Операционный риск-менеджмент в банках

Банковский бизнес в России и зарубежом

Автор:
Источник: Финансовый Директор ISSN 1680 – 1148
Опубликовано: 27 июня 2006

Управление операционным риском является наименее изученным аспектом риск-менеджмента. Одновременно с этим, становится очевидным, что им необходимо заниматься профессионально, так как отсутствие действенных моделей возникновения операционных рисков может привести к катастрофическим последствиям для финансового учреждения.

Необходимость работы с операционными рисками произрастает из самой специфики банковской деятельности и всевозможных, имеющихся сегодня потерь, связанных с информационными системами, персоналом, бизнес-процессами и внешними воздействиями. Это и физический ущерб дорогостоящему оборудованию, и вынужденные задержки осуществления операций, и потеря данных, ошибочные расчеты, обязательные платежи за разрешения, лицензии, и другие неприятные события, которые сопровождают работу финансовых учреждений. Таким образом, реалии сегодняшней банковской системы Украины подталкивают банкиров к обмену опытом и скорейшему началу разрешения вопросов, связанных с управлением операционными рисками.
Тот факт, что операционный риск является наиболее важным компонентом, который отличает Базель 2 от его предшественника, значительно способствует развитию культуры понимания этого вида риска украинскими специалистами. Сегодня Базельский комитет по банковскому надзору уделяет первоочередное внимание проблеме операционных рисков. Но, несмотря на то, что выполнение положений документов этой организации для отечественных банков не является директивным и даже европейские банки предполагают полное внедрение Базеля 2 с 2008 года, рекомендации по управлению операционным риском становятся ключевым фактором, который повышает рейтинг надежности банка, вызывает доверие и интерес инвесторов.
По мнению экспертов, сегодня ситуация исторически сложилась так, что в зависимости от развития взглядов собственников на работу службы управления рисками, можно выделить три категории банков. Первая категория — банковские учреждения, которые в связи с выходом требований Национального банка о необходимости наличия службы управления рисками, привлекли к работе одного-двух человек для формального декларирования перед регулятором наличия такой службы. При этом у риск-менеджеров нет и не было никаких полномочий.
Вторая категория — это банки, которые внедрили службу риск-менеджмента после выхода требований НБУ, однако при этом, понимая цели создания такого подразделения, не наделяют его необходимыми полномочиями. И третья категория — банки, которые поняли необходимость системного подхода к управлению рисками, создали соответствующую службу и наделили ее четкими полномочиями вне зависимости от наличия постановлений Национального банка Украины в сфере банковского надзора. Из работающих на рынке более полутора сот банковских учреждений могут похвастать принадлежностью к третьей группе лишь 10-15.
При рассмотрении зарубежного опыта управления операционными рисками выясняется, что если недавно для европейских банков наибольшее значение имели риски, связанные с ошибками при использовании производных финансовых инструментов и осуществлением несанкционированных торговых операций, то сейчас важнейшими операционными рисками являются риски внешнего воздействия, основным из которых зарубежные специалисты называют несоответствие требований законодательства и регуляторов. По иронии случая, те самые нормы банковского регулирования, которые призваны сделать банковскую систему более безопасной для клиентов, персонала и кредиторов, порождают наиболее сильные риски для финансовых организаций (взыскания, штрафы, пени, судебные иски и преследования, ущерб репутации, обвинения в несостоятельности и банкротстве).
По мнению Дмитрия Ганзи, начальника управления оценки рисков «Актив-банка», в деятельности украинских банков область повышенного операционного риска сосредоточена несколько в другом направлении — там, где совершают значительные финансовые сделки. Для многих украинских банков такой областью являются информационные технологии, поэтому наиболее существенные виды операционных потерь имеют место именно в данной сфере. Почему именно там? Ответ кроется в более детальном изучении практики реализации оперрисков.
По мнению Дмитрия Ганзи, начальника управления оценки рисков «Актив-банка», в деятельности украинских банков область повышенного операционного риска сосредоточена несколько в другом направлении — там, где совершают значительные финансовые сделки. Для многих украинских банков такой областью являются информационные технологии, поэтому наиболее существенные виды операционных потерь имеют место именно в данной сфере. Почему именно там? Ответ кроется в более детальном изучении практики реализации оперрисков.
Во-первых, расходы на информационные технологии составляют значительную долю в структуре общих расходов многих банковских организаций. Недостатки процесса закупок оборудования или проведения тендера могут приводить к завышению стоимости проекта, которая представляет собой убыток для владельцев банка.
Во-вторых, существенные дополнительные убытки могут возникать в результате неэффективного выполнения проекта по внедрению информационных систем в процессе взаимодействия с разработчиками программного обеспечения.
А в-третьих, в последнее время отмечаются примеры возникновения зависимости банка от внутренних специалистов по информационным технологиям. Неправильная организация деятельности в области информационных технологий иногда приводит к тому, что сотрудники, разработавшие и сопровождающие информационные системы, являются незаменимыми для деятельности банка, и любые требования с их стороны необходимо будет выполнять. Причем это может быть вызвано совершенно негативными намерениями, когда сотрудники отделов информационных технологий присваивают себе права собственности на программные продукты, разработанные ими в процессе работы в банке, что позволяет им выдвигать условия и, в буквальном смысле, шантажировать руководство банка.

