Самые распространенные операционные риски:
ошибки в компьютерных программах (сбой программного обеспечения и информационных технологий или систем, отказ оборудования и связи);
ошибки персонала (недостаточная квалификация сотрудников, осуществляющих данную операцию; недобросовестное исполнение установленных положений и регламентов; перегрузка персонала; случайные разовые ошибки);
ошибки в системе распределения функций (дублирование функций; исключение отдельных функций);
отсутствие плана работы или его низкое качество ведет к задержкам при принятии управленческих решений, а формализация планов и процедур действия в критичных ситуациях не только облегчает выявление проблемных аспектов, но и уменьшает риск возникновения трудовых конфликтов.
5.2 Подходы к анализу и управлению операционным риском
Подходы к анализу и управлению операционными рисками можно подразделить на нисходящие модели и восходящие модели. Нисходящие модели рассматривают операционный риск «сверху вниз», с точки зрения конечных результатов, то есть последствий, к которым приводит операционный риск (например, общая сумма убытка в результате сбоя информационных систем или ошибок персонала). Для идентификации рисков используется база данных событий, повлекших за собой убытки (либо потенциальные убытки). Риски объединяются в группы в соответствии с классификацией, после чего анализируются. Анализ, как правило, проводится на среднем или высшем уровне управления, что может включать не только уровень высшего руководства, но и отдельные подразделения, имеющие полную информацию о деятельности организации. Количественные методы при данном подходе используются для оценки итогового влияния рисков, для чего создается система индикаторов, по которой можно судить о динамике влияния рисков и вести постоянный мониторинг.
Индикаторы деятельности представлены тремя основными группами показателей, по которым можно судить о деятельности компании и существующих операционных рисках:
Индикаторы текущей деятельности позволяют осуществлять контроль эффективности проводимых операций (количество неверных операций, текучесть кадров, общее время неработоспособности информационных систем и т.д.).
Индикаторы эффективности контроля показывают количество ошибок, которые были предотвращены благодаря системе внутреннего контроля (количество исправленных операций, расхождения при сверке данных, выявленные случаи несанкционированного доступа к данным и т.д.).
Индикаторы риска являются опережающими показателями и строятся расчетным или аналитическим путем сопоставления индикаторов текущей деятельности и эффективности контроля (например, сопоставление информации об одновременном увеличении объема операций, текучести кадров и количества ошибок ввода данных и т.д.).
Восходящие модели разрабатываются «снизу вверх», с точки зрения подразделений или бизнес-процессов. Основное внимание при данном подходе уделяется причинам возникновения операционных рисков, которые могут привести к негативным последствиям. Идентификация рисков при таком подходе происходит в процессе взаимодействия путем оценки реакции работников, процессов, технологий на внутренние или внешние воздействия. Сложность подхода состоит в том, что существует целая сеть взаимодействий, в результате которых могут реализоваться операционные риски. Таким образом, основой идентификации рисков является декомпозиция организации и всей ее деятельности на конечные бизнес-процессы. Такой подход позволяет создать иерархическую структуру процессов, на основании которой можно определить ключевые места контроля Энциклопедия финансового риск-менеджмента. Под ред. Лобанова А.А., Чугунова А.В. - М.: Альпина Паблишер, 2003. - 786 с. С. 444-446..
5.3 Система внутреннего контроля
Минимизация операционных рисков основана на эффективной системе внутреннего контроля. Согласно рекомендациям Базельского комитета Framework for internal control systems in banking organization. Basle Committee on Banking Supervision, 1998, September., наиболее распространенные причины операционных потерь являются следствием недостатков систем внутреннего контроля, таких как недостаточное внимание руководства при организации и поддержании системы внутреннего контроля; неверная оценка рисков при осуществлении балансовых и забалансовых операций; отсутствие внутренних подразделений и процедур контроля при осуществлении бизнес-процессов; неэффективная система передачи информации между различными уровнями управления; недостаточная и неэффективная роль аудита в оценке эффективности системы внутреннего контроля.
