Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 13 февраля 2018; проверки требуют 12 правок.
Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:
Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.
Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.
Факторы операционного риска[править | править код]
Основные факторы операционного риска связаны:
- со случайными или преднамеренными действиями людей или организаций, направленными против интересов организации, в том числе несоблюдением требований законодательства и предусмотренных внутренних правил и процедур;
- с несовершенством организационной структуры (распределения обязанностей подразделений и работников), порядков и процедур, а также их документирования, неэффективностью внутреннего контроля и т. д.;
- со сбоями в функционировании систем и оборудования;
- с внешними обстоятельствами вне контроля организации.
Классификация операционных рисков[править | править код]
Риск персонала — риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в Банке и т. д.
Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчётов по ним, их учёта, отчётности, ценообразования и т. д.
Риск систем — риск потерь, обусловленных несовершенством используемых в Банке технологий — недостаточной ёмкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т. д.
Риски внешней среды — риски потерь, связанные с изменениями в среде, в которой функционирует Банк — изменения в законодательстве, политике, экономике и т. д., а также риски внешнего физического вмешательства в деятельность организации.
Категории типов событий операционного риска согласно Базелю II[1]:
- Внутреннее мошенничество (Internal Fraud)
- Внешнее мошенничество (External Fraud)
- Трудовое законодательство и безопасность труда (Employment Practices and Workplace Safety)
- Клиенты, продукты и правила бизнеса (Clients, Products, & Business Practice)
- Ущерб материальным активам (Damage to Physical Assets)
- Прерывание бизнеса и сбои систем (Business Disruption & Systems Failures)
- Управление исполнением, доставкой и процессами (Execution, Delivery, & Process Management)
Классификация ORX:
В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения.
Методы оценки операционного риска[править | править код]
В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:
- Подход базового индикатора (BIA, Basic Indicator Approach)
- Стандартизированный подход (TSA, The Standardized Approach) и альтернативный стандартизированный подход (ASA)
- Продвинутые подходы (AMA, Advanced Measurement Approach), включающие в себя такие подходы как:
- Подход внутреннего измерения (IMA, Internal Measurement Approach)
- Подход на основе распределения потерь (LDA, Loss Distribution Approach)
- Подход на основе моделирования сценариев (SBA, Scenario-based approach)
- Подход оценочных карт или балльно-весовой подход (SCA, Scorecard Approach)
В конце 2015 года после дискуссий в своих рабочих группах Базельский комитет по банковскому надзору (БКБН) принял решение о предстоящем выводе AMA из рамок Базеля II, так как он не оправдал ожиданий по его простоте и сопоставимости. Его предполагается заменить на один универсальный стандартизированный подход, основанный на единой модели, сочетающей в себе достаточную чувствительность c приемлемой простотой и сопоставимостью.
Первоначально (2014—2015 гг.) в качестве такого подхода рассматривался Новый cтандартизированный подход (New Standardised Approach, NSA), главное отличие которого от BIA состояло в замене валового дохода (Gross Income, GI) как базы для определения размера операционного риска на Бизнес-индикатор (Business Indicator, BI).
Позже БКБН рассматривал предложения по внедрению Подхода к стандартизированному измерению (Standardised Measurement Approach, SMA), основные положения которого были описаны в консультативном документе «Standardised Measurement Approach for operational risk» (d355, март 2016 г., https://www.bis.org/bcbs/publ/d355.htm). Неофициальный перевод на русский язык указанного документа выполнен инициативной группой российских риск-менеджеров и размещен на сайте Ассоциации российских банков:https://arb.ru/b2b/discussion/podkhod_k_standartizirovannomu_izmereniyu_operatsionnogo_riska-10005402/.
Ключевым новшеством SMA стало то, что кроме Компоненты бизнес-индикатора (BI Component), отражающей усредненный операционный риск отрасли, в модель включена Компонента убытков (Loss Component), учитывающая особенности операционного риска конкретного банка по статистике его внутренних убытков за последние годы (не менее 5 лет). В модель также был внесен ряд других новшеств (пополнение составляющих BI, изменение некоторых расчетных формул, введение ряда ограничений и др.).
