Виды операционных рисков

Виды  операционных рисков. 

Операционный  риск в основном связан с торговыми  операциями, а также с денежными  сделками по финансовому инвестированию и дивидендным (процентным) платежам. Операционному риску подвержено как движение денежных средств, так  и уровень прибыли. 

Операционные  риски возникают при заключении соглашений на осуществление платежей или получение средств в иностранной  валюте, которые будут иметь место  в какой-то момент времени в будущем.

 

Любое деловое  предприятие в своей повседневной деятельности сталкивается с операционными  рисками. Операционные риски связаны  с человеческим фактором - прямые и  косвенные потери бизнеса возникают  из-за ошибок персонала, менеджмента, хищений  и злоупотреблений, сбоя в работе телекоммуникаций, вычислительной техники  и информационных систем (которые  также в большинстве случаев  вызваны ошибками людей). 

Операционный  риск не имеет четкого определения  в отличие от рыночного и кредитного рисков. Мы можем выделить три подхода, начиная с широкого до узкого определения.   

Первое определение  самое широкое. Оно объясняет  операционный риск как любой финансовый риск, не являющийся рыночным или кредитным  риском. Возможно, это определение  слишком широкое, т.к. оно включает также бизнес риск, который фирма  должна принять при создании акционерной  стоимости. Это включает плохой уровень  принятия стратегических решений, таких  как создание бизнес-линии при очень малой марже. Такие риски не контролируются напрямую риск менеджерами. Кроме того, неблагоприятно влияет на возможность идентифицировать и оценить все риски. Это предоставляет возможность двойного учета или просчетов в покрытии. В результате это определение обычно рассматривается как слишком широкое.   

На другом конце  находится второе определение, являющееся самым узким. Оно определяет операционный риск, как риск, возникающий при  проведении операций. Это включает проблемы бэк-офиса, сбои при обработке операций и сбои в системах, а также технологические ошибки. Это определение, тем не менее, просто концентрируется на операциях, что является только частью операционного риска и не включает другие значительные риски, как внутренние злоупотребления, неправильная торговая практика или риск моделирования. В результате это определение обычно считается слишком узким.   

Третье определение  является промежуточным, и кажется, оно приемлемо для финансовой сферы. Оно определяет операционный риск как риск потерь, вытекающий из неадекватных или сбойных внутренних процедур, человеческого или системного фактора или внешних событий.

Это исключает  деловой риск, но включает внешние  события, такие как внешнее мошенничество, сбои системы безопасности, влияние  нормативных актов или природные  катаклизмы. В действительности, это  сейчас официальное определение  Базельского Комитета. Оно включает юридический риск, возникающий, если сделка признается недействительной по закону, но исключает стратегический риск и риск репутации. 

Задача определения  операционного риска является центральной  частью менеджмента операционных рисков, несмотря на свою первоначальную простоту. Определение операционных рисков являются результатом значительной аналитической  работы в банке и будут очерчивать круг задач, мероприятий, полномочий и  ответственности в области менеджмента  операционных рисков. Данная работа должна проходить в рамках системного подхода  к менеджменту операционных рисков. Без такого подхода невозможно справится  с огромной областью операционных рисков. Схема операционных рисков представлена на рисунке 1. 

Подтверждением  в необходимости нестандартного подхода является множественность  определений операционных рисков в  банковской среде: 

·        ОР есть риск враждебного влияния/действия на бизнес как последствие ведения  его ненадлежащим и неадекватным способом, и может быть результатом  внешних факторов (Credit Suisse Group); 

·        ОР - любой риск за исключением кредитного и рыночного рисков; 

·        ОР - это риск, ассоциированный с  операционным управлением;  

·        ОР - это риск, проявляющийся в  потерях из-за недостатков в информационной системе или внутреннем контроле. Риск ассоциируется с человеческими  ошибками, недостатками систем и неадекватными  процессами и контролем. (Базельский комитет);   

·        ОР - это риск прямых или непрямых потерь как результат неадекватности или ошибочности процессов, персонала  и систем или внешних событий (Ассоциация риск менеджеров- RMA, Ассоциация британских банков, ISDA).  

