/img/star (2).png.webp)
/img/news (2).png.webp)
/img/event.png.webp)
Время прочтения: 26 мин.
1
Введение
Множественные изменения в банковской сфере за последние десятилетия, а также серия банковских крахов и скандалов подчеркнули актуальность операционного риска и привлекли внимание органов банковского надзора, практиков и ученых. Появление операционного риска может быть связано с растущими размерами финансовых учреждений и их возрастающей организационной сложностью, с появлением новых продуктов и бизнес-направлений; с технологическими изменениями и развитием электронной коммерции и электронного банкинга; с более интенсивной конкуренцией и глобализацией финансового рынка. Наконец, что не менее важно, недавний международный финансовый кризис, безусловно, представляет собой еще один источник операционного риска: его появление свидетельствовало о недостатках в организации, например, таких как отсутствовавшие меры внутренниго контроля, которые должны были предотвращать сбои в кредитовании и секьюритизации. Кредитные менеджеры не смогли определить хороших заемщиков, отклонив их заявки на кредитование. В то же время кредитные менеджеры не смогли обнаружить заемщиков, стремящихся к банкротству, и одобрили их кредитные заявки. Такие случайные просчеты в конечном итоге превратились в финансовые потери для банков. Дополнительно, секьюритизация способствовала передаче операционного риска от одного банка к другому, создавая эффект домино и системный риск. Следовательно, финансовый кризис еще раз подтвердил важность наличия у банков эффективного управления операционными рисками, которое могло бы обеспечить финансовую стабильность как на индивидуальном, так и на системном уровнях.
Необходимость усиления контроля над операционными рисками подчеркивается инициативой Базельского комитета по банковскому надзору, реализованной в период с 2001 по 2006 год (Базель 2), и нацеленной на включение операционного риска в рамки международного регулирования. Такие инициативы сыграли ключевую роль в определении универсального понятия операционного риска: до того операционный риск включал любой риск, который не попадал в категорию рыночного или кредитного риска, объединяя различные остаточные и разнородные риски. Положения Basel 2 определяют операционный риск как риск возникновения потерь в результате недостатков во внутренних процессах, ошибок сотрудников или систем, или воздействия внешних событий. Это определение включает правовой риск, но исключает стратегический и репутационный риски.
Те же источники операционного риска определены в действующем пруденциальном[1] регулировании Европейского Союза («Регулирование требований к капиталу» — CRR-575/2013 и «Директива о требованиях к капиталу» — CRD-36/2013). Следовательно, оба положения (Базель 3 и законодательство ЕС) очерчивают четкое определение операционного риска, которое неизбежно включает в себя строгий анализ процессов, систем, людей и внешних событий, которые представляют собой возможные источники операционных потерь.
По сравнению с другими типами рисков операционный риск имеет некоторые отличительные особенности. Прежде всего, это, как правило, односторонний риск; он не коррелирует с ожидаемой доходностью; он встречается во всей банковской деятельности; его нелегко передать и / или хеджировать, и он не связан с размером банка и / или объемом его деятельности. Более того, хотя некоторые убытки явно являются результатом операционного риска, для других убытков менее ясно, следует ли их классифицировать как операционный риск или же другие категории риска, что поднимает проблему граничных операционных потерь.
Соответственно, пруденциальное регулирование описывает некоторые детали предупреждения риска, переоценки, двойного учета или ненадлежащего снижения требований к капиталу на покрытие риска.
Установление границы между операционным риском и другими видами рисков (кредитные и рыночные риски) определяются отраслью как фундаментальный вопрос для последовательного сбора и моделирования данных о потерях по операционным рискам. Аналогично, определение границ операционного риска, которые отличают его от других видов риска, таких как стратегические риски, репутационные риски и комплаенс риски, помогают избежать дублирования в управлении рисками, вызванного схожестью типов рисков.
