Мнение эксперта

Самые значимые операционные риски 2018 года по мнению экспертов финансовой сферы

Время прочтения: 16 мин.

Ссылка на оригинал статьи: https://www.risk.net/risk-management/5424761/top-10-operational-risks-for-2018#cxrecs_s

В серии интервью, которые прошли в январе и феврале 2018, Risk.net обсуждал с директорами по управлению рисками, главами подразделений операционных рисков и старшими экспертами в сфере финансовых услуг, включая банки, страховщиков, управляющих активами и поставщиков инфраструктур, проблемы операционных рисков, наиболее часто выделяемых этими экспертами. На основании этого мы представляем наш рейтинг 10 ключевых рисков отрасли на 2018.

  1. IT сбои

IT сбои по причине воздействия кибератак или более приземленных причин – человеческой ошибки или отказа устаревших аппаратных средств, определены главной угрозой фирмам финансовых услуг на 2018 по мнению экспертов.

По признанию риск менеджеров, обеспечение устойчивости к кибератакам является необъятно обширной задачей, которая включает в себя средства управления информационной безопасностью, а также разработку сценариев и военных игр, стороннего надзора, защиты данных и процессов идентификации мошенничества.

В знак признания распространяющейся природы этой угрозы единственный в прошлом году «Кибер риск» разделен на несколько категорий для обзора этого года.

Принятие мер против известных угроз, таких как DDoS атаки, является данностью. Риск-менеджеров больше волнуют трудноизмеримые подрывные угрозы IT и физического ущерба для внутренних сетей финансовых организаций. Вредоносное программное обеспечение, ошибка сотрудника и простой отказ аппаратных средств могут быть не менее разрушительными, когда дело доходит до потери эксплуатационной функциональности.

Существенная часть рисков физического разрушения банковских сетей относится к различным источникам, таких как, например, охватившее весь город отключение электроэнергии, или воздействие использованного в военных целях электромагнитного пульса. Не трудно понять, почему риск-менеджеры определяют IT сбои самой значительной операционной угрозой для их бизнеса.

Ущерб сервисам от эффективных атак вредоносных программ-вымогателей обычно гораздо более дорогой, чем платеж, осуществленный кибер-вором, как показал вирус WannaCry в 2017 году. Также трудно оценить тысячи человеко-часов, инвестированных в обучение персонала, или ресурсы, потраченные на отслеживание успешных вирусных атак.

Практики отмечают, что множество прошлогодних наихудших IT сбоев могут быть приписаны дефектному программному обеспечению. Американское Управление Контроля Денежного Обращения отмечает слабые места в средствах управления информационной безопасностью в банках. Патч-менеджмент – внесение изменений и обновлений, когда в программном обеспечении определены уязвимости, и управление доступами являются зонами особого контроля, поскольку могут служить «входными воротами», через которые вредоносные коды могут проникнуть через внешние периметры банка.

Некоторые утверждают, что ожидания регуляторов чрезмерны, когда дело доходит до кибератак. Американские регуляторы заявляют, что финансовые учреждения должны быть способны к двухчасовому возвращению к операциям – это требование эксперты оспаривают, как невыполнимое и потенциально опасное.

2. Компрометация данных

Кибер-воровство, несанкционированный доступ, случайное раскрытие и халатность сотрудников – есть множество путей, которыми огромное количество персональных данных, хранящихся в банках и финансовых организациях, могут попасть в плохие руки. Неудивительно, что более половины риск профессионалов, давших интервью для этого рейтинга, присудили компрометации данных первое место среди операционных угроз для их организаций на год вперед.

Самой известной кибер-атакой 2017 года стала утечка данных из бюро кредитных историй Equifax, которая поставила под угрозу личную информацию, включая имена, номера социального страхования, номера водительских прав, номера кредитных карт и личные документы, коснувшись приблизительно 145 миллионов человек.