БКБН в декабре 2017 года принята новая методология стандартизованной оценки операционного риска для целей расчета достаточности капитала в составе программного документа «Basel III: Finalising post-crisis reforms» (глава IV «Minimum capital requirements for operational risk»). Однако не все ранее предлагавшиеся в SMA новшества нашли свое отражение в итоговом варианте документа: https://www.bis.org/bcbs/publ/d424.htm. Неофициальный перевод на русский язык главы IV указанного документа выполнен инициативной группой российских риск-менеджеров: https://www.dvbi.ru/risk-management/Basel.
Как указано в преамбуле указанного документа, внедрение данного подхода в практику (как и большинства других описанных новых подходов) планируется с января 2022 года.
Ключевые индикаторы операционного риска[править | править код]
Ключевой индикатор операционного риска (KRI, в русском варианте — КИР или КИОР) — показатель, используемый для отслеживания и прогнозирования фактов реализации операционного риска.
Ключевые индикаторы риска используются для регулярного (с различной периодичностью — в зависимости от ключевого индикатора риска) мониторинга подверженности риску, проявления риска и источников (причин) потерь.
Примеры ключевых индикаторов риска: текучесть кадров;количество сбоев оборудования;простои оборудования;количество исправительных ордеров;количество выявленных нарушений законодательства, внутренних документов и др.
Система мотивации[править | править код]
Без мотивации невозможно ожидать искреннего участия людей в управлении операционными рисками. Стимуляция может быть поощрительной или дисциплинирующей, относится к руководству и к рядовым сотрудникам банка.
Для высшего руководства может быть внедрена бонусная система вознаграждения в виде получаемых акций банка соразмерно с проработанным временем без значительных и катастрофических операционных случаев. Хорошо разработанная, простая и ясная отчётность по операционным рискам также даёт определённый стимул в развитии и поддержке менеджмента операционных рисков.
На уровне низовых подразделений необходимо разработать материальные и моральные стимулы для менеджмента операционных рисков как, для отдельных сотрудников так и для групп (подразделений). Возможно их включение как поддержание системы качества, но этот вопрос остаётся в творческом поле совместной работы менеджера по операционным рискам с отделом по работе с персоналом. В литературе приводится, например, определение лучшего подразделения банка с учётом работы по операционным рискам.
Для повышения культуры работы с операционными рисками этот вопрос часто включают в повестку тимбилдингов под видом разнообразных игровых задач, презентаций и конкурсов.
Например, могут проводиться просмотры юмористических роликов по теме проблем взаимодействия между подразделениями (операционный риск — процессы, персонал). Указанные ролики могут заблаговременно готовится подразделениями, просматриваться на тимбилдинге всем коллективом. Создатели самых смешных роликов могут награждаться ценными призами.
См. также[править | править код]
- Банковский риск
- Управление рисками
- Мошенничество
- Информационная безопасность
- Комплаенс-контроль
- Стресс-тестирование
Примечания[править | править код]
Источник
Что такое операционный риск?
Операционный риск — это риск изменения стоимости, вызванный тем фактом, что фактические убытки, возникшие в результате неадекватных или неудачных внутренних процессов, людей и систем или внешних событий (включая юридический риск), отличаются от ожидаемых убытков. Это определение, принятое Директивой Европейского союза «Solvency II» для страховщиков, является разновидностью, которая была принята в правилах Базель II для банков. В октябре 2014 года Базельский комитет по банковскому надзору предложил пересмотреть свою структуру капитала по операционным рискам, в которой излагается новый стандартизованный подход для замены подхода базового показателя и стандартизованного подхода для расчета капитала операционного риска.
Операционный риск может также включать другие классы риска, такие как мошенничество, безопасность, защита конфиденциальности, юридические риски, физические (например, закрытие инфраструктуры) или экологические риски.
Операционный риск суммирует риски, которые компания берет на себя, когда она пытается работать в данной области или отрасли. Операционный риск — это риск, не присущий финансовому, систематическому или рыночному риску. Это риск, оставшийся после определения финансирования и систематического риска, и включает риски, возникающие в результате сбоев во внутренних процедурах, людях и системах.
Операционный риск — это широкая дисциплина, близкая к хорошему управлению и управлению качеством.
Аналогичным образом, операционные риски влияют на удовлетворенность клиентов, репутацию и акционерную стоимость, при одновременном повышении волатильности бизнеса.
Вопреки другим рискам (например, таким как кредитный риск, рыночный риск, страховой риск) операционные риски обычно непроизвольны и не приводятся в движение доходами. Более того, они не являются диверсифицируемыми и не могут быть устранены, а это означает, что, пока люди, системы и процессы остаются несовершенными, операционный риск не может быть полностью устранен.