При этом сложность и масштаб определения операционного риска представляет собой критически важный вопрос и постоянно является объектом интереса для финансового сообщества, при этом большое внимание уделяется также расчету требований к капиталу от операционного риска. В частности, действующая нормативно-правовая база (Базель 3 и UR CRR 285/2013) предоставляет несколько методов для расчета собственного капитала на покрытие операционных рисков и обеспечивает соответствие степени точности подхода и уровня подверженности риска, в целях ограничения бремени регулирования для небольших банков и официального признания на надзорном уровне улучшений, принятых банками в практике управления операционными рисками. С этой целью предлагаются альтернативные подходы для расчета требований к капиталу от операционного риска, каждый из которых включает различные уровни чувствительности к риску и имеют разные уровни сложности: базовый индикаторный подход, стандартизированный подход (и альтернативный стандартизированный подход) и усовершенствованный подход.
В постоянно меняющемся контексте выполнение стандартов операционного риска все еще контролируется надзорным органом. В частности, Базельский комитет недавно дал исчерпывающее руководство относительно качественных требований, которые должны соблюдаться для достижения более строгого и всестороннего управления операционными рисками. Базельский комитет также предложил пересмотреть структуру капитала операционного риска. Чтобы устранить ряд недостатков существующей структуры и в то же время обеспечить баланс простоты, сопоставимости и чувствительности к риску, предложение направлено на пересмотр текущей методологии, стандартного методологического подхода, который должен заменить как текущий стандартизированный подход к расчету капитала на покрытие операционного риска, так и продвинутый подход, что значительно упрощает нормативно-правовую базу.
В этом развивающемся сценарии, организационные вопросы, вопросы смягчения последствий и вопросы измерения становятся все более важными как на регуляторном так и на исполнительном уровне. Поэтому банкам необходимо разработать, внедрить и поддерживать надежную систему управления операционными рисками. Следовательно, для этого необходимо, чтобы банки внедрили и развили сильную культуру управления операционными рисками во всей организации. Кроме того, внедрение надежного управления операционными рисками влечет за собой необходимость углубленного анализа множества бизнес-процессов и подпроцессов, фаз и действий. Такая необходимость отражает взаимозависимость между подверженностью операционному риску и структурой руководства и организации банка, которая наблюдалась в нескольких случаях финансовых крахов, когда потери, в основном связанные с внутренним мошенничеством, были конкретно связаны с надзором и операционными сбоями со стороны совета директоров и высшего руководства. С другой стороны, упор на организацию возникает в ответ на необходимость объединения измерительных систем с эффективным и адекватным контролем подразделений для управления операционным риском.
Для достижения комплексного подхода к операционному риску, Банки также должны иметь соответствующие стратегии смягчения последствий и передачи рисков. В отношении этого аспекта важно, чтобы банки понимали, в какой степени инструменты снижения рисков (например, страховые полисы) действительно уменьшают подверженность операционному риску, передают риск в другой сектор финансовой системы или создают новые риски. Регуляторные органы признают передачу риска или страхование в качестве инструмента смягчения последствий только для продвинутого подхода, и применимость таких инструментов – предмет особых требований. Такая возможность подчеркнула, в частности, стратегическую важность управления страховым портфелем в банках. Развитие использования страхования в рамках управления операционным риском может фактически способствовать снижению начисления капитала на покрытие рисков и экономического воздействия, связанному с операционными потерями. С другой стороны, существует ряд проблем, таких как сложность измерения степени смягчающего воздействия страхования и необходимость эффективного сопоставления страховых продуктов с операционными потерями (картирование страхования).
Наконец, надежная структура операционного риска зависит от адекватности, полноты и точности данных, используемых для построения модели измерения. Степень гибкости, которой обладали банки в моделировании операционных рисков, способствовала развитию разнообразных методов в течение многих лет. В настоящее время они могут быть связаны с двумя категориями, а именно: метод вероятностного распределения потерь и сценарный анализ. Первый происходит из актуарной науки[2] — это довольно распространенная практика, но все же имеет некоторые методологические ограничения. Одним из них, например, является тезис, что прошлое — надежно представляет будущее, который может привести как к невозможности спрогнозировать события, которые никогда не происходили ранее, так и к завышенному прогнозированию событий, которые очень часто происходили в прошлом и к которым приняты меры по минимизации. Чтобы преодолеть методологические ограничения метода вероятностного распределения потерь (Loss Distribution Approach — LDA), лучшие практики, как правило, объединяют этот подход с подходом, основанным на сценарном анализе (Scenario-based approach — SBA), который суммирует знания экспертов, демонстрирующих глубокое понимание бизнеса банка, угроз и уязвимостей, которые делают расчет операционного риска более чувствительным к существующим бизнес-процессам и обеспечивают, учет банком своих ключевых операционных рисков. Таким образом, качественные и количественные подходы объединяются для построения распределений потерь для индивидуальной и общей подверженности операционному риску, включая мнение экспертов о корреляциях и зависимостях риска.