Ключевые индикаторы

О деятельности банка и существовании операционных рисков можно судить по трем основным индикаторам:

  1. Индикаторы текущей деятельности (key performance indicators) отражают наиболее значимые аспекты деятельности компании, по которым можно судить о ее текущем состоянии. Основное назначение таких индикаторов состоит в том, что они позволяют контролировать эффективность осуществляемых операций. Такими показателями могут служить: количество неправильных операций, рекламации от клиентов, текучесть кадров, суммарное время неработоспособности информационных систем и т. д.;
  2. Индикаторы эффективности контроля (key control indicators) показывают количество ошибок, которые были предотвращены благодаря системе внутреннего контроля. Такими индикаторами могут служить, например, количество исправленных операций, количество неподтвержденных сделок, расхождения при сверке данных, выявленные случаи несанкционированного доступа к данным и др.;
  3. Индикаторыриска (key risk indicators) являются опережающими показателями и строятся расчетным или аналитическим путем сопоставления индикаторов текущей деятельности и эффективности контроля. Например, сопоставив информацию об одновременном увеличении объема операций, текучести кадров и количестве ошибок ввода данных, можно оценить уровень операционного риска для компании. Тем самым, можно создавать количественные модели для анализа и прогнозирования ситуации в области операционных рисков.

Все перечисленные индикаторы часто используются в целях контроля операционной деятельности. Это основано на допущении, что при появлении негативных сигналов от таких индикаторов возрастает вероятность событий, которые связаны с операционным риском. Соответственно, риск-менеджер может предотвратить такую опасность, усилив контроль над ситуацией. В настоящее время все основные операции в финансовых учреждениях — от заключения сделок до их отражения в бухгалтерском учете — в основном обрабатываются в компьютерных информационных системах. Такие системы являются важным предметом исследования операционного риск-менеджмента, ставящего своей целью контроль потоков информации. Хранение информации в централизованной базе данных позволяет отслеживать всю деятельность компании и эффективно управлять рисками в целом по компании, имея возможность анализировать каждую операцию или сделку в отдельности. Именно централизованная база данных и является основным источником информации об операционных рисках.
Однако централизация информации еще не означает, что существует единое программное обеспечение, которое полностью автоматизирует обработку всех операций, осуществляемых в банке. «Поскольку различные системы могут использоваться для получения информации из внешних источников, обработки операций, подготовки аналитических отчетов и составления прогнозов, возникает проблема интеграции разнородных информационных ресурсов»,— говорит Дмитрий Ганзя,— «Полностью универсальные системы для учета всех продуктов, операций, всех стадий их обработки вряд ли существуют. В итоге, единая информационная сеть будет представлять собой несколько взаимосвязанных многофункциональных приложений, работающих в режиме реального времени с централизованной базой данных. Поиск оптимального баланса между постоянством информационной системы и ее функциональностью, представляет собой сложную задачу, решение которой требует сочетания информационных технологий и методик управления финансовыми рисками».