Таким образом, систему внутреннего контроля можно рассмотреть в разрезе пяти основных блоков: деятельность руководства и общая культура контроля, выявление и оценка рисков, процедуры контроля, информационные системы и коммуникации, мониторинг текущей деятельности.
Система внутреннего контроля основана на следующих процедурах контроля:
подготовка итоговых отчетов за период;
мониторинг совершаемых операций на уровне подразделений;
ограничение физического доступа персонала к данным на электронных и бумажных носителях;
соответствие имеющимся требованиям и положениям;
порядок подтверждения и санкционирования операций;
процедуры проверок и сверок.
Процедуры контроля делятся на внутренние и внешние. Внутренние процедуры контроля основаны на следующих требованиях:
Разделение функций.
Двойной ввод данных. Введенные данные от независимых источников сравниваются, и только при их совпадении совершается операция.
Сверка данных производится между различными информационными системами, а также на разных этапах обработки данных. Это реализуется посредством сравнения детальной информации и итоговых сумм.
Дополнительное подтверждение операций. Контрагенты по совершаемым операциям должны быть проинформированы о наиболее важных событиях, связанных с движением значительных средств и исполнением срочных контрактов. Предварительное подтверждение о возможности исполнения таких операций должно быть получено до момента их фактического исполнения.
Контроль исправлений. Внесение любых поправок к исходной информации должно подчиняться такому же контролю, как и ввод первоначальной информации.
Внешние процедуры контроля включают в себя следующие действия:
Подтверждения. Для каждой торговой операции должно быть получено подтверждение от противоположной стороны по сделке. Такая мера обеспечивает независимый контроль над деятельностью компании.
Проверки правильности цен. Для переоценки позиции информация о стоимости финансовых инструментов должна быть получена из независимого источника. Ввод такой информации требует соблюдения требований по внутренним процедурам контроля.
Полномочия на исполнение операций. Контрагенты по сделкам должны иметь информацию о тех работниках, которые уполномочены вести торговлю от имени данной компании.
Осуществление расчетов. При осуществлении расчетов уже можно выявить некоторые ошибки, которые могли быть допущены при вводе первичной информации.
Внутренний и внешний аудит. Такие проверки могут предоставить информацию о недостатках исполнения операций или неэффективности принятых процедур контроля. Такой анализ осуществляется на основе независимого сравнения с «наилучшей практикой» организации бизнес-процессов и внутреннего контроля.
Контроль за наиболее важными рисками должен осуществляться ежедневно. Эффективность системы внутреннего контроля периодически должна проверяться специалистами в рамках внутреннего аудита компании Энциклопедия финансового риск-менеджмента. Под ред. Лобанова А.А., Чугунова А.В. - М.: Альпина Паблишер, 2003. С. 450-453..
Раздел 6. Банковский риск. Базельские соглашения
6.1 Банковский риск
Стандарты, определяющие безопасную и надежную деятельность банков, разрабатываются на международном уровне и принимаются в национальное законодательство большинства стран. Базельский комитет по банковскому надзору был основан в 1974 году при Банке международных расчетов в г. Базель, Швейцария. В него входят Центральные Банки крупнейших государств. На настоящий момент странами-членами Базельского комитета являются 27 государств: Австралия, Аргентина, Бельгия, Бразилия, Великобритания, Германия, Гонконг, Индия, Индонезия, Испания, Италия, Канада, Китай, Корея, Люксембург, Мексика, Нидерланды, Россия, Саудовская Аравия, Сингапур, США, Турция, Франция, Швейцария, Швеция, Южная Африка, Япония Банк международных расчетов. Режим доступа: http://www.bis.org/bcbs/index.htm.
Базельским комитетом выделяются следующие банковские риски: кредитный риск, страновой и риск перевода, рыночный риск, процентный риск, риск потери ликвидности, операционный риск, правовой риск и риск ухудшения репутацииОсновополагающие принципы эффективного банковского надзора. Банковский надзор. Европейский опыт и российская практика. Под ред. М. Олсена. Перевод с англ. яз. Представительство Европейской комиссии в России. Центральный банк Российской Федерации. - 2005. Приложение 7. С. 286-288..