Большая сложность, связанная с проактивным управлением операционным риском, может стать препятствием для его реализации небольшими банками. Нет сомнений в том, что в случае небольших финансовых учреждений операционный риск играет второстепенную роль по сравнению с другими рисками, более тесно связанными с типичной банковской деятельностью (например, кредитным риском). Это может быть главным образом связано с низкой степенью диверсификации деятельности, осуществляемой более мелкими банками, что снижает подверженность операционному риску и, следовательно, необходимость использования человеческих, финансовых и технологических ресурсов в сложных системах управления операционным риском. Тем не менее, важно изучить, как небольшие банки управляют собственной подверженностью операционному риску, чтобы понять наиболее важные пробелы и недостатки и, следовательно, определить возможности улучшения для создания единого поля регулирования.
Хотя существуют различия в управлении операционным риском, зависящие от размера банка, можно отметить, что управление операционным риском все ещё находится на стадии разработки и требует большей осознанности и осведомленности в целях проактивного менеджмента. Это может поддерживаться требованиями о раскрытии информации (Компонент 3 Базель). Действующая нормативно-правовая база требует, чтобы банки предоставляли точное и всестороннее раскрытие своего профиля операционного риска; в том числе подходы к оценке капитала на покрытие риска.
Настоящая книга состоит из восьми глав. В второй главе «Операционный риск: общая структура» описываются особенности операционного риска, а также его происхождение и основные источники. В ней также обращается особое внимание на сходство и отличие операционного риска от других видов рисков — кредитных, рыночных, стратегических, репутационных рисками и комплаенс-рисков.
В третьей главе «Нормативно-правовая база» анализируются основные характеристики всех подходов для расчета капитала на покрытие операционного риска, выделяются критические вопросы каждого подхода. Наконец, в ней дано краткое описание самых последних инициатив Базельского комитета; уделено внимание новому стандартизированному подходу к оценке операционного риска, предложенному комитетом в качестве составной части более широкой задачи по обеспечению баланса между простотой, сопоставимостью и чувствительностью к риску.
В четвертой главе «Управление операционным риском: организационные и управленческие вопросы» рассматриваются вопросы, связанные с измерением и контролем операционного риска, с акцентом на задействованный ключевой функционал, на взаимосвязи между функцией управления операционным риском и другими функциями (внутренний аудит и комплаенс), а также о роли отчетности и ИТ.
Пятая глава «Снижение операционного риска: стратегии и инструменты» описывает нормативно-правовую базу методов снижения операционного риска (уделяя особое внимание страхованию), главные вопросы их использования в качестве средств снижения операционного риска, с акцентом на наиболее значимое воздействие на управление банковским операционным риском. Наконец, в ней рассматриваются наиболее распространенные инструменты, доступные банкам, как традиционные, так и инновационные.
Шестая глава «Моделирование операционного риска: фокус на методе вероятностного распределения потерь и сценарном анализе», направлена на анализ особенностей обеих методологий, выделение сильных и слабых сторон каждой из них. Поскольку невозможно определить, какой подход является лучшим в абсолютном выражении, предпочтительно их комбинированное использование.
В седьмой главе «Операционный риск: данные итальянских кооперативных банков» сообщается о результатах исследования на примере кооперативных банков Италии[3]. Исследование освещает разные области: организационные аспекты, методы измерения, Второй компонент соглашения[4], страховое покрытие, и торговые ассоциации / аутсорсинг.