Таб. Пример классификации операционных рисков

Уровень 1 Уровень 2 Уровень 3
Пресонал Криминальные действия Сговор с криминальной целью
Воровство
Подделка документов
Ошибки (нарушения) персонала Нарушение лимитов
Неполный пакет документов
Системы Отказ (некорректность) работы систем Отказ программного обеспечения
Отказ компьютерной сети
Неправильные настройки
Нарушения в защите систем Несанкционированное изменение данных
Процессы Методология Отсутствие лимитов
Внешние риски Юридический риск Разная интерпретация законов

Актуальность общего доступа

Очевидно, что для хорошего операционного риск-менеджмента необходимы качественные данные, так как без точной истории потерь невозможно оценить уровень операционных рисков. Собрать полный объем данных подчас весьма сложно и затратно, учитывая практическое отсутствие на рынке общедоступных баз данных. И если постоянно регистрировать внутренние события — это, по большому счету, не проблема, то данные по внешним потерям бывает довольно сложно получить ввиду того, что создание баз данных по операционным рискам находится в процессе становления, и многие из крупных банков лишь недавно озаботились этой проблемой.
Ключевым фактором создания таких баз данных и важной задачей риск-менеджеров является разработка и согласование форматов данных, так как статистика должна быть пригодной для обработки и анализа. Необходимо создать внутренний реестр фактов реализации операционных рисков, в котором однозначно формализовать все поля.
Такими полями могут быть:

  • категория операционного риска (в соответствии с классами потерь по Базелю 2);
  • дата реализации риска;
  • дата выявления реализации риска;
  • подразделение главного офиса либо филиал, где выявлена реализация риска;
  • ошибка либо нарушение;
  • размер потери;
  • возможная причина реализации риска;
  • тип операции;
  • источник информации;
  • примечание

При создании таких общедоступных баз данных роль Национального банка и Ас-социации украинских банков сложно переоценить — они являются ключевыми инс-титутами, от которых зависит разработка правил накопления и обмена информацией о фактах реализации операционных рисков. К примеру, в Великобритании вопросами улучшения процедур операционного риск-менеджмента вплотную занимаются два пула — Association of British Insurers, который выступает организатором консорциума страховых организаций по операционному риск-менеджменту, и British Banker's Association, который постоянно актуализирует созданную в 2000 году Global Oprational Loss Database (Gold),— наиболее полную в Европе базу данных по потерям банков.
По мнению аналитиков, доступ к таким базам данных должен помочь ответить на следующие важные вопросы:

  1. Каковы ключевые события, приведшие к убыткам?
  2. Может ли риск, возникающий в системе, иметь место в моей организации?
  3. Какие операционные риски провоцируют наибольшие потери?
  4. Каким образом события, приведшие к убыткам, влияют на банковский бизнес?
  5. Какой банковский бизнес производят наибольшие риски?
  6. Каким образом риск репутации коррелирует с фактами потерь?

