Управление операционными рисками коммерческого банка на примере Калининградского отделения №8626/01246 Сбербанка РФ

• наличие уязвимостей  на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».

Рассмотрим последствия операционных рисков.

В результате перечисленных  выше причин возникновения операционных рисков могут наступить следующие последствия: 

• внутреннее и внешнее  мошенничество; 

• ошибки персонала (умышленные и в результате низкой квалификации); 

• сбои автоматизированной банковской системы и других типов  информационных систем; 

• нарушение процессов  обработки и хранения данных;

• недостаточная защищенность АБС или прорехи в рубежах  ее обороны и т.д.

Все эти последствия  приводят к нанесению компании прямого  финансового или косвенного ущерба. 

 

1.2. Необходимость управления операционным риском

 в коммерческом банке

 

В современных условиях хозяйствования, характеризующихся  политической экономической и социальной нестабильностью существующая на предприятии  система управления должна включать механизм управления рисками.

Важнейшим элементом  системы управления операционного  риска является надежная подсистема информационного обеспечения. Она  предназначена для обеспечения  условий управления операционным риском и создания информационной аналитической  базы. Порядок ведения аналитической базы данных о понесенных операционных убытках, форму представления и требования к содержанию вводимой информации определяет подразделение, осуществляющее управление операционным риском. Наличие обширной базы по операционному риску позволяет банкам производить более точную оценку риска и избегать непредвиденных потерь, которые могут иметь серьезные последствия. Качественное управление операционным риском возможно только при ежедневном сборе адекватных данных, которые включают в себя:¹

- величину убытков (сумму ущерба);

- описание обстоятельств,  приведших к убытку;

- фактор риска;

- подразделение, где  был зафиксирован факт убытков;

- дату наступления  убытка и дату его обнаружения;

- действия руководства;

- оценку общей суммы  убытков после их возможного возмещения.

Кроме того, в целях  анализа и мониторинга операционного  риска в базе данных ведется реестр операционных рисков банка и осуществляются сбор и регистрация о рисковых событиях и их последствиях.

 
Реестр операционных рисков банка  представляет собой автоматизированную систему с возможностью ввода и обработки данных об операционном риске.

В реестр может заноситься следующая информация:

- описание операционного  риска;

- объект риска;

- подразделение, в  котором может реализоваться  (реализовался) операционный риск;

- тип (классификация)  операционного риска;

- метод оценки операционного  риска;

- рейтинг операционного  риска (балльная оценка риска);

- принятое решение  о методе управления операционным  риском (страхование, передача риска  посредством аутсорсинга).

В интересах управления операционным риском осуществляется сбор данных о рисковых событиях и потерях, понесенных в результате их наступления, с их последующей регистрацией в  автоматизированном хранилище информации - базе рисковых событий. 
В базе может регистрироваться информация о каждом событии по следующим критериям:

а) событие произошло  в результате нарушений или ошибок в действиях работников банка, нарушений  хода внутренних бизнес-процессов и  функционирования систем или вследствие внешних событий;

б) может ли быть это  событие причиной возникновения  фактических и потенциальных  финансовых или материальных убытков;

в) наличие резервов и  капитала для покрытия операционного  риска.

Таким образом, подсистема информационного обеспечения обеспечивает целенаправленный и непрерывный сбор соответствующей информации для принятия оперативных управленческих решений по минимизации или снижению операционного риска в банке.

Первым этапом формирования механизма управления риском на предприятии  является создание службы риск-менеджмента. На сегодняшнем этапе развития экономики целью этой службы является минимизация потерь посредством мониторинга деятельности предприятия, выработки рекомендаций по снижению рисков и контроля за их выполнением. При этом важно определить место службы в организационной структуре предприятия, определить права и обязанности ее персонала и проинформировать работников предприятия о функциях службы и характере ее деятельности.

При разработке программы  мероприятий по управлению рисками  специалистам службы риск-менеджмента следует ориентироваться на максимальную унификацию формируемых оценок уровня риска, что выражается в формировании универсальных параметров, характеризующих объем возможного ущерба, В качестве таких параметров наиболее целесообразно использовать воздействия рисков на финансовые потоки и финансовое состояние предприятия.²

Необходимость управления операционным риском определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости банка.

Контроль за эффективностью управления операционным риском осуществляется в соответствии с Положением о  Совете директоров и другими внутренними  документами банка.

Руководители структурных  подразделений для контроля за операционными  рисками осуществляют мониторинг операционных рисков и ежемесячно предоставляют в отдел оценки рисков отчеты о фактах реализации операционных рисков и понесенных операционных убытках.

Отдел оценки рисков не реже двух раз в год докладывает  Президенту и Совету директоров банка об основных направлениях концентрации операционных рисков, причинах их возникновения и мерах, принятых для снижения возможных операционных убытков.

Служба внутреннего  контроля в ходе проверок деятельности подразделений уделяет особое внимание соблюдению основных принципов управления операционным риском отдельными работниками и подразделением в целом.

Правление банка обеспечивает принятие внутренних документов, определяющих правила и процедуры управления операционным риском, распределение полномочий и ответственности между руководителями подразделений, установление порядка взаимодействия и представления отчетности.

Совет директоров осуществляет контроль за деятельностью исполнительных органов банка по управлению операционным риском и оценивает эффективность управления операционных рисков в целом по банку.

Банк по мере необходимости  пересматривает существующие внутренние процессы и процедуры, используемые информационно-технологические системы  с целью выявления неучтенных ранее операционных рисков.