Восьмая
(и последняя) глава «Раскрытие информации об операционном риске: выборка данных
итальянских банков» иллюстрирует степень раскрытия информации об управлении
операционным риском. В частности, в ней сообщается о результатах исследования
выборки итальянских банков, сфокусированного на следующих областях: общие
аспекты, организационная структура, системы измерения, системы контроля,
минимизации и передачи риска, расчет капитала на
покрытие риска.
2
Операционный риск: общая структура.
2.1. Введение.
С 90-х годов 20 века ряд факторов (например, растущий размер банков, значимые технологические изменения, развитие электронной коммерции и электронного банкинга, аутсорсинг производственных процессов) заставил пересмотреть инструменты управления операционными рисками и задуматься о введении особых нормативных требований. Дальнейшее внимание к операционным рискам было вызвано осознанием катастрофического характера последствий операционного риска, ставящих под угрозу даже функционирование финансового посредника.
В этой главе мы сосредоточимся на специфике операционного риска, а также на его происхождении и основных источниках риска. Особое внимание также уделяется сходству и отличию от других видов рисков; кредитного, рыночного, стратегического, репутационного и комплаенс.
2.2 Определение и классификация операционного риска
В последние годы надзорные органы признали операционный риск (ОР) как феномен, пронизывающий всю банковскую индустрию. В течение многих лет существование многих операционных рисков часто становилось очевидным только после значительных потерь в ходе многих банковских кризисов и часто принимало вид другого типа риска (например, кредитного или рыночного), который впоследствии был некорректно аллоцирован[5], недооценен или не устранен вообще.
Несмотря на то, что операционный риск — неотъемлемая часть банковских операций, определение этого явления было размыто стандартными подходами, и формальное определение операционному риску было дано только недавно. Начиная с 90-х годов, ряд факторов побудил пересмотреть инструменты управления операционным риском и ввести особые нормативные требования. Эти факторы хорошо известны (Ellis et al. 2012), и среди них наиболее важными являются следующие:
• увеличивающийся размер банков, сопровождаемый усложнением организации бизнеса, появлением новых бизнес-моделей (например, инвестиционных услуг, многоканальных продаж), и, при наличии операций слияния и поглощения (M & A), искажениями при интеграции операционных и информационных систем сливающихся компаний;
• крупные технологические инвестиции банков, в которых скрыты разные виды ОР (ошибки персонала и сбои систем);
• развитие электронной коммерции и электронного банкинга, подверженных внешнему мошенничеству и киберпреступности;
• аутсорсинг производственных процессов, ведущий к размытию ответственности;
• широкое использование кредитных инструментов и инструментов снижения рыночного риска, таких как деривативы и секьюритизация, с нарастанием объема операционных рисков (Carosio 2001). Ипотечный кризис США послужил доказательством: анализ 86 случаев, зарегистрированных в базе данных FIRST[6], показал, что первопричинами многих событий кризиса, являются ненадлежащий контроль и поведение руководства, а также дисфункции в системах оплаты труда (Cagan 2008).
Дальнейшее внимание к операционным рискам вызвано осознанием катастрофической природы операционных рисков, которая в конечном итоге ставит под угрозу само функционирование финансового посредника. Действительно, в последние десятилетия потери от операционного риска приводили к драматическим последствиям, в некоторых случаях даже к краху организаций (Fontnouvelle et al. 2003; Aparicio and Keskiner 2004; Rachev et al. 2006). За этот же период в финансовых учреждениях реализовано более 100 случаев операционных убытков, каждый из которых превысил 100 миллионов долларов (Fontnouvelle et al. 2003). История сенсационных финансовых неудач обнажила ряд проблем: преступное поведение сотрудников, неправильные методы ведения бизнеса, сбои в системах внутреннего контроля, отсутствие прозрачности в предоставлении инвестиционных услуг, искаженные системы вознаграждений, недостоверная отчетность. Эти факторы подчеркивают необходимость усиления контроля над операционными рисками, особенно в финансовой сфере, а также необходимость использования контрольных индикаторов для мониторинга подверженности риску. Некоторые авторы предположили полезность сбора этих показателей (в том числе количества ежедневных переговоров каждого трейдера и доли вознаграждения, основанной на бонусных механизмах) для распределения капитала на покрытие операционного риска и принятия решений по ценообразованию в финансовых учреждениях (Sundmacher and Ford 2004 ).