Интересно, что для использования информации из Gold не обязательно быть участником ассоциации BBA, база данных открыта для финансовых организаций из любой части мира. Финансовые учреждения ежеквартально передают информацию об операционных потерях в управление статистики BBA, где после проверки на точность и соответствие она обезличивается, а затем объединенный отчет становится доступным всем участникам сообщества Gold. Еще одна not-for-profit база данных была основана три года назад в Швейцарии и сейчас Operational Riskdata eXchange (ORX) насчитывает около 20 наибольших мировых банков среди своих подписчиков.
В актуальности таких баз данных для украинских пользователей не приходится сомневаться, но есть один нюанс — многие эксперты по операционному риск-менеджменту солидарны в том, что интерес для банков представляют не столько факты потерь по системе других банков, а катастрофические ошибки, приведшие к дефолту. «Особого позитива от использования статистики по не катастрофическим событиям других банков нет, так как у каждого кредитного учреждения свои требования к персоналу, свои бизнес-процессы, свое IT и видение профиля риска»,— говорит Евгений Матрос, независимый эксперт в области риск-менеджмента.— «Также, чтобы иметь такие общие базы данных, банкам необходимо накопить информацию и сделать ее доступной для использования, а это на данном этапе развития культуры операционного риск-менеджмента не представляется возможным». Более того, как утверждают в центральном управлении оценки рисков Первого украинского международного банка, «касательно западных источников, по нашему мнению и мнению CEO Risk Reward Limited, значительная разница в ситуации на рынке и уровне развития отрасли скорее всего приведет к неэффективности использования такой информации в банке на данный момент».

Человеческий фактор

Особому отношению менеджмента крупнейших мировых банков к проблематике управления рисками персонала «поспособствовала» трагедия одного из старейших финансовых институтов Англии банка Barings. Тогда, в 1995 году, трейдер Ник Лисон (Nick Leeson) обанкротил Barings путем проведения огромных объемов незаконных операций с фьючерсами в Сингапуре. Размах работы Ника Лисона и по сей день ощутим, но уже совершенно в ином полюсе — он неизменный докладчик на различных конференциях и семинарах по операционному риск-менеджменту. К примеру, на будущей конференции в Гонг-Конге Ник Лисон презентует свой доклад о том, как контролировать амбиции персонала, если он является центром генерирования прибыли в компании и потенциально имеет все возможности для мошеннических операций, а по его книге «Аферист» (Rogue Trader) в 1999 году был снят кинофильм. Да, экс-трейдер Barings оплатил свои ошибки дорогой ценой — он провел три года в тюрьме, от него ушла жена, и он серьезно заболел, но его настойчивость и упорство позволили заново отстроить жизнь в Ирландии, где он вылечился от рака, женился и даже состоял коммерческим директором футбольной команды Galway United. И когда через десять лет после того печального события, его просят назвать наиболее грозный риск для любой организации он неизменно отвечает — «люди». Самое трудное в компании, по его мнению, это заставить сотрудника попросить о помощи, так как все переживают за свою репутацию и компетентность. Многие думают, что смогут уладить свои промахи, но в результате оказываются вовлечены еще больше, а расплачивается за это в итоге банк.
С оглядкой на эту историю на первый план риск-менеджеры выводят самостоятельную оценку рисков подразделениями. Имеется ввиду внутренняя оценка и анализ работниками всех подразделений банка (департамента, управления, отдела или сектора, филиала или отделения) возможных операционных рисков, связанных с правильным построением бизнес-процессов, созданием эффективных процедур контроля, предотвращения технологических сбоев, несанкционированных действий персонала или негативного внешнего воздействия. Конечно, такая оценка работниками отдельного подразделения наверняка будет отчасти субъективна, но она должна основываться на внутренней заинтересованности подразделений и отдельных сотрудников в грамотном исполнении своих обязанностей. В конечном счете, основная деятельность осуществляется именно на уровне этих подразделений, и ее качество зависит от того, насколько правильно их персонал понимает свою работу и эффективно справляется с ней.
Реализация одного из двух подходов к оценке рисков на основе самооценки (Self Assiessment Scorecard Approach), равно как и подход на основании накопленной статистики ошибок (Event-Loss-Data Approach) наталкивается на серьезные трудности. «Разрешить эти трудности практически невозможно без вовлечения топ-менеджмента. На практике, источниками информации об ошибках могут быть результаты проверок службой внутреннего аудита, целевые проверки главным офисом филиалов и информация от подразделений, которые сталкиваются с реализацией оперрисков»,— говорит Евгений Матрос.— «Если с получением информации от аудита вопросы более-менее решаются, то инициатива получения информации об ошибках от персонала банка практически изначально не реальна. Для банка важно показать, что цель накопления такой статистики — не наказание допустившего ошибку, а создание условий, при которых будет минимизирована вероятность допущения такой ошибки».
Отечественная банковская система конечно не исключение, но реализация человеческого фактора у нас приобретает менее замысловатые формы, чем случаи с Barings или похожие моменты в работе Sumitimo, Refco и Allied Irish Bank, риски персонала свойственны в главной мере карточному бизнесу. Иногда при загрузке банкомата наличными оператор ошибочно помещал в лоток с купюрами низкого номинала банкноты более высокого достоинства, еще более известными являются случаи с мошенничеством по счетам клиентов. Исходя из высокой частоты реализации этого вида оперрис-ков, отечественные риск-менеджеры в один голос называют внутренние риски, связанные с персоналом, одними из существенных в работе украинских банков, при этом замечая, что одинаково весомыми являются все виды рисков, будь это риски персонала, процедур или ИТ, так как они очень взаимозависимы. К примеру, автоматизируя ручные процессы можно повысить риск информационных систем. Поэтому, по словам Дмитрия Ганзи, управление операционными рисками, связанными с персоналом, в банке должно происходить с выполнением таких условий:

  • четкое определение функциональных обязанностей каждого сотрудника банка;
  • формирование общей корпоративной культуры;
  • выделение каждому сотруднику доступов к информационным системам в зависимости от его функциональных обязанностей;
  • выделения бюджета на посещение сотрудниками банка профилирующих семинаров, тренингов, конференций с целью повышения профессиональной квалификации и ознакомления с новыми банковскими технологиями и тенденциями;
  • обязательное наличие технологических карт на проведение банковских операций;
  • распределение полномочий на принятие максимальных объемов рисков между: коллегиальными органами банка, руководителями подразделений фронт-офиса, а также руководителями филиалов и отделений;
  • наличие системы мотивации сотрудников в постоянном повышении профессиональной квалификации, проявлении разумной инициативы и неукоснительном выполнении собственных функциональных обязанностей.

При этом специалисты в большей мере акцентируют внимание на том, что для персонала, который сопровождает текущие операции, важна четкая и однозначная формализация всех бизнес-процессов. Сотрудник должен до автоматизма довести последовательность действий, избегая собственных интерпретаций. Выполнение такого бизнес-процесса не должно быть усложнено, так как при выполнении сложных процессов всегда больше ошибок, чем при выполнении простых. Важно и психологическое состояние персонала, его нацеленность на качественное выполнение процедуры.

Выводы

Определенно можно сказать — работа с операционными рисками должна начинаться с внимательного отношения собственников и руководства к необходимости управления не только операционными, но и другими видами рисков, должно поощряться стремление сотрудников к повышению квалификации, внедрению новых продуктов с обязательным определением четких процедур по их проведению, развитию информационных технологий, формированию общей корпоративной культуры в банке.
Трудности и проблемы есть везде, но это, говоря языком банкиров, скорей вопрос философский. Факторы операционного риска имеют в большинстве своем случайный характер, а поэтому довольно сложной задачей остается создание каких-либо методов прогнозирования. Поэтому хотелось бы пожелать профессионалам риск-менеджмента внедрения передовых рычагов управленческого воздействия (усовершенствование бизнес-процессов, внутренних лимитов, создание резервов), успешной комплексной работы в управлении операционными рисками с более частым проведением всевозможных форумов и встреч, которые бы способствовали обмену опытом и успехами в работе по управлению операционным риском в целом, что весьма необходимо для отечественных банков, как в свете общей тенденции на евроинтеграцию, так и для каждого отдельного украинского учреждения.

Автор: