УДК 336.71
Формирование системы оценки операционного риска в коммерческом банке
Formation of operational risk assessment system in a commercial bank
Зернова Людмила Евгеньевна
Zernova Liudmila Evgenievna
кандидат экономических наук, доцент, доцент кафедры «Коммерция и сервис», Российский государственный университет им. А.Н. Косыгина, Россия, Москва
Аннотация
В настоящей статье рассматриваются вопросы анализа подходов к построению системы управления и методов оценки операционного риска в коммерческом банке. Выявлены достоинства и недостатки имеющихся в отечественной и зарубежной практике методов оценки операционного риска. Уточнены и систематизированы проблемы построения системы операционного риска в коммерческом банке. Составлен каталог событий операционного риска в банке. Разработаны схема оценочной матрицы по событиям риска в разрезе типов событий и его источников и общая карта операционного риска, позволяющие наглядно и достаточно точно увязать в единую систему частоту и вероятность событий наступления операционного риска и масштаб этих событий, определить ожидаемый от них отрицательный финансовый результат.
Abstract
Ключевые слова: коммерческий банк, риск, операционный риск, метод оценки, оценочная матрица, карта риска
Keywords: commercial bank, risk, operational risk, valuation method, valuation matrix, risk map
Введение
Деятельность коммерческих банков направлена на максимизацию прибыли, а использование большого денежного потока всегда сопряжено с большим количеством рисков. Особое внимание руководством банка уделяется операционному риску.
Характерными признаками операционного риска являются: всеобъемлющий характер, трудности установления его локализации, появление все новых источников риска. Все это обуславливает потребность в развитии теоретических и методических основ оценки и управления данным риском.
Современная экономическая практика свидетельствует о наличии ряда нерешенных теоретических и методических проблем, касающихся специфики оценки операционного риска. Одним из препятствий внедрения «продвинутых» подходов и развития методического обеспечения оценки операционного риска зачастую являются недостатки внутренних баз данных по событиям операционного риска, отсутствие общедоступной централизованной информации на уровне банковского сектора в целом.
Цель исследования состоит в теоретическом обосновании комплекса научно-методических положений, необходимых для формирования и развития системы оценки операционного риска в коммерческих банках
В ходе исследования были определены преимущества и недостатки существующих методов оценки операционного риска, выявлены основные проблемы управления операционным риском и разработаны предложения по построению системы оценки операционного риска в коммерческом банке.
Научная новизна исследования состоит в теоретическом обосновании построения системы оценки операционного риска, определении ее особенностей для коммерческих банков.
Анализ существующей системы оценки операционных рисков в коммерческом банке
Основы теории управления операционным риском и их глубокое исследование предполагают необходимость в анализе подходов к построению системы управления и методов оценки операционного риска в коммерческом банке.
Оценка операционного риска – один из главных функциональных элементов системы управления операционным риском. Точность и объективность оценки будут иметь влияние на результирующий элемент системы управления риском, определять степень ее эффективности, а также обеспечивать успешность стратегического и тактического планирования.
Базельский Комитет по банковскому надзору выделяет три основных подхода к оценке операционного риска:
− Базовыйподход (BIA, Basic Indicator Approach);
− Стандартизированныйподход (TSA, The Standardized Approach);
− Усовершенствованныеподходы (AMA, Advanced Measurement Approach).
Изучив экономическую литературу, мы выделили основные подходы к оценке операционного риска . Достоинства и недостатки методов представлены в таблице 1
Таблица 1 – Достоинства и недостатки методов оценки операционного риска
|
Основные методы |
Сущность метода |
Достоинства |
Недостатки |
|
BIA |
Упрощенный подход на основе базового индикатора BIA к расчету размера капитала под операционные риски предполагает прямую зависимость уровня риска от масштабов деятельности. Основной показатель финансовой деятельности – валовый доход |
1.Простота использования 2.Доступность необходимой информации |
1.Завышенные требования к резервированию капитала 2.Не достаточная ориентация на внутреннюю статистику потерь |
|
TSA |
Основан на зависимости риска от дохода. Расчет капитала под операционный риск проводится отдельно по каждой бизнес-линии. Размер необходимой величины капитала определяется умножением валового дохода на коэффициент |
1.Более высокая точность расчетов 2.Позволяет уменьшить размер резервируемого под операционный риск капитала 3.Серьезные требования к качеству процесса управления риском |
1.Метод адаптирован для крупных банков 2.Величины коэффициентов устарели и требуют пересмотра в раках современной банковской практики 3.Высокая трудоемкость 4. Не учитывается опыт банка и показатели рейтинговых агентств |
|
ASA |
Для таких операций как розничные банковские услуги и коммерческие операции расчет производится на основе произведения величины портфеля ссудной задолженности юридических и физических лиц на коэффициент 3,5 |
Удобен для банков, ориентированных на определенный сегмент рынка (автокредитовние, ипотечное кредитование, кредитные карты) |
Присущи недостатки метода TSA |
|
IMA |
Определение математического ожидания убытков от неблагоприятных событий операционного риска. Основными параметрами для расчета являются величина ожидаемых и непредвиденных потерь банка и функция распределения потерь |
1. Использование собственного опыта банка 2. Использование данных рейтинговых агентств 3.Использование математических методов |
1.Метод ориентирован на крупные банка 2. Требуются значительные финансовые затраты на реализацию |
|
LDA |
Основан на распределении убытка от операционных рисков и распределения частоты возникновения данных событий. Расчет производится по отдельным направлениям деятельности банка при реализации нескольких факторов операционного риска и получении соответствующих величин убытков |
Точность и надежность расчетов за счет использования внутренней информации банка |
Отсутствие единого фиксированного алгоритма при реализации отдельных направлений деятельности банка и нескольких факторов операционного риска |
|
SCA |
Балльно-весовой метод на основе экспертного анализа, дающий возможность минимизации риска. |
Позволяет выявить сильные и слабые стороны в управлении операционным риском банка |
1.Трудоекость процесса оценки 2.Субъективность мнений экспертов |
|
Монте-Карло |
Метод статистического моделирования на основе статистической обработки наблюдений за событиями операционного риска |
Применение возможно при отсутствии большого количества данных по событиям операционного риска |
Вероятностный характер результатов, что не всегда способствует точности расчетов |
|
Внутренняя рейтинговая модель |
Формализованное описание характеристик операционного риска и процедур его оценки |
Позволяет уменьшить резерв по операционному риску |
Трудоемкость расчетов |
|
Мэппинг |
Основан на распределении рисков по бизнес-линиям за счет распределения валового дохода. «Картографирование» риска (map — карта, картограмма) обычно связывают с двухмерным представлением риска в координатах (вероятность, потери). |
Удобен для представления результатов руководству банка и надзорным органам |
Возможен субъективный характер полученных результатов |
Таким образом, любой из вышеперечисленных методов оценки операционного риска имеет свои преимущества и недостатки. Подходы BIA и TSA не учитывают опыт, который накопил банк за время своей деятельности, а также рейтинги агентств. Для использования продвинутых подходов AMA коммерческий банк должен иметь организованную систему управления рисками, которая будет отвечать требованиям надзорных органов. На практике использовать методики AMA могут в основном крупные банки, т.к. соблюдение всех требований влечет за собой достаточно крупные затраты.