Один показательный случай операционного риска произошел в 1995 году, когда несанкционированные действия трейдера Николаса Лисона привели к убыткам в размере 1,3 миллиарда долларов и повлекли крах Barings Bank (личный банк королевы Елизаветы). Осуществляя с 1992 года на секретном счете под номером 88888 неавторизованные операции с деривативами, Николас Лисон — «Агрессивный трейдер» (из названия его автобиографии см. Leeson 1997) — начал играть на стабильности азиатского рынка 16 января 1995 года. На следующий день в Азии произошло сильное землетрясение, вызвавшее обвал рынка, что вынудило Лисона предпринять все более рискованные усилия по спасению ситуации, которые привели к резкому росту убытков.
Всего через несколько лет после этого события «урок» от Barings Bank был полностью забыт: в феврале 2002 года безрассудные операции на валютном рынке Джона Руснак, сотрудника Allfirst (дочерняя компания Allied Irish Bank в США), подделавшего контракты на хеджирование, чтобы скрыть убытки, привели к утрате 691 миллиона долларов, что еще раз доказывает угрозу исходящую из мошеннической торговли.
В январе 2008 года несанкционированная деятельность трейдера Жерома Кервьель послужила причиной потерь банка Societe Generale в сумме 7,1 млрд. долларов. Убытки Кервьеля возникли из-за ставок на «ванильные» продукты[7], относительно простые фьючерсы, привязанные к основным европейским фондовым индексам. В том же году трейдер Эван Брент Дули из MF Global провел несанкционированные фьючерсные сделки, в результате чего убыток составил 141 миллион долларов.
Очевидно, что у индустрии финансовых услуг короткая память. Действительно, в 2011 году, вскоре после скандала с Societe Generale, UBS сообщил о похожем сценарии. Другой трейдер, Квеку Адоболи, скрылся с радара управления рисками, потеряв 2,3 миллиарда долларов в ходе мошеннических операций с биржевыми фондами. Квеку Адоболи создал секретную учетную запись под кодовым именем «Зонтик», чтобы скрыть взрывной рост убытков, когда всё более крупные сделки пошли плохо. Он также фальсифицировал сделки, чтобы компенсировать риск, который он создал (Poster and Southworth 2012).
Многие другие торговые скандалы связывались с известными финансовыми институтами даже до краха банка Barings вследствие серьезных ошибок в управлении операционным риском. Среди них наиболее заслуживают упоминания следующие:
• мошенничество с ценными бумагами Майкла Милкена, известного как «король мусорных облигаций», привело к банкротству фирмы Drexel Burnham Lambert, которая была оштрафована на 650 миллионов долларов (ноябрь 1989 года);
• убыток Daiwa Bank в размере 1,1 млрд. долл. США произошел в результате несанкционированной торговли облигациями одного из его американских менеджеров, Тошихиде Игути (сентябрь 1995 года);
• несанкционированная торговля Ясуо Хамакана, члена команды, контролировавшей 5% мирового рынка меди (и по этой причине прозванного «Мистер 5%»), принёсшая Японской торговой компании Sumitomo 2,6 млрд. долларов убытков(июнь 1996 г.);
• в компании Griffin Trading (уже не существует), Скотт Сач, финансовый директор компании, вывел более 5,6 миллиардов долларов с одного из счетов компании в банке на свой брокерский счет за 18 месяцев до продажи компании (январь 2001 года);
• 277 миллионов долларов потерь Национального банка Австралии, причиной которых послужили несанкционированные валютные опционы от имени двух трейдеров: Винса Фикарры и Дэвида Буллена (январь 2004 г.).
Трудность своевременного выявления таких нарушений требует упреждающего управления, основанного на применении современных базовых криминологических допущений, направленных на анализ причинно-следственных связей, лежащих в основе возникновения риска. Кроме того, история скандалов, связанных с мошеннической торговлей на бирже, показывает, что эффективное наблюдение за торговыми операциями не может быть достигнуто без постоянного регулярного диалога между риск-менеджерами, трейдерами и руководством: большинство неудач в торговле было связано с серьезными ошибками в контроле над операционным риском.
