строится таким образом, что каждый новый лимит не должен противоречить ранее установленным лимитам, а каждая операция проводится с Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk. — Basel, Bank for International Settlements, February 2003. 2 См. там же. 1 51 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê учетом всех действующих лимитов и с соблюдением обязательных нормативов. Банку необходимо отказаться от осуществления операций, уровень рисков по которым чрезмерно высок и не соответствует критериям оценки деятельности банка. Кроме того, важно соблюдение иерархии доступа к информации и материальным активам банка для снижения риска несанкционированного доступа (может стать причиной хищения денежных средств или ценной для банка информации, что, по сути, равнозначно). Необходимо проведение регулярной выверки первичных документов и счетов по проводимым операциям и другим сделкам. Снизить риск негативных последствий, которые, как правило, возникают в результате ошибок перевода средств в случае неверного указания банка-контрагента (в том числе направление средств в проблемный банк или даже банк, в отношении которого открыто конкурсное производство, откуда вернуть средства чрезвычайно сложно), можно, например, с помощью установки так называемой блокировки в информационную систему. Однако для того чтобы избежать возникновения дополнительных рисков, связанных с работой такого инструмента, блокировка должна проверяться на предмет здравого смысла. Например, установленные в американских банках логические системы, делающие невозможным перевод денежных средств на Кубу, блокировали переводы даже в пользу такого бенефициара, как московский ресторан “Гавана”, что повлекло выплату банком штрафных санкций за несвоевременное осуществление платежей. Аналогичной проверке следует подвергать используемые для расчетов математические модели. Для снижения риска ошибки, из-за которой, например, в середине 90-х годов National Westminster Bank, применив модель расчета стоимости портфеля производных инструментов, потерял более 80 миллионов долларов США, необходимо разработать порядок утверждения математических моделей, включая проверку на самых простых и понятных да1 же неспециалистам в области финансовой математики примерах1. Особое внимание следует уделять отработке процедуры утверждения порядка работы с новыми для банка финансовыми инструментами — нельзя начинать работу с новым инструментом, не убедившись в том, что он будет корректно отражаться в учете и аналитике. Полезным инструментом снижения риска может стать, например, контрольный листок, в котором указываются все риски, требования к системам, документации, процедурам и т.д.; новый продукт запускается в работу, если контрольный листок подписан всеми должностными лицами банка, уполномоченными принимать решение о запуске продукта. Важно обеспечить надлежащий подбор и подготовку персонала, недостаточная квалификация которого, невнимательность и слишком высокая загруженность способны стать причиной серьезных убытков банка. Например, для снижения риска некачественной юридической документации по причине недостаточной квалификации работников юридической службы целесообразно стандартизировать (формализовать) процедуры и договоры, обязательно визируемые юристами (установив при этом индивидуальный порядок рассмотрения для всех договоров, отличных от стандартных). Формализация процедур и мероприятий, персонализация ответственности за каждую операцию в целом позволят уменьшить риск трудовых конфликтов (например, при “разборе полетов” после серьезной внештатной ситуации, выявлении ее причин и принятии решения о наказании провинившихся руководителей и сотрудников). Следует отметить, что комплектация персонала часто происходит в условиях конкурентной борьбы за лучшие кадры и имеет свои риски. Это и переманивание, ведущее к потере кадров, и чрезмерные запросы на оплату труда, и опасность “переноса” конфиденциальной информации на новое место работы уволившимся работником, и проблема “незаменимых” сотрудников, при отсутствии кото- рых возникает риск остановки технологического процесса (программисты), ухода клиентов (клиентский менеджер). Для снижения риска потерь от увольнения программиста, например, следует внедрить порядок взаимозамещения сотрудников службы информационных технологий, использовать разные формы морального и материального стимулирования труда программистов (например, аккордно-премиальную систему оплаты, чтобы приучить выполнять работу в установленные сроки), поручить разработку задачи специализированной фирме. Стандартным инструментом снижения риска ухода клиентов в случае увольнения клиентского менеджера служит принцип ротации менеджеров в банке в сочетании с выработкой формальных договоренностей между руководством банка и менеджером, который привел клиентов. Обязательным является внедрение систем автоматизации банковских технологий и защиты информации, ограничение физического и логического доступа. Банк должен осознавать, что при снижении вероятности частых ошибок при автоматизированной обработке данных (приводящих к незначительным убыткам) возникает редкая, но более значительная вероятность убытков от системных сбоев или ошибок в программном обеспечении. В идеале должны быть автоматизированы все процессы, однако автоматизация — весьма дорогостоящий процесс, поэтому для выбора приоритетных объектов банку необходимо исходить из факторов существенности (суммы возможных потерь), то есть следует проводить контрольные мероприятия в первую очередь там, где возможны большие потери. Кроме того, ведение базы данных операционных потерь способствует более точному определению потребности в автоматизации и оказывается важным для учета результатов работы сотрудников по критерию качества работы. К сожалению, в нашей стране на практике мероприятия по автоматизации бухгалтерского учета и отчетности пока затруднены из-за слишком частого изменения регу- Седин А.