  

Рис.1. Операционные риски 

  

  

Согласно определению  Базельского комитета первой причиной операционного риска является ошибки во внутренних процессах. Под ними понимаются операционные потери из недостаточного контроля и исполнения, например, ошибочная или неполная передача информации или потери из-за недостаточного контроля рабочих результатов или излишней регламентации. Второй причиной операционного риска является человек. Из-за его мошеннических, небрежных или ошибочных действий могут возникать потери. Типичными рисками являются недостаточная мотивация, коррупция, воровство и несоблюдение нормативно-правовых актов. Третьей причиной операционных рисков являются системы (технологии). Под них попадают, например, провал или пробои в IT программах, устарелые soft или hard программное обеспечение, нестыковка программ. Четвертой причиной выступают внешнее окружение в виде, например, природные события (землетрясений, наводнений, урагана), пожар или террористические удары.  

Причинами для  наступления событий имеют множество  внутренних и внешних причин и  очень часто носят комплексный  характер. Примерами, могут быть недостаточные  мероприятия предупреждения наступления  операционных рисков, недостатки в  работе, ошибки менеджмента и слабости в организации.  

Нам представляется, что из приведенного перечня определений  операционного риска наиболее полной и одновременно лаконичной является трактовка, помещенная в материалах Базельского комитета, которой мы и будем придерживаться при изложении данной темы.  

В определении  Базельского комитета не учтены репутационный риски и риски стратегии.  

В современной  литературе по рискам, рекомендациях  Банка международных расчетов, Национального  банка РК приводится достаточно много  классификаций всех видов банковских рисков, включая операционные. Наиболее полной, по мнению автора, является классификация  операционных рисков в ставшем уже  классическим методическом пособии "Общепринятые принципы управления рисками" (Generally Accepted Risk Principles), разработанном фирмой "Куперс энд Лайбренд" (после слияния - "ПрайсУотерхаусКуперс") совместно с рядом крупных банков. В данной публикации автор будет использовать упомянутую классификацию и определения отдельных видов рисков[1]. 

Риски потерь, возникающие  вследствие разного рода ошибок при  переводе денежных средств, учете и  расчетах (транзакционные риски), хорошо известны практикам и описаны в литературе. Основной их причиной являются бухгалтерские и расчетные ошибки. Некоторые же виды транзакционных рисков заслуживают отдельного рассмотрения по причине их достаточно редкой упоминаемости, хотя важность их нельзя недооценивать. 

Риск потерь, возникающих из-за сложности финансовых инструментов, появляется в том случае, когда информационная система банка  не способна адекватно учитывать  сделку по бухгалтерии и аналитике. Например, в середине 90-х годов, когда  российские банки начали операции с  производными финансовыми инструментами, в некоторых из них не были должным  образом подготовлены информационные системы. В результате возросло количество ошибок в бухгалтерском учете, но что более неприятное - банковские аналитики далеко не всегда могли  иметь реальную картину валютных и процентных рисков, кроме того, возросли сроки подготовки аналитической  информации для руководства. Вывод  здесь следующий: нельзя начинать работу с новым для банка финансовым инструментов, не убедившись в том, что информационные системы банка  будут корректно его отражать. Одним из полезных инструментов, снижающих этот риск, является отработанная процедура утверждения порядка работы с новыми для банка финансовыми инструментами (очень нагляден "контрольный листок", где указываются все риски, требования к системам, документации, процедурам и т. д.; новый продукт "запускается в работу", если контрольный листок подписан всеми должностными лицами банка, чья подпись необходима). 

Весьма неприятными  могут быть последствия ошибки перевода средств в случае неверного указания банка-контрагента (непреднамеренная поставка). В практике приходилось сталкиваться со случаями, когда деньги направлялись в проблемный банк (более неприятная ситуация - в банк, в отношении которого открыто конкурсное производство): для возврата средств приходилось прилагать немало сил, и требовало это много времени. К слову, даже если деньги по ошибке перечисляются в нормально работающий банк, то на их возврат требуется время. Уменьшить риск ошибочного перечисления денежных средств в проблемный банк можно путем установки "блокировки" в информационную систему[2]. 

Много убытков  приносит банкирам некачественная юридическая  документация. Безусловно, установленный  в банках порядок обязательного  визирования юристами договоров  и процедур снижают этот риск. Проблемы, по мнению специалистов, возникают  либо по причине недостаточной квалификации работников юридической службы, либо по причине невнимательности (последнее  происходит, как правило, в случае слишком высокой загруженности  работников[3]). Кроме того, много  усилий приходится прилагать для  того, чтобы своевременно вносить  изменения в документацию в условиях часто меняющегося законодательства (облегчает решение проблемы должным образом установленная процедура мониторинга нормативной базы). Профессионалы рекомендуют применять "правило существенности" - когда внимание юристов концентрируется на операциях, несущих "значительный" (определяемый для каждого банка индивидуально) риск потери денежных средств, а также "правило особого подхода к нестандартным операциям" (означает, что для всех договоров, отличных от стандартных, устанавливается индивидуальный порядок рассмотрения).  