В заключение, среди банковских скандалов мы можем также назвать скандал с ставкой LIBOR, когда недобросовестные трейдеры и менеджеры из некоторых крупнейших банков мира (например, Barclays, UBS и Royal Bank of Scotland) преднамеренно и систематически манипулировали кредитными ставками[8]. Такое поведение — совсем не работа отдельных «мошенников» — стало обычным делом на международных денежных рынках (McConnell 2013). Брокеры, вовлеченные в скандалы, играли ключевую роль в противоправной деятельности, помогая банкам манипулировать ставкой (McConnell 2014).
С годами, после обнародования первых скандалов, операционный риск стал привлекать все больше внимания, становясь причиной обсуждений вокруг его включения в структуру требований к капиталу на покрытие риска (Locatelli 2004). В частности, был значительно раскритикован вопрос требований к капиталу на покрытие операционного риска. Учитывая, что банки обычно держат денежные фонды сверх требуемого капитала на покрытие будущих потерь, навязывание платы за капитал на покрытие операционного риска могло было быть контрпродуктивным, если бы это не сопровождалось растущим стимулом для банков, чтобы управлять и снижать операционный риск. Более того, в то время не было ясных доказательств того, что начисление капитала согласно Базель 2, могло бы стимулировать банки снижать их уровень подверженности операционному риску (Belhaj 2010).
Обсуждениe вопроса управления операционным риском ранее поднималось Базельским комитетом по банковскому надзору (BCBS) в 1998 г., в результате чего этот вид риска включили в международную нормативно-правовую базу, разработанную в период с 2001 по 2006 гг. Перед включением в «Базель 2» термин «операционный риск» страдал от недостаточно однозначного и общего определения, рассматриваемого (по сравнению с кредитным и рыночным рисками) как совокупность остаточных рисков, как «кластер» рисков, характеризующихся неоднородностью причин возникновения события, существенности убытков, вероятности возникновения и типа последствия (потери, упущенная прибыль, списание активов, штрафы надзорных органов и т.д.). Фактически в 1998 году BCBS открыто согласился, что универсальное определение операционного риска не существует: «В настоящее время не существует согласованного универсального определения операционного риска. Многие банки определили операционный риск как любой риск, не относящийся к рыночному или кредитному», в то время как в Базель 2 (BCBS 2004) и, первоначально, в документах Базельского комитета 2001 года (BCBS 2001a,b) можно найти «точное» определение выражения, которое описывает, что такое «ОР». Как указано в этих документах: «Операционный риск определяется как риск потерь в результате неадекватных или неэффективных внутренних процессов, действий людей и технических систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риск ».
Те же факторы, характерные для операционного риска, определены в Евросоюзе в Постановлении о требованиях к капиталу (CRR)[9] . Пункт 52 Статьи 4.1 Постановления — упомянутый в п. 48 статьи 3.1 Директивы о требованиях к капиталу (CRD)[10], определяет «операционный риск» как риск потерь в результате неадекватных или неэффективных внутренних процессов, действий людей и технических систем или внешних событий, и включает юридический риск. В отличие от Базельского Комитета (2004) здесь в рамки операционного риска входят стратегические и репутационные риски; однако, несмотря на различия в текстах, определение операционного риска в пределах Постановления/Директивы должно читаться в соответствии с определением Базельского соглашения: репутационные и стратегические риски должны быть исключены из сферы операционного риска (Committee of European Banking Supervisors 2010). Кроме того, определение в Постановлении/Директиве касается юридического риска, риска неадекватности моделей и риска финансовых операций для учреждений, использующих AMA (усовершенствованные подходы к оценке). Риск неадекватности моделей — это риск некорректного определения используемых для принятия решений моделей; ошибок в реализации этих моделей; их использования в несоответствующих модели целях; или ненадлежащего постоянного мониторинга их эффективности для проверки их пригодности для своих целей (EBA 2015 г., статья 5). Риск финансовых операций и юридический риск будут обсуждаться в разделах 2.3.2 и 2.3.5 книги соответственно.