И. Операционные риски: классификация и некоторые практические аспекты // Бухгалтерия и банки, 2002. № 3. 52 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê лирующих требований. Но такая проблема существует во всех государствах на постсоветском пространстве, в которых пока не утвердились окончательно системы национальных стандартов учета и отчетности. Банку необходимо обеспечить сохранность и возможность восстановления информационных систем и ресурсов. Снизить риски потерь из-за ошибок в компьютерных программах позволяет жесткая система тестирования программ до их ввода в эксплуатацию, наличие адекватной технической документации и четкое фиксирование ответственности разработчика в соответствующих договорах. Один из важнейших методов снижения риска сбоев информационных систем — разработка качественных планов работы в случае сбоя. Аналитики банка должны произвести расчет, во сколько может обойтись каждый день простоя с учетом косвенных убытков (например, угроза потери деловой репутации, возможный риск ухода важных клиентов). Особое внимание следует уделить методам снижения риска, не нашедшим пока широкого применения в белорусской банковской системе, — страхованию и аутсорсингу. Страхование (зданий, сооружений, сотрудников, носителей информации, самой информации и т. д.) как финансовый инструмент предоставляет рынку дополнительные возможности, в том числе в отношении оценки риска. Так, страховщики разработали свою классификацию операционных рисков, базирующуюся на линейке услуг, предлагаемых на страховом рынке, которая характеризуется своей универсальностью. Она примерно одинаковая у страховщиков всего мира, поскольку крупные риски перестраховываются иногда в десятках и даже сотнях страховых компаний. Это позволяет применять ее для целей управления рисками по всем региональным подразделениям банка. Однако в ряде случаев страховые компании берут на страхование не все операционные риски, и, кроме того, не всегда для особых видов риска существует развитый, ликвидный рынок, представ1 ленный значительным числом страховых компаний и застрахованных объектов. Аутсорсинг (outsourcing) — передача банком риска или его части третьим лицам в процессе оказания ими вспомогательных услуг (юридическое оформление сделок, разработка и обслуживание информационных систем, внутренний аудит, услуги по подбору персонала). Использование аутсорсинга имеет ряд преимуществ. Банк привлекает к работе профессионалов, обладающих обширным опытом и внедряющих готовые и апробированные методики. В то же время штат сотрудников не увеличивается и не затрачивается их рабочее время на вспомогательные услуги, что ведет к снижению расходов. При этом у банка появляется возможность четко отслеживать в управленческом учете затраты на вспомогательные услуги, поскольку информацию о них не приходится отслеживать по всем подразделениям банка. Не отрицая положительных моментов, нельзя не признать, что аутсорсинг является источником дополнительного операционного риска, связанного с деятельностью третьей стороны. В связи с этим банк должен сохранять возможность контроля за размером передаваемого риска, что потребует разработки надежных практических методов по управлению им. Так, аутсорсинг должен базироваться на строгих правовых договорных основах, обеспечивающих четкое распределение обязанностей и ответственности между поставщиками услуг и банком. Банку необходимо контролировать риски, связанные с договорными отношениями, включая риск разрыва поставщиком договора на оказание услуг, или риски, связанные с потерей деловой репутации, поэтому ему следует проводить надлежащую оценку и мониторинг деятельности поставщиков. Все большее значение приобретают такие методы ограничения риска, как обеспечение непрерывности деятельности при совершении операций, проведение стресстестов, разработка планов действий на случай кризисных ситуаций и периодическое осуществление проверки готовности струк- турных подразделений к их выполнению. Например, стресстест применяется банком для проверки своей потенциальной уязвимости в отношении исключительных, но вероятных событий. Ключевым шагом в процессе стресс-тестирования (как по историческому, так и по гипотетическому сценарию) является определение основных факторов тестируемого риска, как правило, выбираются параметры (индикаторы, показатели), используемые в целях мониторинга данного риска (например, внутреннее и внешнее мошенничество, отказ систем и риски безопасности). Стресс-тестирование может служить как инструментом решения задач на текущий год, так и инструментом перспективного планирования. Стресс-тестирование текущей ситуации позволяет предпринимать тактические меры, помогающие урегулировать текущую ситуацию и максимально ослабить давление операционного риска на деятельность банка. Стресс-тестирование направлений перспективного развития банка помогает оценить риск принятия того или иного решения, согласовать политику и, в конечном счете, определить: принимать за основу предложенный вариант развития или переориентировать деятельность банка. Обязательный инструмент снижения операционного риска — разработка плана действий при чрезвычайных ситуациях, включающего четкий перечень ситуаций, указанных в этом плане; описание процедур информирования сотрудников банка о чрезвычайных ситуациях; список лиц, ответственных за проведение мероприятий по минимизации ущерба от чрезвычайных ситуаций; суть таких мероприятий и ресурсы, необходимые для ликвидации последствий чрезвычайных ситуаций (сотрудники, оборудование, денежные средства и т. д.). Пример успешного применения подобного плана — работа инвестиционного банка Morgan Stanley, штабквартира которого находилась в здании Мирового торгового центра в Нью-Йорке1. Несмотря на то, что в момент атаки террористов на “башни-близнецы” в здании нахо- Седин А.