Риски потерь, возникающие  вследствие недостаточности или  низкого качества операционного  контроля, стали причиной проблем  для многих банков. Не обнаруженные своевременно превышения лимитов, не разрешенные  руководством операции отдельных трейдеров, злоупотребления в учете операций - факторы, вызвавшие крах целого ряда известных финансовых учреждений, в частности, банка "Бэрингс". 

Несанкционированный доступ к информационным системам может  стать причиной хищения денежных средств или ценной для банка  информации (что равносильно). Этот аспект проблемы достаточно понятен  и многократно описан в профессиональной литературе. Есть и другая часть  проблемы - несанкционированный доступ к используемым в аналитической  работе математическим моделям. На практике это может выглядеть следующим образом: специалисту банка показалось, что модель несовершенна, и он самостоятельно внес в нее изменения; ничего не знающие об этих изменениях коллеги в расчетах и при подготовке информации для руководства использовали старые подходы: в результате появились ошибки в расчетах, необходимых для принятия управленческих решений на оперативном и тактическом уровне. Чем сложнее бизнес банка, чем больше финансовых инструментов им используется, тем более важной становится роль математических моделей для принятия решений. Поэтому доступ к моделям и порядок внесения в них изменений должен быть жестко регламентирован - это задача, прежде всего функции внутреннего контроля. Другой аспект, расчетные модели должны своевременно пересматриваться (в стабильных рыночных условиях - не реже одного раза в год). Дело в том, что международная банковская практика последних лет показала, что некоторые математические модели, прекрасно работающие в условиях стабильного рынка, приводят к значительным искажениям аналитических данных в кризисных условиях. 

Зависимость от ограниченного числа сотрудников - одна из ключевых проблем, прежде всего, малых и средних банков, да и  для крупных это немаловажно. Специалисты в первую очередь выделяют проблему зависимости от работников, занимающихся информационными технологиями, и проблему зависимости от клиентских менеджеров. Этот вопрос очень важен, поэтому заслуживает отдельного обсуждения. 

Достаточно часто  встречается ситуация, когда программист  становится "незаменимым", в его  отсутствие может остановиться технологический  процесс: немало банков несло потери, когда такой специалист неожиданно увольнялся по той или иной причине[4]. Работа с программистами, как показывают реалии, имеет свои особенности: прежде всего, стоит больших трудов приучить их выполнять работу в установленные  сроки. Во-вторых, сложно добиться сдачи  всей необходимой технической и  пользовательской документации по окончании  работы над программным обеспечением. На практике задача решается разными  способами: с одной стороны, максимально  четко оговариваются условия  труда программистов, используются разные формы морального и материального  стимулирования труда (включая внедрение  аккордно-премиальной системы оплаты труда), с другой стороны, внедряется порядок взаимозамещения сотрудников службы информационных технологий. Есть и глобальная альтернатива: разрабатывать программное обеспечение собственными силами или полностью поручить эту задачу специализированной фирме, обслуживающей банк? Здесь важна как "цена вопроса" с позиции текущих банковских издержек, так и стратегическое соотношение "затраты-риск". 

Ситуация с  клиентскими менеджерами также  не простая: клиенты привыкают к  работе с тем или иным менеджером, естественно, что ряд клиентов "приводится" в банк тем или иным менеджером. Очевидно, что в случае ухода клиентского  менеджера из банка существует риск ухода некоторых клиентов. Частично проблема решается путем внедрения  механизма ротации сотрудников  в банке, частично - за счет выработки  формальных договоренностей ("правил игры"), между руководством банка  и менеджером, приведшим клиентуру. Есть и другой аспект проблемы: дело в том, что нередко банковский менеджер, обладающей своей клиентурой, дает своего рода личные гарантии клиенту, что тот приходит в стабильный банк. Как вести себя такому менеджеру, если у банка начинаются проблемы? Исходя из принципа банковской корпоративности, ему не следует давать рекомендации клиентам уводить средства из банка, а с другой стороны, банкир рискует  своей репутацией, если приведенный  им клиент потеряет деньги: в этом проявляется  риск работы со "своей" клиентурой. Поэтому стандартный в практике работы принцип ротации клиентских менеджеров должен дополняться и  другими индивидуальными для  каждого банка мероприятиями  и процедурами. 

Зависимость банка  от ограниченного числа сотрудников  проявляется и тогда, когда в  финансовом учреждении работает известный  на рынке специалист или группа специалистов. Хотя уход таких специалистов из банка  может в краткосрочной перспективе (месяц) и не привести к прямым финансовым потерям, не исключены негативные последствия, которые проявятся со временем (влияние  на рейтинги, на оценку бизнеса со стороны  деловых партнеров). К сожалению, стандартных методов работы здесь  нет, хотя многое определяется условиями заключенного со специалистом контракта и корпоративной культурой организации. 

Риски потерь, которые  могут возникнуть из-за сбоя в работе информационных систем или их некорректной работы, также нельзя недооценивать. К числу подобных рисков относятся, среди прочих, риски потерь, возникающих  из-за ошибок в компьютерных программах. Снизить эти риски позволяет  жесткая система тестирования программ до их ввода в эксплуатацию, наличие  адекватной технической документации и четкое фиксирование ответственности  разработчика в соответствующих  договорах. 

Ошибки в формулах математических моделей - не редкость в банковской практике. Например, в  середине 90-х годов "Нешнл Уэсминстер Бэнк" потерял более 80 миллионов долларов США по причине ошибки в математической модели, использованной для расчета стоимости портфеля производных финансовых инструментов. Практики считают, что для снижения подобного риска хорошо работает порядок приемки моделей для использования в работе, включая проверку модели на "здравый смысл" (на самых простых и понятных даже не специалистам в области финансовой математики) примерах. 

Для будущего банка  опасно, если управленческая информация является неполной или не предоставляется  нужные для нормального ведения  бизнеса сроки. Такая проблема, как  показывает практика, возникает в  случае недостаточной квалификации руководства банка или из-за низкого  уровня развития систем управленческой информации. Основным условием решения  проблемы, что неоднократно описывалось  в литературе, является политическая воля руководства (как владельцев, так  и высшего менеджмента банка). 

Сбои в работе одной или нескольких компьютерных программ, обслуживающих тот или  иной вид бизнеса, телекоммуникационных каналов - явление, для России весьма характерное (системы связи и  электропитания во многих регионах не вызывают доверия). Проблема непростая, но успешно решаемая банкирами. К  числу проблемных аспектов некоторые  специалисты относят довольно часто  встречающееся отсутствие системного подхода, что выражается в недостатках  системы планирования действий банка  в чрезвычайных обстоятельствах, вызванных  упомянутыми сбоями. 

Отсутствие плана  работы в случае сбоя информационных систем или низкое качество подобных планов также может привести к  существенным убыткам. Отсутствие такого плана мероприятий ведет к  задержкам при принятии управленческих решений, что критично: полагаю, что  у аналитиков любого банка есть расчет, во сколько банку обойдется каждый день простоя (а косвенные - угроза потери деловой репутации, возможный риск ухода важных клиентов - с трудом поддаются количественной оценке). По мнению банкиров-практиков и сотрудников аудиторских фирм, за последние годы российские банки достаточно оперативно выходят из критических ситуаций, связанных со сбоями в работе информационных систем, и владеют основными стандартными приемами, но еще многое предстоит сделать для достижения минимально необходимой формализации мероприятий - действия в условиях стресса при отсутствии "шпаргалки" чреваты ошибками. Формализация важна и с позиций внесения необходимой определенности в трудовые отношения: практически после каждой серьезной нештатной ситуации следует "разбор полетов" - выявление причин и принятие решения о наказании провинившихся руководителей и сотрудников; должная же формализация планов и процедур облегчает работу по выявлению проблемных аспектов и позволяет уменьшить риск возникновения трудовых конфликтов. В завершение следует сказать, что планы должны периодически пересматриваться и уточняться (рекомендуется не реже одного раза в год). 

Из представленной классификации следует, что большая  часть операционных рисков связана  с деятельностью человека. Например, прямые и косвенные потери (убытки) возникают из-за ошибок персонала  в части соблюдения внутренних регламентов  и процедур, ошибок в принятии управленческих решений, хищений, злоупотреблений, недостаточной  компетентности кадров и низкого  уровня их квалификации. Более того, даже в случаях, когда убытки вызваны  сбоями в работе телекоммуникаций, вычислительной техники и информационных систем, в основе их в большинстве  случаев лежат ошибки людей. Неслучайно на приведенной схеме четыре из пяти источников так или иначе связаны с деятельностью персонала: качество управления, риски систем, человеческий фактор, процессы. Исключение составляют лишь форс-мажорные обстоятельства. 

Другая группа источников обусловлена нарушением бизнес-процессов. Например, последствием перевода средств в случае неверного указания банка-контрагента может стать так называемая непреднамеренная поставка денежных средств. Для возврата средств, перечисленных по ошибке даже в нормально работающий банк, придется приложить немало сил и времени. Что тогда говорить о возврате денег, направленных в проблемный банк или банк, в отношении которого открыто конкурсное производство? 

Еще одна группа источников возникновения операционного  риска, связанного с персоналом, —  это злоупотребление и мошенничество, которое происходит вследствие нечестности  сотрудника и недостаточного качества разработанных процедур и действий, исключающих возможность злоупотреблений. Для того чтобы состоялось мошенничество, необходимо, чтобы для этого существовала возможность. Наличие такой возможности  — это результат внутренних проблем  и ошибок. Примером мошенничества  может служить вовлечение кредитной  организации в коммерческие взаимоотношения с теневой или криминальной экономикой, преднамеренное проведение сделок и сокрытие их результатов, наносящие ущерб банку. 

Другим проявлением  риска может стать концентрация знаний и опыта на одном человеке. Зависимость от ограниченного числа  сотрудников — одна из ключевых проблем банков. Достаточно часто  встречается ситуация, когда программист  становится «незаменимым», в его  отсутствие может остановиться технологический  процесс: немало банков несло потери, когда такой специалист неожиданно увольнялся по той или иной причине. 

Зависимость банка  от ограниченного числа сотрудников  проявляется и тогда, когда в  кредитной организации работает известный на рынке специалист или  группа специалистов. Хотя уход таких  специалистов из банка может в  краткосрочной перспективе и  не привести к прямым финансовым потерям, не исключены негативные последствия, которые проявятся со временем (влияние  на рейтинги, на оценку бизнеса со стороны  деловых партнеров). К сожалению, стандартных методов работы здесь  нет, хотя многое определяется условиями  заключенного со специалистом контракта  и корпоративной культурой организации. 

Значительные  убытки приносит банкирам и некачественная юридическая документация. Конечно, установленный в банках порядок  обязательного визирования юристом  договоров и процедур снижают  этот риск. Проблемы могут возникать  либо по причине недостаточной квалификации работников юридической службы, либо по причине их невнимательности. Кроме  того, много усилий приходится прилагать  для того чтобы своевременно вносить  изменения в документацию в условиях часто меняющегося законодательства. В этом случае проблема может быть решена с помощью установления мониторинга  нормативной базы, а также концентрации внимания юристов прежде всего на операциях, несущих значительный риск потери денежных средств, который определяется для каждого банка индивидуально, и установление индивидуального порядка рассмотрения для всех договоров, отличных от стандартных. 

Особо выделим  такой источник, как возможные  сбои в работе информационных систем или их некорректную работу, в том  числе из-за ошибок, возникающих  в компьютерных программах. Использование  информационных технологий помогает повысить эффективность процессов в банке. Однако они также являются источником операционного риска, причинами  возникновения которого могут быть и недоступность систем в нужное время из-за сбоев, связанных с  техническими неполадками, недостаточным  уровнем обеспечения безопасности подверженности атакам хакеров, неавторизованным доступом и вирусами, перебоями электропитания и др. 

Отсутствие плана  работы в случае сбоя информационных систем или низкое качество подобных планов также может привести к  существенным убыткам и задержкам  при принятии управленческих решений. У аналитиков любого банка должен быть расчет, во сколько банку обойдется  каждый день простоя, учитывая также  угрозу потери деловой репутации, возможный  риск ухода важных клиентов, которые  с трудом поддаются количественной оценке.  

Возможно, что  банку будет необходимо дать свое расширенное толкование определения  для того, чтобы ясно очертить круг задач и дать единую терминологическую  основу для коммуникации специалистов. По мере развития менеджмента операционных рисков банк будет расширять или  изменять первоначальное определение  и толкование операционного риска. 

Вероятно, выводом  из всего вышенаписанного может быть неоднократно повторенное в исторической литературе "предупрежден - значит, вооружен". Именно поэтому "концепция осознания рисков" (risk awareness) является основной в международной банковской практике, именно поэтому так важно понимание операционных рисков руководителями и сотрудниками банков.  


Виды операционных рисков