Определение операционного риска с точки зрения причин включает в себя тщательный анализ процессов, систем, людей и внешних событий (Sironi 2003; Brighi 2003), которые являются причинами возрастания потерь от операционного риска. В частности, факторы, относящиеся к процессам, включают события, касающиеся риска транзакции (ошибки учета, ошибки записи и ошибки в документации), риска безопасности (нарушение информационной безопасности из-за плохой системы внутреннего контроля) и ошибки расчета ( ошибки в регулировании сделок с ценными бумагами и валютами с контрагентами-резидентами и нерезидентами). Дополнительные элементы включают недостаточную формализацию внутренних процедур и ошибки в определении и распределении ролей и ответственности.
Факторы, относящиеся к системам, включают сбои и ошибки в информационной системе, ошибки программирования, сбои и искажения в сетевой структуре и сбои в телекоммуникационных системах. Такой тип риска обычно вызван слияниями и поглощениями компаний и аутсорсингом деятельности по обработке данных.
Что касается факторов, связанных с персоналом (Capgemini 2013), мы, безусловно, можем включать сюда ошибки из-за некомпетентности /небрежности / отсутствия опыта, моббинг[11], мошенничество, сговор и других преступные действия нарушения законов, нормативных актов, кодексов поведения и этических стандартов.
Наконец, внешние события можно отнести к сбоям или преступной деятельности внешних субъектов (кражи, акты терроризма и вандализма), политическим и военным событиям и стихийным бедствиям (землетрясения, пожары, наводнения и т. д.).
Наряду с вышеупомянутыми определениями причин / факторов, CRR также обеспечивает классификацию событий с точки зрения последствий, что приводит к семи видам событий. В частности, эта классификация типов событий включает следующие категории (статья 324):
1. Внутреннее мошенничество: убытки в результате действий, направленных на обман, неправомерное использование собственности или нарушение правил, законодательства или политики компании, за исключением случаев «diversity»[12] / дискриминации, которые имеют хотя бы одну внутреннюю причину;
2. Внешнее мошенничество: потери в результате действий, направленных на обман, неправомерное использование собственности или обход закона третьим лицом;
3. Трудовое законодательство и безопасность труда: убытки, возникающие в результате действий, несовместимых с законами или соглашениями о трудоустройстве, охране здоровья или безопасности, а также с выплатой исков о возмещении вреда здоровью или с в связи со случаями «diversity»/ дискриминации;
4. Клиенты, продукты и бизнес-практика: убытки, возникающие из-за непреднамеренного или небрежного невыполнения профессионального обязательства перед конкретными клиентами (включая фидуциарные требования и требования пригодности), или из-за характера или дизайна продукта;
5. Ущерб материальным активам: убытки, возникающие в результате утраты или повреждения физических активов в результате стихийного бедствия или других событий;
6. Перерывы в работе и сбои систем: убытки, возникающие в результате сбоев в работе или сбоев системы;
7. Управление исполнением, доставкой и процессами: убытки от неудачной обработки транзакций или управления процессами, от отношений с торговыми контрагентами и поставщиками.
Примеры потерь от реализации операционного риска для каждой категории инцидентов приведены в таблице 2.1 (Прокопенко и Бондаренко 2012).