На современном этапе российскими банками в основном используются базовый подход BIA и стандартный TSA. В настоящее время Базельский комитет по банковскому надзору предлагает новый подход к стандартизированному измерению (SMA, Standardised Measurement Approach), который может заменить подход AMA. Ключевым новшеством SMA является включение в предлагаемую стандартизированную модель бизнес-индикатора, который отражает усредненный операционный риск, величины убытков, учитывающих особенности операционного риска конкретного банка в виде статистики его внутренних убытков за последние годы (не менее 5 лет).
Формирование системы оценки операционного риска в коммерческом банке
Процесс управления операционным риском является одним из наиболее значимых для любого банка, что объясняется постоянным расширением круга задач, усложнением технологических процессов, изменениями законодательства, появлением на рынке новых банковских продуктов. Операционный риск присущ всем без исключения операциям, осуществляемым банком, и связан с возможными недостатками в системах и процедурах управления, а также системах поддержки и контроля проводимых операций и оказываемых услуг.
При построении системы управления операционными рисками банк сталкивается с множеством проблем и сложностей. Решение таких проблем является основной задачей процесса управления риском в банке (рисунок 1).
Проблемы, указанные на рисунке 1, приобретают особо важное значение в деятельности любого среднего и малого банка. Это обусловлено недостатком материальных и кадровых ресурсов в процессе организации системы управления операционным риском, иногда отсутствием инициативы со стороны высшего менеджмента и руководства банка.
Рисунок 1 – Основные проблемы построения системы операционного риска в коммерческом банке
Представленные выше проблемы и сложности обуславливают необходимость в регулярном усовершенствовании системы управления операционным риском и его оценки. Оптимальная налаженная система должна обеспечить высокий уровень процесса управления операционным риском, сформировать определенный уровень корпоративной культуры, проводить регулярный контроль эффективности системы управления, а также обеспечить высокий уровень защиты информации, качественную и количественную оценку уровня риска. Совершенствование системы будет способствовать стабилизации финансового состоянии банка, росту его доходности, повышению уровня конкурентоспособности, а также окажет влияние на снижение резервов капитала под операционный риск.
В таблице 2 представлены данные некоторых российских банков по фактической величине расходов в части прочих расходов: штрафов, пеней, неустоек (по данным отчета о финансовых результатах банка) и о величине капитала, резервируемого под операционный риск на основе базового индикативного подхода , Безусловно, данные отчета о финансовых результатах не дают полного представления о величине реальных убытков по событиям операционного риска, однако могут дать примерный ориентир масштабов таких потерь.
Таблица 2 – Фактическая величина убытков и уровень операционного риска российских банков за 2016 год, тыс. руб.
Анализируя данные таблицы 2, можно сделать вывод о том, что уровень капитала, который резервируют банки под операционные риски, существенно превышает уровень фактических убытков, которые отражены в отчетности.
Для более глубокой оценки операционных рисков коммерческого банка, с учетом проведенного ранее анализа выявленных достоинств и недостатков различных методов, нами был разработан метод оценки операционного риска в банке , На основании внутренней базы данных банка была составлена таблица, которая является одной из функциональных составляющих каталога операционных рисков в рамках экспертного метода. Предназначение каталога состоит в идентификации всех процессов и операций банка, подверженных выявленным факторам риска.
Таблица представляет собой систему балльных оценок, в которой по строкам располагаются объекты риска, а по столбцам – источники и отдельные факторы риска. Пересечение строк и столбцов представляет собой поля, в которые заносятся оценки уровня риска. При этом оценки суммируются и по строкам и по столбцам. По данным внутренней статистики условного банка была составлена таблица о степени подверженности процессов и операций банка факторам операционного риска. Максимальное количество баллов в такой шкале – 10, минимальное – 0. Данная таблица дает возможность оперативно выявить зоны, которые наиболее подвержены операционным рискам (таблица 3).
Таблица 3 – Каталог событий операционного риска в банке, балл
Из таблицы 3 видно, что наиболее подверженными риску операциями банка являются расчетно-кассовое обслуживание и эмиссия пластиковых карт. Сумма баллов по строкам и столбцам имеет максимальное значение. Ошибки персонала и мошенничество со стороны клиентов являются одним из основных факторов риска банка. Именно эта зона наиболее уязвима, и в результате действия перечисленных факторов банк несет потери от событий операционного риска. Также в данном условном банке высокий уровень имеют риски, связанные с ошибками, совершаемыми при исполнении должностных обязанностей и в ходе осуществления различных направлений деятельности банка. Проведенная балльная оценка позволяет сделать вывод о необходимости совершенствования (или реорганизации) внутренних процессов банка, которые будут направлены на повышение уровня квалификации персонала и налаживание управления бизнес-процессами.
С целью минимизации операционных рисков в банке необходимо проводить регулярные проверки соблюдения информационной безопасности, совершенствовать внутрибанковскую нормативную документацию, вести работу по оптимизации информационных потоков и технологий внутреннего документооборота.