Тем не менее, операционный риск является управляемым, чтобы удерживать убытки в пределах некоторой степени толерантности к риску (т.е. степени риска, которую организация готова принять для достижения своих целей), определяемый путем балансирования затрат на улучшение по сравнению с ожидаемыми выгодами.
Более широкие тенденции, такие как глобализация, расширение Интернета и рост социальных сетей, а также растущие требования к большей корпоративной ответственности во всем мире, усиливают необходимость надлежащего управления операционными рисками.
Обоснование операционного риска
До реформ Базель II банковского надзора операционный риск представлял собой остаточную категорию, предназначенную для рисков и неопределенностей, которые трудно было определить количественно и управлять традиционными способами — корзиной «других рисков».
Такие правила определяли операционный риск как категорию нормативного и управленческого внимания и связывали процесс управления операционными рисками с хорошим корпоративным управлением.
Конечно, предприятия в целом и другие учреждения, такие как военные, на протяжении многих лет знают о рисках, связанных с операционными факторами, внутренними или внешними. Главная цель военных — быстро и решительно сражаться и побеждать в войнах с минимальными потерями. Оперативное управление рисками как для военных, так и для бизнеса — это эффективный процесс сохранения ресурсов.
Два десятилетия глобализации (с 1980 года по начало 2000-х годов) и дерегулирования (например, Big Bang (финансовые рынки)) в сочетании с повышенной сложностью финансовых услуг во всем мире создали дополнительные сложности в деятельность банков, страховщиков и прочих компаний и привели к усложнению их профилей риска.
С середины 1990-х годов темы рыночного риска и кредитного риска были предметом многих дискуссий и исследований, в результате чего финансовые учреждения добились значительного прогресса в выявлении, измерении и управлении этими формами риска.
Тем не менее, практически крах финансовой системы США в сентябре 2008 года свидетельствует о том, что наша способность измерять рыночный и кредитный риск далека от совершенства и в конечном итоге привела к внедрению новых нормативных требований во всем мире, включая правила Базеля III для банков и правила Solvency II для страховщиков.
Такие события, как террористические атаки 11 сентября, потери от мошеннических операций в Société Générale, Barings, AIB, UBS и National Australia Bank, подчеркивают тот факт, что объем управления рисками выходит за рамки рыночного и кредитного риска.
Эти причины подчеркивают растущее внимание банков и руководителей к выявлению и измерению операционного риска.
Перечень рисков (и, что более важно, масштаб этих рисков), с которыми сталкиваются сегодня банки, включает в себя мошенничество, системные сбои, терроризм и убытки от некомпетентных действий персонала. Эти типы рисков обычно классифицируются под термином «операционный риск».
Идентификация и измерение операционного риска является реальной и актуальной проблемой для современных банков, в частности, в следствие решения Базельского комитета по банковскому надзору (BCBS) ввести плату за этот риск в качестве основы для новой структуры достаточности капитала (Базель II).
Определение операционного риска
Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:
Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.
Однако Базельский комитет признает, что операционный риск — это термин, который имеет множество значений, и поэтому для внутренних целей банкам разрешено принимать собственные определения операционного риска при условии включения минимальных элементов в определение Комитета.
Более развернуто определение операционного риска дано Центральным банком РФ: «операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий».
Определение, данное Национальным Банком Республики Беларусь: «операционный риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат в результате несоответствия установленных банком порядков и процедур совершения банковских операций и других сделок законодательству или их нарушения сотрудниками банка, некомпетентности или ошибок сотрудников банка, несоответствия или отказа используемых банком систем, в том числе информационных, а также в результате действия внешних факторов».
Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.
Исключения по областям
Определение операционного риска Basel II исключает, например, стратегический риск — риск потери, связанный с плохим стратегическим бизнес-решением.
Другие условия риска рассматриваются как потенциальные последствия событий операционного риска. Например, риск репутации (ущерб организации за счет потери репутации или позиций в обществе) может возникнуть как следствие (или воздействие) эксплуатационных сбоев, а также из других событий.
7 категорий типов событий операционного риска согласно Базелю II
Ниже приведены 7 категорий типов событий операционного риска согласно Базелю II с некоторыми примерами для каждой категории:
- Внутреннее мошенничество — незаконное присвоение активов, уклонение от уплаты налогов, умышленное искажение позиций, взяточничество.
