Управление бизнес-процессами и развитием информационных технологий
37. Швейцарский стандарт. Базель II против операционных рисков
Алексей ДРОЗДОВ, Андрей КОПТЕЛОВ Риск менеджмент октябрь 2007
Швейцарский стандарт
Автор: Алексей ДРОЗДОВ,
Андрей КОПТЕЛОВ, Источник: Риск менеджмент
Дата: 16 октября 2007 г., Город: Москва
Рубрика: Финансы;
Базель II против операционных рисков
ОПЕРАЦИОННЫЕ РИСКИ – ОДНА ИЗ САМЫХ СЕРЬЕЗНЫХ УГРОЗ ДЛЯ БАНКОВСКОГО БИЗНЕСА. ОНИ ИЗМЕНЯЮТСЯ И ТРЕБУЮТ ПОСТОЯННОГО КОНТРОЛЯ. КАК РАЗРАБОТАТЬ СИСТЕМУ УПРАВЛЕНИЯ, КОТОРАЯ ОТВЕЧАЕТ МИРОВЫМ СТАНДАРТАМ И СОКРАЩАЕТ УБЫТКИ ОТ РЕАЛИЗАЦИИ ЭТИХ РИСКОВ?
Алексей ДРОЗДОВ, старший консультант компании "IDS Scheer Россия и страны СНГ"
Андрей КОПТЕЛОВ, директор департамента IT-консалтинга компании "IDS Scheer Россия и страны СНГ"
Из всех банковских рисков операционный – второй по значимости после кредитного. На третьем месте находится рыночный риск. По данным PricewaterhouseCoopers, 69% банков уверены, что потери от операционных рисков (ОР) такие же или даже более существенные, чем от рисков рыночных или кредитных. Базель II рекомендует рассматривать их в качестве отдельной категории рисков. Для управления этой угрозой кредитной организации следует выделить часть собственного капитала – так называемый экономический капитал под ОР.
***
Варианты оценки
Первый шаг в управлении тем или иным риском – это его выявление и оценка. Риски оценивают с помощью количественного и качественного способов. Количественная оценка основана на статистике, однако при этом результат имеет прогнозный характер и в значительной степени зависит от уровня принимаемой доверительной вероятности. В свою очередь, метод расчета ключевых индикаторов не требует "исторических" данных. В состав ключевых индикаторов входят показатели, которые характеризуют частоту операционных убытков: число сбоев информационных систем, число ошибок сотрудников. Кроме того, учитываются показатели, характеризующие вероятность возникновения потерь: текучесть кадров, частота резервного копирования информации.
Наиболее эффективен анализ нефинансовых факторов ОР – так называемых рискфакторов. Этот метод основан на оценке таких показателей, как нагрузка на персонал и системы, эффективность распределения компетенций, обязанностей и полномочий сотрудников и т. д. Он позволяет определить связи факторов риска с объектами риска. Качественные (экспертные) способы оценки рисков применяются, когда не хватает статистических данных. Они используются для оценки качественного уровня процедур и технологий.
Оценивая ОР, следует помнить об их изменчивости. Необходим постоянный мониторинг, который будет учитывать не только значения показателей, но и тенденции их изменения.
***
Источники информации
Ведущую роль в организации банковского РМ играет Базельский комитет по банковскому надзору. Комитет вырабатывает правила по минимальному размеру собственного капитала для кредитных организаций.
Подходы к управлению ОР были определены Базельским комитетом по банковскому надзору в 1998 году. Позднее в "Практических рекомендациях" Базеля II были сформулированы известные десять принципов РМ. Они затрагивали среду управления, идентификацию, оценку, мониторинг, контроль и снижение ОР, а также роль надзорных органов и информационной открытости. При эффективном управлении можно добиться значительного снижения требований к экономическому капиталу под ОР.
Основные документы, регламентирующие управление ОР в российских банках, – это Положение ЦБ РФ от 16 декабря 2003 года № 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" и письмо Банка России от 24 мая 2005 года № 76-Т "Об организации управления операционным риском в кредитных организациях".
Положение № 242-П определяет порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок, распределение должностных обязанностей служащих с целью исключения конфликта интересов, контроль управления информационными потоками, автоматизированными информационными системами и техническими средствами, а также контроль системы управления банковскими рисками.
Идентификацию ОР, согласно письму № 76-Т, следует проводить на нескольких уровнях: на уровне изменений в финансовой сфере в целом; на уровне подверженности ОР направлений деятельности банка (с составлением так называемого риск-портфеля банка); на уровне отдельных банковских операций и сделок; на уровне внутренних процедур, включая систему отчетности и обмена информацией.
Мониторинг ОР осуществляется при помощи регулярного изучения показателей деятельности – статистических и финансовых.
Эффективный риск-менеджмент подразумевает создание в банке системы, которая имеет свою структуру, ролевую концепцию, регламенты и контроль. Письмо № 76-Т, определяя основы системы управления операционными рисками (СУОР) банка, предоставляет ему достаточно широкие возможности по точной настройке такой системы. В общем случае создание СУОР предполагает выполнение следующих работ (рис. 1).
На схеме видно, что идентификация ОР проводится применительно ко всем продуктам, услугам, бизнес-процессам и системам банка – как уже имеющимся, так и разрабатываемым. Регламенты ведения аналитической базы данных ОР предусматривают все случаи реализации операционных рисков. Данная информация в последующем может служить основой для применения статистических методов оценки.
***
Прозрачный бизнес
Риск-менеджмент в сфере ОР – это прежде всего прозрачные и управляемые бизнес-процессы, поэтому подход, который позволяет сделать их таковыми, называется процессным. Выявленные риски классифицируются – создаются так называемые деревья ОР. Следующий этап – сбор информации, которая необходима для анализа этих рисков.
Изучение и оценка ОР осуществляется по принципу "сверху вниз" или "снизу вверх". В первом случае рассматриваются последствия реализации риска. Такой подход обычно реализуется на уровне руководства. При этом используется база данных событий, повлекших за собой убытки. Риски объединяются в группы в соответствии с принятой в банке классификацией.
Во втором случае оцениваются причины возникновения риска. Подход реализуется на уровне отдельных подразделений. Создается иерархическая структура процессов, на основании которой можно определить ключевые места контроля.
В обоих случаях после описания процессов и рисков проводится комплексный анализ всех разработанных моделей. После этого разрабатываются и запускаются в работу правильные модели процессов.
Как показывает практика, оптимизация бизнес-процессов приводит к сокращению операционных рисков. Однако к модификации процессов следует подходить с осторожностью. Эти изменения могут нести в себе свои риски: сотрудники не всегда способны сориентироваться в новых условиях, а это негативно влияет на бизнес.
***
Стратегия безопасности
Стратегия управления играет основополагающую роль в создании системы РМ. Существует четыре стратегии управления операционными рисками.
Первая стратегия нацелена на предотвращение. Области деятельности, где вероятность потерь высока, просто ликвидируются. Вторая стратегия подразумевает страхование. Здесь применяется частичное покрытие операционного риска с помощью страховых инструментов.
Третья стратегия принимает риски. Руководство банка знает о принятых рисках, которые финансируются за счет текущего потока наличности. Это относится к рискам, реализация которых приводит к незначительным убыткам, и вероятность наступления неблагоприятных событий невысока.
Четвертая стратегия нацелена на контроль и уменьшение. Она построена на основе процессного подхода и предполагает внутренние организационные мероприятия. Данная система может объединять в себе элементы первых трех стратегий и часто включается в интегрированную систему риск-менеджмента и принятия рисков на основе отношения "убытки/прибыль". Применение этих стратегий требует идентификации рисков, что само по себе непростая задача. На практике применяются следующие методы идентификации ОР: FMEA (Failure Mode and Effects Analysis) – анализ видов и последствий отказов; PHEA (Predictive Human Error Analysis) – предупредительный анализ человеческих ошибок; сценарный анализ (по принципу "что если..."); CSA (Control Self Assessment) – экспертная самооценка.
***
Анализ FMEA
Анализ FMEA проводится как для продуктов, так и для процессов. В первом случае определяются дефекты, которые несут в себе риски для потребителя. Во втором случае анализ происходит в рамках подразделений, где осуществляется бизнес-процесс, чтобы обеспечить должный уровень его исполнения. В основе анализа FMEA лежит процессный подход. Сначала разрабатываются модели процесса – объекта анализа. Затем проводится исследование построенных моделей. В ходе исследования последовательно определяются потенциальные дефекты, потенциальные последствия дефектов для потребителя, потенциальные причины дефектов, возможности контроля их появления.
При этом экспертным образом, например по десятибалльной шкале, оцениваются такие параметры каждого риска, как тяжесть последствий для потребителя, частота возникновения дефекта, вероятность необнаружения дефекта. В заключение определяется параметр приоритетности риска, который рассчитывается как произведение трех вышеперечисленных параметров. Для рисков с наиболее высокими значениями параметра приоритетности необходимо уменьшение этого параметра корректирующими мероприятиями. Пример расчета по методу FMEA показан в таблице.
***
Анализ PHEA
Анализ PHEA призван оценить влияние человеческого фактора на безопасность выполнения критических для банка задач. PHEA-анализ, так же как анализ FMEA, основывается на процессном подходе и включает следующие этапы: в процессе выявляются шаги, где ошибка может привести к сбоям (рассматриваются ошибки планирования, реализации, проверки, отображения, передачи информации, выбора); устанавливается природа выявленных ошибок; определяются возможные компенсирующие воздействия; формулируются предупредительные меры. Сценарный анализ "что если..." включает следующие этапы: в процессе выявляются шаги для анализа; проводится мозговой штурм с целью генерации возможных влияний на исполнение функции и соответствующих результатов; определяется наихудший сценарий выполнения процесса; предлагаются мероприятия по снижению рисков процесса.
***
Оценка CSA
Экспертная самооценка CSA используется для пересмотра ключевых целей бизнеса, рисков, связанных с их достижением, и механизмов контроля, разработанных для управления этими рисками. При проведении экспертной самооценки для каждого риска последовательно определяются ключевые показатели результативности процесса, сигнализирующие о возможности наступления риска, оценивается частота возникновения риска, возможный объем убытков, разрабатываются компенсирующие мероприятия и оценивается снижение риска в случае их проведения, разрабатывается план внедрения мероприятий.
Для снижения операционных рисков в банках могут использоваться различные методы. Первый – совершенствование: разделение функций, двойной ввод и подтверждение операций, подтверждение сделки контрагентом. Кроме того, необходима организация эффективного контроля за выполнением бизнеспроцессов, например проведение независимой оценки результатов деятельности. Второй метод – управление причинами и величиной рисков: заблаговременное изучение и предотвращение рисков, уклонение от риска, воздействие на источник риска с целью уменьшения его угрозы. Также следует упомянуть реструктуризацию рисков, в том числе страховой и нестраховой трансферт риска.
***
Особый проект
Основной путь минимизации ОР – это создание системы управления операционными рисками. При организации СУОР рекомендуется придерживаться некоторых принципов.
Прежде всего полномочия и ответственность за управление рисками должны быть организационно закреплены за СУОР. Сама система должна органично интегрироваться в общую систему управления банком.
Функцию управления рисками нужно поэтапно развивать на всех уровнях менеджмента, при этом следует ориентироваться на успешный опыт западных банков по реализации управления рисками.
Необходимо широко использовать информационные технологии для автоматизации РМ. Нужно проводить тестирование всех предполагаемых инструментов. Нельзя забывать о минимизации трудозатрат со стороны бизнеса. Реализация СУОР – сложная задача, которая обычно решается в рамках специального проекта. Успех зависит от методологии, инструментария, специальных знаний и опыта консультантов, решительности руководства банка, готовности топ-менеджмента к сотрудничеству и т. п. Проект по внедрению СУОР включает несколько этапов (рис. 2). Результаты мониторинга и контроля СУОР – это ценная информация по бизнес-процессам банка. На основе этих данных можно организовать работу по совершенствованию процессов, что приведет к дальнейшему снижению ОР. Рассмотренный метод позволяет выстроить управление ОР в соответствии с Базельскими стандартами и российским законодательством. Кроме того, он существенно снижает возможные убытки от реализации этих угроз.
***
ТРЕБОВАНИЯ
В России минимальный размер собственных средств для действующих банков с 1 января 2007 года составляет €5 млн. Данное требование применяется также к действующим кредитным организациям в качестве условия для создания на территории иностранного государства дочерних организаций и открытия филиалов, получения небанковской кредитной организацией статуса банка, а также получения генеральной лицензии на осуществление банковских операций.
***
Три угрозы
Специалисты выделяют три вида рисков, наиболее характерных для банковской системы. Это кредитные, рыночные и операционные риски.
Кредитный риск – вероятность невыплаты займа в установленный срок. Чем выше эта вероятность, тем больше процентная ставка, которую устанавливает банк. Данный риск актуален, когда успех организации напрямую зависит от контрагента или заемщика. Он возникает при инвестировании, представлении и приеме обязательств по предоставлению денежных средств.
Рыночный риск связан с вероятностью изменения параметров рынка. Это могут быть процентные ставки, курсы валют, цены акций или товаров, корреляция между различными параметрами рынка и волатильность этих параметров.
Операционный риск связан с ошибками в работе банка – такими, например, как неверное исполнение бизнес-процессов, неэффективные процедуры внутреннего контроля, технологические сбои или несанкционированные действия персонала.
ТАБЛИЦА. ПРИМЕР РАСЧЕТА ПО МЕТОДУ FMEA
Функция/Потенциальные дефекты/Потенциальные последствия
Дефектов/Тяжесть последствий/Потенциальная причина/
механизм дефекта/Частота возникновения/Возможности контроля
появления дефектов/Вероятность необнаружения
Дефектов/Приоритетность риска/Рекомендуемые действия/Результаты мероприятий
/± Ответственный/срок/Тяжесть последствий/Частота возникноВения/Вероятность необнаружения дефекта/Приоритетность Риска
Клиент посылает запрос на продукт/Требования к продукту и условиям поставки не доведены до клиента/Требования клиента не будут полностью удовлетворены/7/Ошибка в процессе/5/Создать инструмент настройки конфигурации продукта/3/105/Использовать инструмент настройки конфигурации продукта/Выполнено 11.12.06/7/2/2/28
Контактная информация:
koptelovak@yandex.ru