Выявление операционного риска осуществляется на постоянной основе. Для этого ведется аналитическая база данных о понесенных операционных убытках, в которой отражаются данные о видах и размерах убытков в разрезе направлений деятельности банка, обстоятельств их возникновения.
В процессе анализа деятельности отдельных банков было установлено, что наиболее распространенными причинами операционных потерь являются недостатки процесса внутреннего управления и ошибки персонала, связанные с несвоевременным предоставлением данных, ошибочной и некорректной информацией о событиях операционного риска.
Нам представляется, что для решения проблем, связанных с ошибками персонала банка, необходимо на постоянной основе проводить проверку достоверности, полноты, объективности информации о событиях операционного риска, вносимых в базу данных. При этом должна быть возможность корректировки базы данных и доступность к ней сотрудников банка.
С целью создания благоприятной обстановки для обнаружения событий операционного риска нами рекомендуется использовать методы нематериального стимулирования: проводить обучение и посещение сотрудниками бесплатных семинаров, тренингов; установление «гибкого» графика работы, предоставление дополнительных отпусков, проведение различных спортивных и других корпоративных мероприятий.
Для обеспечения оперативного и полного заполнения базы данных необходимо назначить ответственное лицо в каждом отделе банка. Важно, чтобы ответственным назначался тот сотрудник, который вовлечен в создание эффективной системы управления (например, сотрудник с должностью главного/ведущего специалиста). Такой сотрудник будет иметь доверие со стороны коллектива, позволит обеспечить доступ к первоисточнику информации, а также будет иметь возможность проводить ежедневный мониторинг по событиям операционного риска.
Нам представляется, что для оценки операционного риска необходимо разработать такую систему, которая позволит агрегировать полученные данные по событиям операционного риска в оценочные матрицы. При составлении матриц целесообразно объединить события операционного риска по типу риска и источнику его возникновения. Данные характеристики дают наиболее полное представление об уровне риска и представляют высокую управленческую ценность. На наш взгляд, провести наиболее оптимальную оценку можно, используя мэппинг (карты риска). Характеристиками, которые будут иметь наиболее существенную значимость, будут являться: величина потенциальных убытков и недополученной выгоды, размер фактических убытков, частота событий операционного риска, стоимость под риском.
Часто, при анализе произошедших событий операционного риска используется размер убытков, который зафиксирован в публикуемой отчетности банка. Мы считаем, что важно иметь представление о потенциальных убытках банка за счет вовремя обнаруженных и исправленных событиях операционного риска, реализация которых могла бы привести к существенным потерям. Также оценке должны подвергаться размеры упущенной выгоды, которые реализовались под влиянием событий риска. Вышеуказанные оценочные матрицы должны быть составлены по каждой бизнес-линии. В условном коммерческом банке действуют следующие бизнес-линии: торговля и продажи, розничные операции, коммерческие операции, платежи и расчеты. Схема оценочной матрицы в общем виде представлена в таблице 4.
Таблица 4 — Схема оценочной матрицы по событиям риска в разрезе типов событий и его источников
После того как матрицы будут заполнены специфичными для каждой бизнес — линии параметрами, необходимо составить обобщенную (общую) карту операционного риска, представляющую собой систему координат; по оси абсцисс будет расположена частота событий операционного риска, а по оси ординат – масштабы риска. Указанная карта будет позиционироваться по источникам возникновения событий риска. Именно анализ источника операционного риска, на наш взгляд, позволит выбрать эффективные способы, которые не только минимизируют риск, но также позволят обеспечить его приемлемый уровень.
Данная карта риска будет предусматривать лимиты фактического уровня операционного риска, распределенные по классам. Частота событий риска и масштабы потерь будут иметь следующий уровень классификации: низкий, средний и высокий. На пересечении уровней будут расположены зоны риска по их существенности. Чаще всего события операционного риска имеют высокую частоту и низкий масштаб потерь, чем выше убыток – тем ниже частота такого события. «Катастрофические события операционного риска» происходят крайне редко, но убытки от них — значительны. Пример карты риска представлен в таблице 5.
Таблица 5 — Общая карта операционного риска
Представленная общая карта рисков наглядно и количественно увязывает частоту и вероятность событий наступления операционного риска и масштаб этих событий, то есть ожидаемый от них отрицательный финансовый результат. Подобный анализ и оценка позволят коммерческому банку оперативно реагировать на события операционного риска, разрабатывать действенные управленческие решения по минимизации или устранению событий риска.
Заключение
При разработке системы оценки операционного риска в коммерческом банке были выполнены следующие этапы:
— проведен анализ существующих в банковской теории и практике методов оценки операционного риска и выявлены достоинства и недостатки каждого из методов;
— уточнены и систематизированы основные проблемы построения системы операционного риска в коммерческом банке;
— разработан метод оценки операционного риска, включающий каталог событий операционного риска в банке, оценочную матрицу по событиям риска в разрезе типов событий и его источников, общую карту оценки операционного риска.
Подобный метод оценки позволит коммерческому банку быстро реагировать на события операционного риска, разрабатывать действенные управленческие решения по минимизации или устранению событий риска.
Библиографический список
2.Бедрединов Р.Т. Управление операционными рисками банка: практические рекомендации. // М.: Аспект Пресс — 2014, — с.67-75.
3.Золотарева Е.Л. Математическое моделирование операционного риска в коммерческом банке // диссертация на соискание ученой степени канд. экон. наук — М. — 2011.- 226 с.
4.Машков И. Подходы к оценке операционных рисков // Аналитический банковский журнал.- 2007. — № 9 (148).- с. 90-92.
6.Моделирование по методу Монте-Карло
URL: http://www.palisade.com/risk/ru/monte_carlo_simulation.asp. (дата обращения: 25.01.2018) .
7. Официальный сайт Банка России. URL: http://www.cbr.ru/.(дата обращения: 19.01.2019).
References
2.Bedredinov R.T. Operational risk management of the bank: practical recommendations. // M.: Aspect Press -2014, — p. 67-75.