- Внешнее мошенничество — кража информации, хакерский урон, воровство и фальсификация третьей стороной.
- Трудовая занятость и безопасность на рабочем месте — дискриминация, компенсация работникам, здоровье и безопасность работников.
- Клиенты, продукты и бизнес-практика — манипулирование рынком, антимонопольное регулирование, незаконная торговля, дефекты продукта, фидуциарные нарушения, накручивание счетов (оборотов).
- Ущерб материальным активам — стихийные бедствия, терроризм, вандализм.
- Прерывание бизнеса и сбои в системе — сбои в работе, сбои программного обеспечения, сбои в оборудовании.
- Управление исполнением, доставкой и процессами — ошибки ввода данных, ошибки учета, ошибочная обязательная отчетность, халатная потеря активов клиента.
Сложности
Для организации относительно легко установить и соблюдать конкретные измеримые уровни рыночного и кредитного риска, поскольку существуют модели, которые позволяют спрогнозировать потенциальное влияние рыночных движений или изменения в стоимости кредита. Следует, однако, отметить, что эти модели настолько хороши, насколько качественны входящие предположения, и значительная часть недавних финансовых кризисов возникла из-за того, что оценки, полученные этими моделями для конкретных видов инвестиций, были основаны на неправильных предположениях.
Напротив, относительно сложно определить или оценить уровни операционного риска и его многочисленных источников. Исторически организации принимали операционный риск как неизбежную стоимость ведения бизнеса. Многие сейчас накапливают данные об операционных потерях — например, при сбое системы или мошенничестве — и используют эти данные для моделирования операционного риска и расчета резерва капитала против будущих операционных потерь. В дополнение к требованиям Базель II для банков, это требование сейчас актуально и для европейских страховых компаний, которые находятся в процессе реализации Solvency II, эквивалентной Базелю II для банковского сектора.
Идентификация и оценка операционного риска
В качестве первого шага организации должны идентифицировать соответствующие операционные риски, связанные с их деятельностью, процессами, продуктами и системами. Одним из методов определения рисков является наблюдение за всеми процессами и создание списка потенциальных источников риска (так называемое «Отображение бизнес-процессов»). Этот шаг должен быть осуществлен подразделением по управлению рисками совместно с хорошо осведомленными и хорошо подготовленными сотрудниками различных отделов организации. Этот метод способствует открытой коммуникации/обсуждению и позволяет выявить отдельные риски, установить взаимозависимость рисков и области их контроля, а также обнаружить уязвимости в системе управления рисками. Другие методы идентификации риска включают критическую самооценку, актуарные модели, анализ сценариев, сбор внешних данных и сравнительный анализ (см. Методы анализа рисков).
После идентификации рисков организации должны оценить их воздействие на количественной и качественной основе. Количественные оценки связаны с прямыми финансовыми убытками, которые потенциально могут быть вызваны актуализацией риска. Количественные оценки необходимы только для рисков, которые могут потенциально привести к прямым финансовым потерям для компании. При оценке каждого риска учитываются следующие факторы:
- Частота возникновения: как часто может наступать событие риска? Чтобы определить частоту возникновения, анализируют события, которые уже произошли, а также которые могут произойти в будущем. Будет полезно также обратиться к событиям, которые произошли за пределами компании (другие организации в банковской отрасли).
- Типичный ущерб: каковы средние оценочные финансовые потери? Если это событие произошло в прошлом, оценивают средний причиненный урон.
- Нетипичный (исключительный) ущерб: на сколько серьезны финансовые потери? Следует проанализировать какой уровень потерь будет получен, если это событие произойдет.
Измерение операционного риска
Ключевым компонентом управления рисками является измерение размера и объема рисков компании. Однако на текущий момент нет четко определенного единого способа измерения операционного риска на уровне фирмы. Поэтому были разработаны несколько ключевых подходов. Примером может служить «матричный» подход, при котором потери классифицируются в зависимости от типа события и бизнес-линии, в которой произошло событие. Таким образом, банк может определить, какие события оказывают наибольшее влияние на всю организацию, а также какие бизнес-процессы наиболее подвержены операционному риску.