Equifax подвергся критике за то, что публично не признал наличие утечки до сентября 2017. Сокрытие информации о кибер-атаках – проблема отраслевого масштаба, признают риск-менеджеры. С мая 2018 Банковская Федерация Европейского Союза ставит цель заняться таким занижением сведений, требуя, чтобы фирмы сообщали их соответствующему регулятору о любых утечках данных в течение 72 часов. Отказ может привести к беспрецедентным штрафам – до 4% их общего товарооборота в случае серьезной утечки данных.

Эксперты операционных рисков в крупных банках описывают работу по обеспечению соответствия режиму во всех своих глобальных компаниях перед тем, как начать работу, как «кипятить океан». Многие искренно признают, что работа по обновлению контрактов и прав на обработку персональных данных не будет завершена к маю – и что они будут полагаться на воздержанность регулятора в известной степени.

Регуляторы сами обеспечивают заманчивые цели охотникам за персональными данными из-за объемов непубличной информации, которую они накапливают в компаниях. В сентябре 2017 Комиссия по ценным бумагам и биржам США показала, что инцидент, ранее обнаруженный в 2016, возможно, обеспечил базу для незаконного обогащения посредством торговли.

Что касается количественной оценки потерь от утечки данных, то банки уже давно выражают потребность в более совершенных инструментах для проведения этих расчетов. За все время и ресурсы, вложенные в модели для оценки потенциальных потерь от рыночных и кредитных рисков, многие фирмы не могут измерить подверженность утечкам данных с такой же степенью точности, что отчасти зависит от нелинейных отношений гарантии банка и его вероятность понести убытки.

3. Соблюдение требований регулирующих органов

Пример постоянно изменяющейся природы регуляторного надзора и угроз, которые эта непредсказуемость представляет для фирм – Федеральная резервная система США. Ее февральский приказ о прекращении деятельности Wells Fargo остановил развитие банка до тех пор, пока тот не скорректирует свои методы управления рисками, и это является последним отрезвляющим примером для банков.

Это исключительное действие стоило Wells Fargo снижения оценки прибыли за год максимум на $400 миллионов и поместило риск менеджеров во всем мире в состояние повышенной боевой готовности. Стандартная модель в посткризисную эпоху предусматривает, что власти назначают штрафы за случаи проступков. Риск-менеджеры полагают, что теперь контрольные комиссии будут использовать целый ряд инструментов для обеспечения своей воли, как это делало ФРС, или будут в большей степени опираться на периодические качественные обзоры своих обвинений в качестве средства практического применения «мягкого» принуждения.

В некоторых случаях размер штрафов уменьшается. Решение Базельского комитета об отказе от моделирования рисков операционного процесса в пользу более простого стандартизированного подхода к оценке в декабре прошлого года приходит с еще большим преимуществом – позволяет национальным компетентным органам исключать историю убытков из расчета операционного капитала банков и позволяет банкам самим ходатайствовать перед своими регуляторами об устранении определенных потерь операционного риска, которые, по их мнению, им не грозит повторить.

Одним из инструментов, имеющихся в распоряжении надзорных органов, является возможность корректировать капитал учреждения; и управляющий Банка Англии Марк Карни предположил, что британские власти могут поступить именно так, если банки продемонстрируют неудачи в проведении контроля рисков.

Другие новые правила требуют от контролируемых организаций сообщать регулирующим органам большие объемы сложных данных или передавать их в открытый доступ. Mifid II, Общее регулирование защиты данных Европейского союза и Комплексный анализ и анализ капитала ФРС – три области, которые, по словам главы глобального операционного риска, сопряжены с рисками регулирующей отчетности.

4. Воровство и мошенничество

Контакт с воровством и мошенничеством – неотъемлемая часть работы риск менеджера. Но теперь, с ростом преступлений в цифровой сфере, физические грабежи вызывают у банков меньшее беспокойство.

Превосходят ли реализованные потери от кибер мошенничества старомодные способы в масштабах всей отрасли – другой вопрос. Наибольшие потери от мошенничества в прошлом году были более традиционными. Agricultural Bank of China, например, столкнулся с убытками в размере $497 миллионов, будучи обманутым сотрудниками миллиардера Го Вэньгуя – десятый по величине потерь инцидент в 2017. В другом случае восемь индийских банков потеряли $770 миллионов в кейсе о мошенничестве с участием Виджая Маллья, основателя Авиакомпаний Kingfisher, это седьмой по величине потерь зарегистрированный инцидент в прошлом году.