4.Mashkov I. Approaches to operational risk assessment // Analytical banking journal.- 2007. — №9 (148).- p. 90-92.
6.Monte Carlo simulation
URL: http://www.palisade.com/risk/ru/monte_carlo_simulation.asp. (date accessed: 25.01.2018) .
8.Zernova L.E. Problems and ways of improving the activities of commercial banks / / Monograph — M.: RSU. A. N. Kosygin – 2018 – p.214.
Операционные риски и Базель II
В последние годы во всем мире обострилась ситуация с операционными рисками в финансовых организациях. Если следовать определению, данному в Базельском соглашении о достаточности капитала (Базель II), операционным считается риск нанесения ущерба в результате неадекватных или ошибочных внутренних процессов, действий персонала и технических систем, а также внешних событий. Необходимо заметить, что само Соглашение не расписывает операционные риски и не описывает, как бороться с ними, — оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Также Базель II предполагает внедрение в организации эффективной системы управления операционными рисками. Учитывая, что Базельское соглашение, утвержденное летом 2004 года, планируется активно применять и в России, именно исходя из данного в нем определения, мы рассмотрим основные операционные риски в современных банках и других типах финансовых структур. Но прежде отметим очень интересное и важное требование, прописанное в Соглашении. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления операционными рисками. В том числе им должна регулярно предоставляться отчетность о текущих операционных рисках и суммах ущерба. Это требование идет вразрез с отечественной практикой, согласно которой руководители предприятий не желают заниматься вопросами сбоев в информационных системах, низкой квалификации персонала и другими «мелкими» проблемами, приводящими к большим потерям. Остается надеяться, что активное внедрение Базель II в России позволит изменить мнение многих руководителей в лучшую сторону.
Об отдельных видах операционных рисков
Операционные риски, в свою очередь, можно разделить на несколько подвидов.
• Риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
• Риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
• Риск отсутствия у руководства финансовой организации объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.
• Риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно, и заведение уголовного дела по статье 273 УК РФ.
Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).
Причины возникновения операционных рисков
К главным причинам возникновения операционных рисков можно отнести:
• недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основной бедой российского бизнеса, так как большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
• непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности «спустя рукава»;
• отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному решению, а зачастую и вообще отсутствию решения возникшей ситуации;
• отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одну слабость в системе управления рисками, и он сможет нанести ущерб банку, страховой компании или иному финансовому институту;
• наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».
Последствия операционных рисков
В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:
• внутреннее и внешнее мошенничество;
• ошибки персонала (умышленные и в результате низкой квалификации);
• сбои автоматизированной банковской системы и других типов информационных систем;
• нарушение процессов обработки и хранения данных;
• недостаточная защищенность АБС или прорехи в рубежах ее обороны и т.д.
Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.
Ущерб от операционных рисков
Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»1 приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур:
• брокерская компания — $6,5 млн в час;
• процессинговый центр — $2,6 млн в час;
• банкомат — $14,5 тысяч в час;
• онлайн-аукцион — $70 тысяч в час.
Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 года и до начала 2002 года один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около $600 млн.
Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.
В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.
Источники операционных рисков
И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги–Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.
• Большинство инцидентов совершено людьми, не имеющими никакой или очень низкую техническую квалификацию:
— как правило, они использовали не технические уязвимости, а пробелы в политике организации в области информационной безопасности;
— в 87% случаев злоумышленники использовали разрешенные команды и программы;
— в 70% случаев внутренние нарушители использовали слабости в приложениях, а в 61% — дыры в сетевом оборудовании, системном программном обеспечении или аппаратуре;
— в 78% случаев нарушители имели учетные записи в атакуемой системе, а в 43% случаев действовали открыто — под своими именами. И только в 26% случаев была зафиксирована маскировка под других пользователей;
— только 23% нарушителей находились на технических должностях (17% имели права администратора);
— 39% нарушителей не подозревали о реализуемых в организации мерах по информационной безопасности.
• Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.).
• Основной мотив совершения преступления — жажда наживы (81%):
— 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности;
— в 23% случаев основным мотивом была месть, в 15% — недовольство руководством и порядками в компании;
— помимо финансовой выгоды были и другие цели: 27% злоумышленников хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
• Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч), а 54% — не женаты/не замужем.
• В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.):
— также в 61% случаев обнаружение было неавтоматизированным;
— процедуры аудита и мониторинга помогли в 22%;
— журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
• Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от $168 до 691 млн.
• 83% всех инцидентов происходили изнутри атакованной организации и в 70% — в рабочее время.
• В 30% случаев доступ осуществлялся из дома нарушителя.
• Число атак никак не зависело от размера организации. Например, число преступлений в банках со 100 и с 10 000 сотрудников было одинаковым.
Снижение операционных рисков
Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:
— планирование процедур управления операционными рисками и, в частности, управления информационной безопасностью;
— регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе аудит безопасности);
— регистрация всех осуществляемых в информационных системах действий;
— аутсорсинг (Managed Service) непрофильных активов (в том числе информационных систем);
— обеспечение банковской тайны (хотя принятие новых законов в последнее время серьезно усложнило эту задачу);
— обеспечение непрерывности бизнес-процессов.
Время прочтения: 18 мин.
Если Вы уже прочитали перевод первой части книги и поняли, что такое операционный риск, позвольте Вас запутать. Операционный риск может стоять за спиной у многих иных видов банковских рисков. Думали, что реализован кредитный риск? А нет, этот операционный. Предполагали, что вот тот риск нужно учитывать, как стратегический? Ну, нет же, этот тоже операционный! Разобраться в хитросплетении рисковых ситуаций и отличить один вид событий от другого поможет вторая глава книги итальянских авторов, перевод которой находится под ссылкой.
2.3. Основное сходство и различие между операционным риском и другими категориями риска.
Одна из основных характеристик операционного риска — это наличие операционного риска «за спиной» множества потерь, которые могут быть приписаны к другим видам риска, в связи с чем возникает проблема разделения операционных потерь от потерь по другим видам риска. Соответственно, пруденциальное регулирование описывает некоторые детали предотвращения завышенных оценок, двойного учета или ненадлежащего снижения требований к капиталу на покрытие рисков. Определение границы между операционным риском и другими рисками было определено отраслью как фундаментальная проблема постоянного сбора и моделирования данных об операционных потерях. В следующих разделах будут рассмотрены сходство и различие между операционным риском и кредитным риском, рыночным риском, стратегическим риском, репутационным риском и комплаенс-риском.
2.3.1 Операционный риск и кредитный риск.
Под термином «кросс-кредитный риск» мы подразумеваем те события, причиной которым послужила реализация события операционного риска, но которые в силу своей экономической сущности относятся к данным, учитываемым при расчете капитала на покрытие кредитного риска. Аналогично, под термином «потери на границе кредитного риска» мы понимаем возникшие в результате реализации операционного риска убытки по кредитам, такие как потери в результате ошибок или мошенничества в процессе выдачи и сопровождения кредита.
Обилие информации, собираемой по случаям «кросс-кредитного риска», затрудняет определение требуемого потока информации и требует участия:
(i) структур, ответственных за мониторинг подверженности кредитному риску и его количественную оценку,
(ii) структур, отвечающих за контроль и управление операционными рисками,
чтобы обе стороны могли анализировать рисковые ситуации и определять любые необходимые меры по минимизации потерь. Также требуется определение наиболее подходящих структур для информирования о крупных событиях, четкого распределения обязанностей, а также определения сроков и процедур отчетности. Соответственно, лучше будет задействовать централизованную структуру, чем децентрализованную, в соответствии с полномочиями первой в области контроля над кредитным риском и оздоровлением проблемных областей. Ниже приведены некоторые примеры пересечений между операционным риском и кредитным риском:
• Внутреннее мошенничество: изменение сотрудником данных, представленных заемщиком в целях оценки кредитоспособности (например, изменение параметров оценки, таких как личные данные или данные о залоге, а также оставление без внимания негативных событий, связанным с заемщиком); предоставление кредитов фиктивным клиентам; неправомерное реализация залога; мошенничество при идентификации личности заемщика;
• Внешнее мошенничество: представление недостоверных персональных данных или фиктивных данных о финансовом состоянии получателя кредита; фальсификация оценок внешнего оценщика относительно залога; представление счетов / счетов-фактур, касающихся фиктивных или уже погашенных кредитов;
• Клиенты, продукты и бизнес-практика: небрежное или халатное управление кредитами в нарушение внутренних правил или соответствующего законодательства;
• Управление исполнением, доставкой и процессами: невозможность взыскания задолженности из-за потери кредитной документации; задержка в погашении кредита; халатность в оценке кредитоспособности клиента; халатность при мониторинге кредита; неполное или неправильное управление дополнениями к договору; халатность при сборе, управлении и сохранении залога (например, недостатки в управлении залогом из-за ошибок при подготовке соответствующей документации: недействительные положения, неоднозначные условия и т. д.).
В настоящее время для учреждений, использующих AMA-подход (усовершенствованный подход, согласно Базель), убытки от операционного риска, связанные с кредитным риском, исторически включаемые во внутренние базы кредитного риска, должны регистрироваться в базах данных операционного риска и идентифицироваться отдельно. Такие убытки не подлежат учету в капитале на покрытие операционного риска при условии, что учреждения продолжают учитывать их в капитале на покрытие кредитного риска. В частности, в ЕВА (2015) конкретно упоминаются два вида операционного риска, связанные с кредитным риском: мошенничество «от первого лица» и «от третьего лица» (статья 30 (1)). Мошенничество от первого лица происходит на начальном этапе жизненного цикла кредитного продукта или кредитного процесса и совершается клиентом с использованием его собственного лицевого счета (например, побуждение к принятию решений о выдаче кредита на основе поддельных или недостоверных финансовых документов, таких как несуществующее или оцененное по завышенной стоимости обеспечение и поддельные справки о заработной плате). Напротив мошенничество от третьего лица, которое всегда происходит в рамках кредитного продукта или кредитного процесса, совершается третьей стороной, которая действует незаконно, используя учетные данные другого (не подозревающего) лица (например, мошенничество с использованием электронных данных, фишинг и использование данных других клиентов или фиктивных идентификационных данных в заявке на кредит; мошенническое использование кредитных карт клиентов третьими лицами).
2.3.2 Операционный риск и рыночный риск
Под термином события «кросс-рыночного» риска мы понимаем случаи, причиной которых послужил операционный риск (например, покупка / продажа финансовых инструментов по неверной стоимости), но которые не покрываются средствами контроля рыночного риска. Ниже приведены некоторые примеры пересечений между операционным риском и рыночным риском:
• Внутреннее мошенничество: закрытие операций трейдерами по нерыночным ценам / параметрам;
• Перерывы в бизнесе и сбои систем: частичная или полная недоступность систем доступа к рынку, препятствующая правильному исполнению операций;
• Управление исполнением, доставкой и процессами: ошибки во время исполнения заказов (например, покупка / продажа неверных ценных бумаг; совершение покупок, а не заказов на продажу, и наоборот; обработка заказов с ошибками в количестве финансовых инструментов или в валюте покупки); закрытие позиций из-за ошибок в процессе оценки (невозможность обновить цены или другие соответствующие параметры).
В 2010 году CEBS рассмотрела вопрос «Операционный риск в сравнении с рыночным риском», определив некоторые критерии различия между этими двумя рисками (CEBS 2010). Соответственно, в рамки операционного риска должно входить:
• События из-за операционных ошибок (например, ошибки ввода или исполнения заказов, ошибки классификации из-за программного обеспечения, используемого фронт-офисом и центральным офисом, техническая недоступность рынка).
• События, вызванные сбоями в системе внутреннего контроля (сбои в работе контрольных процедур, превышение лимитов и т. д.).
• События, зависящие от неправильного выбора моделей вне четко определенных процессов и формализованных процедур (например, выбор модели без проверки ее пригодности для оценки финансового инструмента, и для текущих рыночных условий).
• События, возникающие из-за неправильной реализации моделей (например, ошибки во ИТ-внедрении выбранной модели).