И. Операционные риски: классификация и некоторые практические аспекты // Бухгалтерия и банки, 2002. № 3. 53 Банкаўскi веснiк, САКАВIК 2006 ÅÄçäéÇëäàâ çÄÑáéê дилось довольно много сотрудников Morgan Stanley, подавляющему числу служащих удалось успешно покинуть здание, так как они действовали по имеющемуся у них плану эвакуации, а не следовали указаниям администрации здания “оставаться на своих местах”. Более того, наличие резервного информационного центра, процедур и планов мероприятий позволило этому банку в минимально короткие сроки возобновить операции с клиентами и на финансовых рынках, используя резервные офисы и информационные системы. Следует отметить, что по усмотрению банка могут использоваться иные методы снижения риска, адекватные объему и степени диверсифицированности деятельности. Контроль риска должен являться неотъемлемой частью деятельности банка. Множество техник используется для контроля и снижения операционного риска, каждая из которых имеет определенные преимущества. Например, внутренний контроль и внутренний аудит характеризуются независимым взглядом; система лимитов по операционному риску позволяет ограничить возможные убытки; системы отчетности для выявления потенциальных проблем создают стимулы к управлению операционным риском; с помощью страхования и перестрахования риски переносятся на страховщика; создание резервов (аналогичных традиционным резервам по ссудам) дает возможность компенсировать потенциальные убытки. Все эти техники, как правило, пересматриваются, корректируются и развиваются банком, конечная цель которого — их интеграция в общую структуру управления. Поскольку в настоящее время основным инструментом управления операционным риском все же является внутренний контроль, его назначение должно заключаться в том, чтобы служить инструментом превентивных действий, а не констатировать факты и события, уже произошедшие. Банку следует иметь разработанную и закрепленную в локальных нормативных актах общую процедуру контроля, а также механизм ее соблюдения, включая меры на случай нарушений. Во 54 внутренних документах банка должны устанавливаться и выполняться: ● процедуры предварительного контроля (разработка четких, детальных и недвусмысленных должностных инструкций, порядка осуществления операций и т. д.) и текущего контроля (проверка правильности соблюдения указанных документов, лимитов, порядка визирования, проведения платежей и т.д.), принцип двойного контроля (сверка счетов и перекрестная проверка), реализация принципа “знай своего клиента”; ● порядок выявления фактов операционных убытков и применения мер воздействия к сотрудникам (подразделениям), их допустившим, периодичность рассмотрения данных фактов руководством; ● порядок проведения инвентаризации имущества; ● сопоставление фактических и планируемых (прогнозных, смоделированных) убытков; ● периодичность оценки внутренним аудитом уровня риска и качества управления им — следует периодически проверять соблюдение сотрудниками указаний, содержащихся в нормативных документах, регламентирующих управление операционным риском, и контролировать правильность его количественной оценки (акты проверок внутреннего аудита должны содержать рекомендации по снижению уровня риска и принятию мер по устранению недостатков, выявленных при проверке пруденциальной отчетности, несоблюдении лимитов и иных ограничений). Банк должен регулярно пересматривать существующие процедуры и принципы управления риском с учетом изменений на финансовых рынках, достигнутого уровня риска и накопленного опыта в управлении им, иных внешних и внутренних факторов влияния. Обновление оценок риска приводит к пересмотру качества контроля по мере изменения продуктов и направлений деятельности банка, а значит, поддерживает инновационность банковской системы. В отношении контролируемых рисков банку необходимо опреде- лить степень и методы контроля, а относительно неконтролируемых (например, внешних) — принять решение о прекращении или снижении объема операций. Информация по управлению операционным риском должна доводиться до акционеров, клиентов банка и иных заинтересованных лиц. Не умаляя значения контроля, следует отметить важность психологических аспектов управления операционным риском. В сложных и быстро меняющихся условиях деятельности банка процесс анализа и принятия решений всегда несет риск возможных неблагоприятных последствий. Применительно к операционному риску это означает, что при прочих равных условиях страх принять неверное решение в настоящем больше влияет на действия человека, чем какие-то выгоды в будущем. Соответственно, снижается инициативность сотрудников, появляется боязнь совершить ошибку, а допущенные ошибки могут ими даже скрываться. Именно поэтому в банке необходимо создать такую ситуацию, при которой вероятность самого появления ошибок была бы минимальной. Кроме того, большую роль играет отношение руководства и сотрудников к допущенным ошибкам — как повышенное внимание к ошибкам, так и полное их игнорирование могут повлиять на выход ситуации из-под контроля. В заключение можно сделать вывод, что в основу управления операционным риском заложено качественное всеобъемлющее выявление всех внутренних процессов, процедур и операций банка, подверженных идентифицируемым источникам риска, а также оценка данных рисков. Банк должен самостоятельно организовать систему управления операционным риском, основными элементами которой являются идентификация, оценка, мониторинг, ограничение/снижение и контроль риска. Данная система должна соответствовать объему и степени сложности деятельности банка, подвергаться регулярному пересмотру и совершенствованию с учетом требований банковского надзора.