Все же страх катастрофических потерь от кибер-воровства или мошенничества среди банков остается ощутимым – вероятно, в основном из-за количества ежедневных атак на их защиты. Организации любого масштаба должны быть готовы к любым видам угроз – от почтовых фишинговых рассылок до сложных попыток ввести вредоносное программное обеспечение в сети. Возможные потери от таких инцидентов могли колебаться от пенсов до миллиардов долларов.

В сентябре, например, шведские банки подверглись концентрированной фишинговой атаке: хакеры использовали вредоносное программное обеспечение, чтобы получить доступ к сетям банков, позволяя им перенаправить платежные поручения и выкачать фонды. По данным шведской полиции, три банка сталкиваются с совокупными возможными потерями в $312 миллионов.

Есть также свидетельства, указывающие на нелинейную взаимосвязь между силой контроля банка и вероятностью его кибератаки, отмечают специалисты по операционным рискам; для потенциальных кибер-воров важнее всего то, что банк воспринимает слабость как цель. В качестве неподтвержденного доказательства этого указывается концентрация кибер-мошенничества, совершаемого в платежных сетях, нацеленных на банки развивающихся рынков.

5. Аутсорсинг

Аутсорсинг остается главным операционным риском для специалистов-практиков в этом году. Неудивительно, учитывая растущую зависимость банков от огромных сетей поставщиков для всего, от онлайн-управления платформой до дополнительной емкости сети.

Однако мнения риск менеджеров разделились в отношении того, где риск аутсорсинга находится в рамках их политики. Многие по-прежнему рассматривают их как отдельный риск, но некоторые видят его через призму двух основных категорий риска, которым из него вытекают: компрометация данных или нарушение собственной ИТ-среды.

Адвокаты предупреждают, что из-за плохого управления третьей стороной банки и фирмы, предоставляющие финансовые услуги, подвергаются риску дорогостоящих штрафов за значительные нарушения данных, особенно после принятия Общего регламента ЕС о защите данных, который вступает в силу в мае. Учитывая размер потенциальных штрафов в случае значительных утечек данных – до 4% мирового товарооборота фирмы – правовые споры по поводу виновности могут возрасти.

Помимо проблем, связанных с утечкой данных в результате взлома или внедрения вредоносного ПО, сохранение повседневной непрерывности процессов в бизнесе также является одним из главных приоритетов. Менеджеры по рискам говорят, что им трудно договориться о соответствующих пунктах управления рисками в стандартных контрактах с крупными поставщиками.

Принятие банками облачных вычислений для сокращения расходов на оборудование и увеличения емкости подтолкнуло регуляторов к действиям. Европейское банковское управление выпустило в декабре окончательное руководство по использованию поставщиков облачных услуг финансовыми учреждениями. Данное руководство делает прозрачными ожидания регулирующих органов для компаний, предоставляющих услуги аутсорсинга облачным провайдерам, в таких ключевых областях, как права доступа и аудита, планы действий в чрезвычайных ситуациях и стратегии выхода.

6. Мисселинг

В последнее десятилетие постоянной проблемой для управляющих операционными рисками была неправильная продажа финансовых продуктов (мисселинг) — от скромных жилищных ипотечных кредитов до секьюритизаций, заполненных тысячами из них.

Пессимизм риск-менеджеров обоснован. Как показывает массив компенсационных выплат в 2017 году, неправильная продажа – это урожай, который созревает годами. Возьмите дело, возбужденное Федеральным агентством по жилищному финансированию США против RBS, за неправильную продажу ценных бумаг с ипотечным покрытием. RBS стал одним из последних банков, которые в июле рассчитались с властями США на 5,5 млрд долларов. Несколькими месяцами ранее банк выплатил долю в 165 миллионов долларов США недовольным инвесторам в результате некорректной секьюритизации ипотеки, которую он подписал в 2006–2007 годах, наряду с Deutsche Bank и Wells Fargo.

Также как растущее использование программного обеспечения для автоматической алгоритмической торговли привело к опасениям относительно новых форм несанкционированной торговли, рост автоматизированных систем консультирования клиентов, известных как «робо-советники», принудил по крайней мере один регулятор – американскую Комиссию по ценным бумагам и биржам – изложить руководящие принципы о том, как эти алгоритмы могут избежать введения в заблуждение клиентов, и как человеческие контролеры должны быть привлечены к ответственности.

Регуляторы все чаще возлагают ответственность на руководство банка, чтобы изменить культуру продаж и искоренить отдельные элементы. В Великобритании FCA отложил расследование по банковской культуре в конце 2015 года, вместо этого поверив в Режим Старших Менеджеров, который налагает новые и четкие линии ответственности на менеджеров на всех уровнях в крупных финансовых учреждениях.

7. Риск подбора и удержания талантов

Риск подбора и удержания талантов входит в ТОП10 рисков впервые в этом году, что является нежелательным признаком борьбы финансовой индустрии за привлечение, обучение и удержание лучших и самых ярких на фоне конкуренции со стороны других секторов, таких как технологии.

Это не только работа в офисе: за последние 18 месяцев банки неоднократно предупреждали, что они пытаются привлечь и удержать достаточно опытных риск-менеджеров в различных сферах, таких как регулирующая отчетность и валидация моделей. Это имеет реальные последствия для качества управления операционными рисками, предупреждают они: более одного банка, с которым Risk.net общались по рейтингу топ-10 в этом году, отмечают увеличение количества ошибок в отчетности из-за человеческих ошибок, когда менее опытный персонал был утвержден на позицию с высоким уровнем стресса; другие указывают на перерасход проекта из-за нехватки персонала.

На уровне набора выпускников старшие менеджеры по рискам уже давно предупреждают, что отрасль изо всех сил пытается привлечь самых ярких и лучших выпускников финансовых ВУЗов в условиях растущей конкуренции со стороны технологических компаний. Раньше выпускники, работающие в банке в функции управления рисками, могли бы сломать себе зубы в более ориентированной на фронт-офис роли, такой как ценообразование деривативов. Но такие рабочие места труднее найти в эти дни, когда многие банки отказались от торговли экзотическими деривативами, а американским банкам на данный момент запрещено торговать частными компаниями по правилу Волкера.

Теперь можно ожидать, что выпускники войдут в банк в качестве менеджеров модельного риска – хорошо оплачиваемая работа, но не та, у которой престиж или автономия работы в качестве специалиста биржевого анализа в докризисную эпоху, и более трудная по сравнению со сравнительно крутым фактором работы в технической фирме. Те, кто поступают в банки непосредственно в качестве специалистов, также будут менее опытными, что приведет к тому, что они будут выбиты из строя на уровне среднего звена, предупреждают старшие сотрудники.

8. Организационное изменение

Почти каждый респондент отвечал на вопрос по-разному, что его больше всего беспокоило в организационных изменениях. Для некоторых это давление, чтобы идти в ногу с технологическими изменениями, с неопределенным обещанием, что через несколько лет инвестиции окупятся и позволят им увеличить доходы или сократить расходы; для других это абсолютный риск того, что такие изменения приведут к их полной замене.

Некоторые специалисты по операционным рискам указывают на мгновенные проблемы, которые технологические изменения могут принести организациям, применяющим новые способы ведения бизнеса, но не имеющим контрольной среды, готовой справиться с ними.

Другие могут увидеть свое будущее под угрозой из-за изменений в законодательстве. Голосовые брокеры жалуются, что подталкивание Mifid II к увеличению финансовых инструментов для электронной торговли может лишить их роли в организации транзакций; законодательство также повлияло на банковский персонал, занимающийся исследованиями, и Mifid вынуждает дилеров разделять косвенные расходы на исследования, связанные с проведением торговых операций и другими услугами.

Геополитический риск – отсутствующий в обзоре этого года как отдельная категория – также может вызвать изменения в фирмах, просто из-за физических потрясений. Неевропейские банки, которые в настоящее время используют Лондон в качестве своей базы для доступа к единому рынку, будут вынуждены создавать новые структуры в рамках ЕС, чтобы выполнять некоторые функции, которые зависят от такого доступа. Политическое давление для репатриации рабочих мест также будет фактором.