Во всех вышеупомянутых случаях потери должны быть включены в «область потерь по операционному риску», если только позиция не намеренно остается открытой после признания события операционного риска. В этом последнем случае любая доля убытков из-за неблагоприятных рыночных условий, возникающих после решения о сохранении открытой позиции, должна быть отнесена к рыночному риску.
И наоборот, сфера действия операционного риска должна исключать те события, которые вызваны неправильным выбором модели, если такой выбор делается посредством формализованного корпоративного процесса, в котором тщательно изучаются плюсы и минусы модели.
В частности, для учреждений, использующих AMA-подход, EBA (2015) определяет «события операционного риска, связанные с финансовыми операциями, в том числе связанные с рыночным риском» (статья 6). Типы рисков, о которых сообщалось в CEBS (2010), как указано выше, в основном соответствуют положениям, изложенным в статье 6 EBA, где, однако, риск моделей не упоминается. Вместо этого модельный риск определен в Статье 5 EBA (2015): «События операционного риска, связанные с модельным риском». В этой статье также упоминаются утвержденные регулирующим органом внутренние модели: события, связанные с занижением требований к капиталу этими моделями, исключаются из «сферы операционного риска».
При использовании AMA-подхода в капитал на покрытие операционного риска также должны включаться потери операционного риска, связанные с рыночными рисками.
2.3.3 Операционный риск и стратегический риск.
Во избежание перекосов в банковской системе и штрафов, вытекающих из различий в расчете требований к капиталу на покрытие операционного риска, среди финансовых учреждений также должно быть четкое и общее определение событий и воздействий, рассматривающихся как операционные риски и как стратегические риски. Кроме того, полное понимание различий между управлением стратегическим и операционным риском – это ключ, позволяющий сотрудникам организации управлять риском и защищать организации от ущерба.
С одной стороны, текущий подход рассматривает как убытки от операционного риска те потери, которые были вызваны официальными расчетами или добровольным решением организации, желающей предотвратить любой будущий правовой риск. В сферу операционного риска также включаются события, возникающие из-за внутренних несоответствий и ошибок, и внешние события, возникающие при реализации проекта. С другой стороны, потери от реализации стратегического риска — это убытки, возникающие в результате неправильных или неуместных стратегических решений, не связанных с нарушением правил, норм или этического поведения, и не вызванные правовым риском (CEBS 2010).
Как описано в CEBS, объем операционного риска распространяется на следующие примеры (перечень не является завершенным):
• Агрессивные продажи, вытекающие из отдельных инициатив или из политики компании по достижению конкретных целей, с последующим нарушение законодательства, внутренних правил или этического поведения;
• толкование нормативных актов, противоречащее отраслевой практике;
• Возврат средств клиентам в результате событий операционного риска, до того, как клиенты подадут жалобу, но, после того, как организация уже была обязана возместить другим клиентам убытки за то же событие;
• Ошибки при уплате налогов, приводящие к убыткам (например, штрафы, проценты по задолженности).
В противоположность этому, в рамки операционного риска не включаются следующие аспекты:
• Неправильные решения при слиянии/поглощении и при организационно-управленческой проверке;
• Решения, несовместимые с уровнем чувствительности к риску компании, когда эти решения не нарушают правил, норм или этического поведения;
• Возврат средств клиентам по собственной инициативе компании, где нет нарушения правил, норм или этического поведения.
Кроме того, поскольку некоторые стратегические вопросы могут влиять на организацию в целом — а не на одну или несколько ее частей — и увеличивать подверженность организации риску, стратегические риски управляются на уровне совета директоров, тогда как операционный риск влияет на повседневную работу и, следовательно, управляется в основном на уровне риск-менеджеров.
2.3.4 Операционный риск и репутационный риск.
В отличие от вышеупомянутых случаев, для которых надзорные органы предоставили документацию и описания, на связь операционного риска и репутационного официальных ссылок нет. Однако связи между двумя типами риска есть и многочисленны.
Действительно, события операционного риска, в первую очередь связанные с отношениями с клиентами и нарушениями законодательства, во многих случаях наносят ущерб репутации банка, особенно если получают широкое освещение в СМИ. Например, недоступность ИТ-систем может привести к соответствующему репутационному ущербу даже в случае незначительных сбоев. Так, сбой, препятствующий некоторым клиентам осуществлять онлайн-торговлю, повлечет последующие жалобы пострадавших клиентов и усиленное распространение новостей в СМИ. Репутации банка будет нанесен непоправимый ущерб.
Существуют некоторые типы операционного риска, которые встречаются часто, но имеют незначительное влияние, и если их рассматривать отдельно от их репутационного компонента, могут быть в значительной степени недооценены при разработке стратегий минимизации риска. Случай с банкоматом (ATM) является подходящим примером: хотя частые сбои могут не повлечь за собой значительные потери, эти события могут сильно повлиять на способность банка развивать деловые отношения с текущими клиентами или привлекать новых. Другим примером является распространение дистанционного обслуживания, которое предоставило банковской отрасли прекрасную возможность для развития новых коммерческих каналов. Несмотря на свой потенциал, этот инструмент влечет за собой риск утраты доверия клиентов, если их информация не защищена должным образом: на самом деле, сейчас задача IT риск-менеджера не ограничивается мониторингом рисков, связанных с доступом к данным, а распространяется на проблемы целостности и конфиденциальности информации и тесно связана с кибер-риском.
Следовательно, операционный и репутационный риск могут быть сильно взаимосвязанны. Действительно, несколько случаев ущерба репутации, нанесенного финансовой системе, показывают, как операционный риск может вызвать репутационный риск. Так было в случае со скандалом с участием Société Générale в 2008 году, упомянутым выше: помимо потери в размере 7,1 млрд. долларов США и падения стоимости ценных бумаг на фондовой бирже, банк также пострадал от шумихи в СМИ. Аналогично, в 2004 году LTSB был оштрафован за ненадлежащую продажу финансовых продуктов своим розничным клиентам, таким образом нанеся значительный ущерб своему имиджу (Bazzarello и Де Мори 2009).