6.2 Первое Базельское соглашение (Базель-I) «Международная конвергенция измерения капитала и стандартов капитала», 1988 г.
Основной целью Первого Базельского соглашения являлось ограничение кредитных рисков. Минимальный размер достаточности капитала банка (который называют нормативным или регулятивным капиталом) устанавливается в размере 8% от суммы активов, взвешенной с учетом кредитного риска:
.
Для определения размера кредитного риска используются весовые коэффициенты по четырем группам активов: 0, 20, 50 и 100. Чем выше риск, тем больше вес. Коэффициент 0 применяют для безрисковых активов, которые фактически исключаются из оценки суммы кредитного риска (наличность, золотые слитки, обязательства стран Организации экономического сотрудничества и развития, государственная задолженность стран G-10 и т.д.). Коэффициент 100 означает, что вся сумма соответствующего актива считается рискованной, ее полностью включают в величину кредитного риска (долговые обязательства коммерческих и других негосударственных организаций, государственные обязательства стран, не относящихся к промышленно-развитым и т.д.) Основополагающие принципы эффективного банковского надзора. Банковский надзор. Европейский опыт и российская практика. Под ред. М. Олсена. Перевод с англ. яз. Представительство Европейской комиссии в России. Центральный банк Российской Федерации. - 2005. Приложение 7. С. 289..
В 1996 г. выходит документ, вносящий поправки в Базель I, в котором были установлены требования к капиталу с учетом рыночного риска (Базель 1,5). Рыночный риск определялся как риск потерь по балансовым и внебалансовым позициям, возникающих под влиянием колебания рыночных цен: в результате рисков по финансовым инструментам, связанным с процентной ставкой, а также валютного и фондового рисков банка. Было предусмотрено два подхода к определению рыночного риска - стандартизированный подход и подход на основе внутренних моделей.
Стандартизированный подход был реализован Банком России в 1999 г. Рыночный риск определялся следующим образом Положение о порядке расчета кредитными организациями размера рыночных рисков (утв. Банком России 24.09.1999 № 89-П).:
РР = 12,5 ? (ПР + ФР + ВР),
где:
РР - совокупный размер рыночных рисков,
ПР - процентный риск,
ФР - фондовый риск,
ВР - валютный риск.
При расчете фондовый и процентный риски делились на специальный риск, то есть обусловленный колебаниями цены конкретного финансового инструмента и связанный с его эмитентом, и общий риск - обусловленный рыночными колебаниями в целом.
6.3 Второе Базельское соглашение (Базель-II) «Международная конвергенция измерения капитала и стандартов капитала: уточненные рамочные подходы», 2004 - 2006 гг.
Базель-II состоит из трех основных компонентов: минимальные требования к капиталу, надзорный процесс, рыночная дисциплина.
Первый компонент - минимальные требования к капиталу. При расчете минимальных требований к капиталу учитываются кредитный, рыночный и операционный риски. Отношение совокупного капитала к активам, как и согласно Базелю-I, не должно быть ниже 8%:
.
Кредитный риск. Предложено две методологии расчета требований к капиталу для покрытия кредитных рисков: на основе стандартизованного подхода и на основе внутренние рейтинговых систем для оценки кредитных рисковМеждународная конвергенция измерения капитала и стандартов капитала: Уточненные рамочные подходы. Базельский комитет по банковскому надзору. Банк международных расчетов. - 2004. С. 17-20..
Стандартизированный подход основан на взвешивании величины кредитных требований на коэффициент, присваиваемый заемщику в зависимости от внешнего кредитного рейтинга, определенного одним из международных рейтинговых агентств (Standard&Poor's, Moody's, FitchRatings и др.). Приняты следующие значения весовых коэффициентов: 0, 20, 50, 100, 150%. Согласно новым требованиям к банковскому капиталу, весовые коэффициенты риска распределяются не по видам активов, а по группам заемщиков (государства, центральные банки, коммерческие банки, индивидуальные заемщикии т. д.).