Лица, виновные в возникновении операционных рисков (убытков), несут ответственность в соответствии с действующим законодательством.

1.3. Методы оценки и мониторинг операционного риска

 

 

 Оценка  операционного риска проводится для решения широкого спектра  задач управления бизнесом организации, инициированных как регулятивно-контролирующими органами, так и акционерами и руководством компании. Основные цели, которые решаются посредством оценки операционного риска: ³

1. Расчет требований  на капитал для покрытия непредвиденных операционных потерь, иногда по отдельным бизнес-процессам, включая покрытие ожидаемых потерь, в случае если они не покрываются текущими доходами; 

2. Расчет требований  к тарифам или резервам, создаваемым  за счёт текущих доходов, направляемых  на покрытие ожидаемых операционных потерь или риск-компонентов к тарифам/комиссиям для покрытия ожидаемых операционных потерь; 

3. Расчет лимитов предельно  допустимого уровня операционных  потерь; 

4. Планирование бизнеса  с учетом будущих убытков вследствие  неблагоприятных событий операционного характера;

5. Управление операционным  риском, состоящее в выявлении  зон концентрации риска и проведении  экономически эффективных мероприятий  снижения подверженности операционному  риску. 

Оценка операционного  риска может быть проведена, учитывая принятую в банке классификацию операционного риска по типам событий, источникам риска и объектам их проявления с помощью вероятностно-множественного подхода. В соответствии с этим подходом каждый источник (или фактор) риска рассматривается как случайная функция (величина), определенная на объектах риска (процессах, операциях и отдельных видах активов), значением которой являются случайные неблагоприятные события на данных объектах, а результатом этих событий являются как прямые, так и косвенные потери банка, измеряемые как количественным, так и качественным образом.⁴

Оценка операционного  риска (уровень) может проявляться  как качественно, так и количественно.

Количественная оценка операционного риска носит вероятностный (прогнозный) характер, расчет опирается на статистические методы, а величина зависит от уровня принимаемой доверительной вероятности. В качестве количественных оценок могут выступать следующие статистические параметры случайных величин, которыми являются конкретные источники риска:⁵ 

- Оценка вероятности осуществления неблагоприятного события на данном объекте риска из-за реализации конкретного источника, обозначаемая PE (probability of event); 

- Статистическая оценка результата неблагоприятного события как статистическая оценка и размера средних потерь от одного события (обозначенных как LGE – Loss Given Event), и совокупных потерь на данном объекте риска (например, бизнес-процессе) в разрезах типов событий, источников риска или типов потерь; 

- Статистическая оценка возможных отклонений с заданным уровнем доверительной вероятности от оценки возможных потерь. 

Качественная (или экспертная) оценка операционного риска применяется  для оценки качественного уровня процедур и технологий осуществления  отдельных операций и процессов, а также тех источников и объектов операционного риска, уровень которых нельзя однозначно выразить через некоторое число, характеризующее возможный уровень потерь. В этом случае оценка производится экспертно по 3-5 или 10-бальной системе, для чего разрабатываются специальные таблицы критериев и факторов риска с предлагаемыми шкалами оценок. Качественные оценки используются наряду с количественными оценками для определения соответствия используемых процедур совершения операций эталонным и для определения повышенных зон риска.

Важным элементом методологии  управления операционным риском является понятия общей (gross risk) и эталонной (net risk) оценок риска, которые могут  быть как количественными, так и  качественными. 

Под общей оценкой  уровня операционного риска (gross risk) понимается оценка реальных угроз и слабостей, существующих на данный момент в операционной и технологической среде банка, всех условий, недостатков, характеристик и процедур осуществления анализируемых операций в данном банке.

Под эталонной (или чистой) оценкой уровня операционного риска (net risk) понимается отраслевая оценка чистого уровня риска по каждому источнику риска на эталонных (идеально организованных) процедурах осуществления операций и процессов с полным набором контрольных мероприятий и всех необходимых ресурсов, исключающих возникновение неожиданных неблагоприятных событий, связанных с собственными (индивидуальными) ошибками и недостатками того или иного банка. Оценка эталонного (чистого) риска осуществляется либо на основе общебанковских отраслевых баз данных о неблагоприятных событиях операционного характера, либо экспертным способом. 

Степень расхождения  общей и эталонных оценок риска  на отдельных операциях или процессах  характеризует уровень слабостей  и недостатков конкретного банка в процедурах и технологиях осуществления данных операций или процессов.

В развиваемом Базельским комитетом подходе операционный риск предлагается оценивать величиной  убытков (ожидаемых и непредвиденных потерь), которые должны быть «покрыты»  соответствующим размером отчисляемого на операционный риск капитала ORC. Из соглашения по капиталу, принятого Базельским комитетом, следует следующее соотношение:⁶

операционный риск = 1/k × размер капитала, отчисляемого на ОР, (1)

где:

коэффициент k = 0,08 устанавливается органом банковского надзора.

То есть с точностью  до константы операционный риск измеряется размером капитала, отчисляемого на операционный риск. Размер капитала ORC рассчитывается исходя из принятой банком методики расчета. Следует отметить, что кроме указанного подхода существуют и другие методы измерения риска. Например, количественное описание риска, связанного с технологическими процессами и безопасностью, опирается на теоретико-вероятностный подход. В этом случае риск R(θ, δ(x)), зависящий от параметра θ, представляется функцией:⁷

R(θ, δ(x)) = ∫L(θ, δ(x)) f(x|θ)dx, (2)

где:

δ(x) — оценка параметра θ, вычисленная по наблюдениям x;

L(θ, δ(x)) — функция потерь;