Следовательно, интеграция оценок операционного риска с количественными и качественными оценками репутационного риска имеет ключевое значение. Также важно, чтобы возможная количественная оценка репутационного риска позволила избежать двойного учета убытков в расчет требований к общему капиталу финансового учреждения.
Принимая во внимание эти взаимосвязи, было бы также целесообразно для банков принять стратегии минимизации рисков, нацеленные на ограничение подверженности и операционному, и репутационному риску. Такие стратегии должны содержать несколько подходов: от ревизии процессов для улучшения системы внутреннего контроля до инвестиций в информационные технологии, внедрения культуры осведомленности о «рисках» и ограничения деловой активности согласно установленному риск-аппетиту организации к операционному или репутационному риску.
Наконец, выбранные стратегии минимизации должны поддерживаться разумной коммуникационной стратегией, которая в некоторых случаях может быть более эффективной, чем только предотвращение рисков и управление ими. В случае подверженности банка риску мошенничества и ненадлежащего размещения финансовых инструментов клиентов, своевременное уведомление о произошедших событиях, и наличие плана действий банка имеет основополагающее значение для управления экономическими последствиями, связанными как с операционными, так и с репутационными рисками.
2.3.5. Операционный риск и комплаенс-риск.
Как указано в разд. 2.2, CRD (Директива 2013/36 / EU) прямо включает правовой риск в определение операционного риска, в прямом соответствии с Базель 2.
Правовой риск охватывает все виды событий, приводящих к потерям/ другим расходам, и являющихся следствием нарушения правил, приведших к судебным разбирательствам / добровольным действиям организации во избежание будущих правовых рисков. Должностные преступления недвусмысленно включены в перечень событий правового риска. EBA (2015), статья 4, дает детальное определение риска, объясняя значение «нарушения правил», «правил», «судебного разбирательства», «других добровольных действий» и «других расходов».
CEBS (2010) интерпретирует определение операционного риска из Директивы 2013/36 / EU , включая в операционный риск любой тип юридического события, причиной которому послужил операционный, независимо от того, как он обозначен. Аналогичным образом, EBA считает, что комплаенс-риск входит в рамки операционного риска. В определенной степени определение правового риска частично совпадает с определением комплаенс-риска, данного EBA (2011): «Комплаенс-риск (определяется как текущий или потенциальный риск для прибыли и капитала, возникающий в результате нарушений или несоблюдения законов, правил, нормативных актов, соглашений, бизнес-практик или этических стандартов) может привести к штрафам, ущербу и / или аннулированию контрактов и падению репутации учреждения». Однако в «Наиболее часто задаваемых вопросах» (ID вопроса: 2014_1153) EBA обсуждает, включает ли определение операционного риска комплаенс-риск, то есть риск, возникающий из-за несоблюдения учреждением своих юридических обязанностей или нормативных требований. EBA подчеркивает, что этот риск должен быть включен в определение операционного риска, расположенное в Статье 4 (1) (52) Регламента (ЕС) № 575/2013 (CRR): это одна из многих различных категорий операционного риска. Комплаенс-риск связан с неспособностью — сознательной или неосознанной — выполнить требования законов, правил, положений, соглашений, предписанных практик или этических стандартов, в то время как его последствия могут быть регуляторным наказанием или штрафом. EBA предоставляет несколько примеров классификации таких событий:
- Внутреннее мошенничество: отсутствие формальных правил и / или несоблюдение правил личных сделок;
- Практика трудоустройства и безопасность на рабочем месте: неподходящая политика для различных компенсаций;
- Клиенты, продукты и бизнес-процессы: отсутствие формальных правил и / или несоблюдение правил, регулирующих взаимодействие с клиентами, продукты или деловые практики;
- Исполнение, доставка и управление процессами: несоблюдение законодательства и внутренних правил по борьбе с отмыванием денег.
Тем не менее, Базельский комитет проводит различие между операционным риском (BCBS 2004) и комплаенс-риском (BCBS 2005). С одной стороны, операционный риск — это «риск потери в результате ошибок и сбоев во внутренних процессах, действиях персонала и систем или в результате внешних событий. Это определение включает правовой риск, но исключает стратегический и репутационный риск». Кроме того, правовой риск включает, но не ограничивается, штрафы, взыскания или санкции как надзорных органов, так и частных организаций. С другой стороны, комплаенс-риск определяется как риск юридических или нормативных санкций, существенных финансовых потерь или потери репутации, которые банк может понести в результате несоблюдения законов, нормативных актов, собственных стандартов саморегулирования и кодексов поведения, применимых в банковской деятельности. Определения, представленные выше (BCBS 2004, 2005), представляют четкие различия между двумя видами рисков как с точки зрения как событий, так и последствий, и впоследствии некоторые события легко можно отнести к определенному типу риска (например, ущерб, вызванный стихийными бедствиями, вандализм, внешнее мошенничество и другие внешние события явно относятся только к операционному риску). Еще одно различие, которое ясно выявляется при сравнении определений, относится к последствиям. В отличие от комплаенс-риска, количественная оценка операционного риска не отражает влияние риска на репутацию: действительно, в определении операционного риска репутационный риск исключается явно, в то время как ссылка на репутацию появляется в определении комплаенс-риска.
Тем не менее, есть множество точек соприкосновения, которые позволяют рассматривать комплаенс-риск как компонент риска операционного, и приводят к множественной синергии и коллаборации между подразделениями, управляющими двумя типами риска. Это также признается Базельским комитетом (BCBS 2005), согласно которому существует «тесная связь между комплаенс-риском и определенными аспектами операционного риска» вследствие существования «серой зоны».
Фактически, существование кросс-кейсов возникает из «серой зоны», которая включает в себя нарушение договора (непосредственно включено в перечень событий, ведущих к операционному риску) и банковскую ответственность банка за поведение, несоответствующее нормам комплаенс, что приводит к судебным процессам, включенным в правовой риск (ABI и DIPO 2009). Включение правового риска в операционный риск — первая и главная причина размытия границ между различными формами риска.