Политические и нормативные мандаты не являются единственным источником таких изменений: банки продолжают накапливать страдания своих собственных сотрудников посредством внутренней реструктуризации и сокращения расходов, что, как предупреждают старшие практики, может оказать ощутимое влияние на качество управления операционными рисками.

9. Несанкционированная коммерческая деятельность

Определение неавторизованной торговли продолжало развиваться в соответствии с изменяющейся структурой рынка. По словам респондентов, алгоритмы мошенничества в настоящее время считаются эквивалентным, если не большим, источником потенциальных потерь, чем трейдеры-мошенники, целенаправленно совершающие обход средств контроля или ошибки «толстых пальцев».

Как и все значительные убытки от операционного риска, влияние на капитал банка в результате несанкционированного торгового инцидента сохраняется еще долго после первоначального нарушения. И банки могут найти споры по поводу своих потерь, продолжающихся в течение многих лет после события: Societe Generale в настоящее время борется с французским правительством за списание налогов в размере 2,2 миллиарда евро (2,73 миллиарда долларов), которое оно понесло в связи с убытками, нанесенными мошенническим трейдером Джеромом Кервьелем в 2008 году.

В Великобритании Режим старших менеджеров обязывает лиц, наделенных полномочиями, четко участвовать в разработке, тестировании и контроле каждого торгового алгоритма. В нем также подчеркивается, что алгоритмы должны быть повторно проверены перед развертыванием на другом рынке, а также запрашивается документация о различиях между тестированием и реальной средой – обе эти меры направлены на риски, связанные с развертыванием алгоритмов в незнакомых условиях торговли.

Есть обнадеживающие признаки того, что банки и регулирующие органы становятся умнее, когда дело доходит до баланса стимулов кнута и пряника к поощрению хорошего поведения среди трейдеров. В США Citi в значительной степени пересмотрел свою недавнюю систему премиальных выплат, призванную изменить культуру банка, явно связав компенсацию с этическим поведением, а также с конечной эффективностью.

Тем не менее, некоторые опасения, что недавнее использование регуляторами структуры операционного риска может иметь пагубные последствия в этом отношении. Стандартизированный подход к оценке устраняет свободу банков учитывать то влияние, которое изменения внутреннего контроля могут оказать на предотвращение будущих нарушений в процессе расчета капитала – тактику, которую многие банки смогли успешно использовать для снижения требований в рамках подхода собственных моделей. Практики утверждают, что это может в первую очередь устранить стимул для улучшения контроля, создав новый источник операционного риска.

10. Риск моделей

Модельный риск вновь входит в Топ-10 в этом году, впервые с 2015 года, что отражает растущее бремя регулирования, налагаемое на группы по моделированию и валидации банков в ряде ключевых юрисдикций. Это также намекает на потенциальную цену ошибок, если банки допустят ошибку.

В этом году Европейский центральный банк развернул этап проверки своего целевого обзора внутренних моделей (Trim), в то время как Федеральный резерв США включил модель управления рисками в качественную часть своей ежегодной программы стресс-тестирования для крупнейших банков США. Банк Англии также обновил свои модельные принципы управления для предприятий Великобритании в марте, в то время как канадские контрольные комиссии последовали его примеру осенью.

По иронии судьбы, предполагаемый рост модельного риска среди банков наступает в то время, когда свобода банков использовать внутренние модели для расчета регулятивного капитала будет строго ограничена в рамках Базеля III, который частично сводит результаты модели к показателям капитала, достигнутым с использованием стандартизированного подхода – или полностью исключен в случае расчетов по Компоненту 1 для операционного риска.

Банки ясно дали понять, что намереваются сохранить части своего аппарата для моделирования операционных рисков, чтобы рассчитать требования для второго уровня — хорошие новости для специалистов по модели рисков и специалистов по проверке моделей, которые в противном случае могли бы оказаться без работы.

Советуем почитать