Как только будут определены потенциальные и фактические потери, банк сможет проанализировать, также, возможно, и смоделировать их появление. Для этого требуется создание баз данных для мониторинга таких потерь и создание индикаторов риска, которые суммируют эти данные. Примерами таких показателей являются количество неудачных транзакций за определенный период времени и уровень текучести кадров в рамках подразделения.
Потенциальные потери можно классифицировать в широком смысле как события «с высокой частотой, низким воздействием» (high frequency, low impact — HFLI), такими как незначительные ошибки бухгалтерского учета или ошибки банковского кассира, а также события «с низкой частотой, высоким воздействием» (low frequency, high impact — LFHI), такие как террористические атаки или крупное мошенничество. Данные о потерях, связанных с событиями HFLI, обычно доступны из внутренних систем аудита банка. Следовательно, моделирование и бюджетирование этих ожидаемых будущих потерь в следствие операционного риска потенциально может быть выполнено довольно точно. В тоже время, события LFHI являются необычными (редкими, нетипичными) и, таким образом, ограничивают отдельную организацию в получении достаточных данных для целей моделирования. Для таких событий банку, возможно, потребуется дополнить свои данные данными от других организаций. В настоящее время уже создано несколько частных инициатив, таких как Глобальная база данных об операционных потерях, управляемая Британской ассоциацией банкиров.
Хотя количественный анализ операционного риска является важным вкладом в системе управления банковскими рисками, эти риски не могут быть сведены к чистому статистическому анализу. Следовательно, качественные оценки, такие как анализ сценариев, станут неотъемлемой частью измерения операционных рисков банка.
Методы управления операционными рисками
Операционный риск может играть ключевую роль в разработке всеобъемлющих программ управления рисками, которые включают в себя непрерывность бизнеса и планирование аварийного восстановления, а также меры по обеспечению информационной безопасности и комплаенс. Первым шагом в разработке стратегии управления операционными рисками может быть создание карты рисков — плана, который идентифицирует, оценивает, связывает и смягчает риск.
Базель II и различные надзорные органы стран установили различные стандарты надежности для управления операционными рисками для банков и аналогичных финансовых учреждений. В дополнение к этим стандартам Базель II дал рекомендации по 3-м методам расчета капитала для операционного риска:
- Подход базового индикатора (Basic Indicator Approach — BIA). Этот метод рассчитывает капитал операционного риска на основе годового валового дохода фирмы. Капитал, удерживаемый для операционного риска, должен составлять 15% от среднегодового валового дохода фирмы (за предыдущие три года). Из расчета исключаются годы, когда годовой валовой доход фирмы был отрицательным.
- Стандартизованный подход (Standardized Approach — TSA). Этот метод гласит, что фирмы должны делить свою деятельность на восемь бизнес-направлений: корпоративные финансы, торговля и продажи, розничные банковские услуги, коммерческий банкинг, платежи и расчеты, агентские услуги, управление активами и розничные брокеры. Валовой доход в рамках каждой бизнес-линии служит как индикатор масштаба деловых операций. Он определяет вероятный масштаб воздействия операционного риска в каждой из этих бизнес-линий. Плата за капитал для каждой бизнес-линии рассчитывается путем умножения валового дохода на коэффициент (12% -18%), присвоенный этой бизнес-линии.
- Расширенные подходы к измерению (Advanced Measurement Approaches — AMA). В соответствии с AMA требования к регулятивному капиталу генерируются внутренней системой измерения операционного риска организации. Чтобы использовать этот подход, компании должны в первую очередь соответствовать определенным нормативным требованиям. Например, фирмы должны иметь надежную систему управления операционными рисками и достаточные ресурсы для проведения таких внутренних оценок.
Рамки управления операционным риском должны включать системы идентификации, измерения, мониторинга, отчетности, контроля и смягчения последствий для операционного риска.
Мониторинг и отчетность по операционным рискам
Эффективный процесс мониторинга и отчетности необходим для адекватного управления операционным риском. Должно быть своевременное представление ключевой информации высшему руководству и совету директоров для поддержки активного управления рисками. Отчеты должны быть точными, содержательными и надежными в разрезе всех бизнес-линий организации. Следует иметь в виду, что чрезмерное количество данных может препятствовать эффективному принятию решений. Отчеты должны содержать информацию о существенных событиях и потерях операционного риска и любых нарушениях установленных лимитов (например, склонности к риску и уровня толерантности).
Источник