Сравнивая причины операционного и комплаенс-риска (Таблица 2.2), мы можем доказать, что нарушение правил и внутренних процедур характерно для обоих видов, и что существует огромное разнообразие событий операционного риска, включая так называемый «чистый» риск. Существует некоторая неопределенность в отношении того факта, что все несоответствия правилам автоматически преобразуются в комплаенс-риск: спектр событий операционного риска будет произвольно сокращен. Например, внутреннее мошенничество, допущенное неадекватной процедурой контроля при авторизации операций, будет включено в комплаенс-риск, несмотря на то, что это риск операционный. То же самое относится и к сбою ИТ-системы в ходе стихийного бедствия, при котором из-за нарушения системы непрерывности бизнеса не произошло восстановление операций: это тоже событие операционного, а не комплаенс-риска. Кроме того, преднамеренность действий не должна являться веским отличительным критерием, поскольку противоправное поведение не может оцениваться по-другому, будучи оправданным просто как проявление небрежности или забывчивости, преднамеренной или нет (Birindelli and Ferretti 2013). В таблице 2.2 показано огромное разнообразие последствий комплаенс-риска: в ней сделана четкая ссылка к утрате деловой репутации (риск второго уровня), тогда как потери должны быть материальными, с исключением (дискуссионно) незначительного ущерба в зависимости от нормативных нарушений. Комплаенс-риск может влиять (или не влиять) на репутацию, и репутационный риск может предположительно возникать без генерации комплаенс-риска, в соответствии с его природой риска второго уровня: операционная ошибка также может повлиять на имидж банка. Однако исключение репутационного риска из операционного риска, чьи события часто приводят к ухудшению имиджа, вызывает возражения в литературе (Lawrence 2003).
Таблица 2.2. BCBS: сравнение определений риска (Birindelli and Ferretti 2013).
| Комплаенс-риск | Операционный риск | Правовой риск | |
| Причины | Несоблюдение законов, норм и стандартов саморегулирования (например, кодексов поведения) | Некорректные, ошибочные внутренние процессы, персонал, системы и внешние события | Несоблюдение законов, правил, договорных и внеконтрактных обязательств или других споров |
| Последствия | Правовые или нормативные санкции, материальные финансовые потери или потеря репутации | Потери | Потери |
| Риск включает | Репутационный риск | Правовой риск | х |
| Риск исключает | х | Стратегический и правовой риск | х |
Кроме того, правовой риск, как компонент операционного риска, не включает влияние на репутацию банка. Более того, его причины отличаются от тех причин, что вызывают комплаенс-риск: несмотря на общие источники, нарушение правил саморегулирования следует отнести только к комплаенс-риску. И наоборот, убытки, возникающие из-за неадекватной и неправильной юридической документации или из-за документации с чрезмерно обременительными условиями для банка, включаются в правовой риск, так же как и потери из-за несоответствующего поведения со стороны контрагентов банка, а не самого банка.
Сходство между подразделением комплаенс и подразделением операционного риска проистекает из управления общими рисками, а также из того факта, что они оба представляют собой контролирующие структуры второго уровня с задачей идентифицировать риски процессов, реализуемых различными структурами. Для достижения общей цели должна быть создана модель эффективной синергии: кросс-риск менеджмент, чему способствует взаимный обмен информацией и ее проверка (Birindelli and Ferretti 2013).
Наконец, стоит отметить, что взаимосвязь между комплаенс-риском и правовым риском проанализирована с точки зрения банков, работающих в общей правовой системе (Terblanché 2012). Комплаенс-риск должен рассматриваться как компонент правового риска и, в свою очередь, также как компонент операционного риска в общей правовой системе. Тербланше (2012) определяет правовой риск как широкую концепцию, которая включает в себя все аспекты правовой системы, в то время как комплаенс-риск является более узкой концепцией, которая включает только кодифицированные аспекты правовой системы. Таким образом, правовой риск включает в себя комплаенс-риск, но комплаенс-риск не включает в себя правовой риск.
2.4 Заключение.
В течение долгого времени операционный риск признавался только как технический вопрос. В отличие от кредитного и рыночного рисков, полагаемых руководителями банков как основной источник беспокойства, ученые, казалось, не интересовались этой темой. Исследователи заинтересовались этой темой только в последние годы, когда Базельский комитет по банковскому надзору начал публиковать информацию о том, как банки должны управлять своей подверженностью операционному риску. Такие события, как крах банка Barings в 1995 году и другие финансовые скандалы (например, Daiwa, Enron, Sumitomo и т. д.), подчеркнули реальную опасность операционного риска с точки зрения прямых потерь и ущерба репутации, и убедили банковскую индустрию обращаться с ним осторожно.
С тех пор операционный риск был предметом нескольких исследований. Многие анализы сфокусировались на профиле операционного риска банка, описанном матрицей бизнес-линий и типов событий, а также на основных факторах, лежащих в основе подверженности банка операционному риску. Большое внимание также уделялось эволюции операционного риска с течением времени и его взаимосвязи с другими банковскими рисками. Все эти обсуждения нашли общую платформу в Базель 2, где, среди прочего, операционному риску впервые было дано определение. Это определение подняло вопросы необходимости четкого разграничения операционного риска и других видов рисков (кредитный, рыночный, стратегический, репутационный и риск соблюдения), чтобы избежать дублирования в управлении ими.
Прим. переводчика: в качестве иллюстрации возможно привести случай кредитования по подложным документам, когда физическое лицо предоставляет фиктивную справку о доходах, получает кредит, а потом уходит в дефолт из-за невозможности обслуживать долг. Таким образом, реализуется кредитный риск – вынос задолженности заемщика на счета просроченных ссуд. Однако причиной реализации кредитного риска послужил риск операционный – целенаправленные мошеннические действия клиента. Событие должно быть зафиксировано в системе учета инцидентов операционного риска, но в целях корректного учета, должно учитываться при формирования капитала на покрытие потерь по кредитному риску.
European Banking Authority. Европейское банковское управление. Регулирующий орган, который работает для поддержания финансовой стабильности в банковской отрасли Европейского союза (ЕС). Европейское банковское управление (EBA) было создано в 2010 году Европейским парламентом и заменило Комитет европейских банковских надзоров (CEBS)
Committee of European Banking Supervisors. Европейский комитет органов банковского надзора.