Таблица 2.1. Операционные потери: категории причин и примеры деятельности (Прокопенко и Бондаренко, 2012)
| Внутреннее мошенничество | Несанкционированная деятельность (о транзакциях преднамеренно не сообщается; тип транзакции не авторизован без денежных потерь), преднамеренное неправильное определение позиции.Кража и мошенничество (кредитное мошенничество / бесполезные депозиты; вымогательство / грабеж / растрата; незаконное присвоение / злонамеренное уничтожение активов; подделка документов, чеков, использование чужих учетных записей, несоблюдение надоговой дисциплины / уклонение от уплаты налогов; взятки / откаты при инсайдерской торговле — не за счет фирмы). |
| Внешнее мошенничество | Кража и мошенничество (кража, ограбление, подлог, подделка чеков) Информационная безопасность (взломы, кража данных) |
| Трудовое законодательство и безопасность труда (трудовые конфликты) | Отношения с работниками (компенсация, льготы, вопросы увольнения; организованная трудовая деятельность)Безопасная среда (общая ответственность; правила техники безопасности и охраны здоровья работников)Все виды дискриминации. |
| Клиенты, продукты и бизнес-практика | Фидуциарные нарушения / нарушения правил; раскрытие информации о юридических лицах (знайте своего клиента и знайте клиентов вашего клиента); нарушения раскрытия информации о розничных клиентах, нарушение конфиденциальности, агрессивные продажи; взлом аккаунта, злоупотребление конфиденциальной информацией) Ошибочные деловые / рыночные практики (антимонопольное законодательство; ненадлежащие торговые / рыночные практики) Недостатки продукта (дефекты продукта; ошибки модели) Отбор, финансирование и подверженность риску (неспособность исследовать клиента; превышение лимитов риска на клиента) Консультационные действия (споры об их эффективности) |
| Ущерб материальным активам | Бедствия и другие события (потери в результате стихийных бедствий; терроризм, вандализм) |
| Перерывы в бизнесе и сбои систем | Аппаратные средства; программное обеспечениеСбой в системах телекоммуникаций |
| Управление исполнением, доставкой и процессами | Ввод транзакций, исполнение и сопровождение (недопонимание, ошибка ввода / сопровождения/ загрузки данных; нарушение крайних сроков; сбой в работе модели / системы; ошибка в атрибутах счета/организации; неправильное выполнение другой задачи; сбой доставки; сбой управления обеспечением; поддержание справочника данных)Мониторинг и отчетность (непредоставление обязательной отчетности; ошибки во внешней отчетности)Прием клиентов и документации (утрата клиентских согласий/отказов; утрата юридической документации)Управление счетами клиентов (несанкционированный доступ к счетам; неверные записи поручений клиентов (понесенные убытки); потери из-за халатности сотрудника или повреждение клиентских активов)Торговые контрагенты (ненадлежащее исполнение договора контрагентом, не являющегося клиентом; споры с контрагентом, не являющимся клиентом)Продавцы и поставщики (аутсорсинг; споры с поставщиками) |
Частота и серьезность влияния ОР, их классификация по категориям привлекли большое внимание во множестве исследований. В частности, исследование, проведенное Институтом операционного риска, выделило семь основных операционных рисков за 2013 год (Институт операционного риска 2013):
1. Нормативные изменения: риск возникает в результате разделения Управления по финансовым услугам на различные организации (Комитет по финансовой политике, Управление по пруденциальному регулированию и Управление по финансовому поведению), событие, которое усилило проблемы и опасения многих специалистов по риску относительно точного периметра ответственности каждого из этих субъектов. Это, в свою очередь, может увеличить риски несоблюдения для контролируемых организаций.
2. Системный операционный риск: включает операционные события, затрагивающие большое количество учреждений. Примерами являются скандал со ставкой LIBOR, неверные продажи страховой защиты платежей и крупные ИТ-сбои.
3. Сложность внутренней модели: соответствующий риск в финансовом секторе, который все еще требует будущих усилий, чтобы объединить простоту и надежность в моделировании риска.
4. Несогласованное поощрение: управление вознаграждением персонала может иметь разрушительные последствия, если оно не соответствует требованиям риск-менеджмента.
5. Изменения: сдвиги в стратегиях, политике и руководстве могут отвлечь внимание от рисков, которые, следовательно, могут остаться незамеченными в шуме новизны.
6. Целостность информационных технологий и данных: значимость ИТ-безопасности и защиты данных за последние несколько лет возросла, особенно благодаря широкому использованию смартфонов и социальных сетей.
7. Давление затрат: финансовый кризис и связанные с ним экономические потрясения привели к сокращению персонала и систем. Эти сокращения, в свою очередь, перегружают сотрудников и системы, увеличивая тем самым факторы риска.
Финансовый кризис, начавшийся в 2007–2008 годах, подчеркнул несколько аспектов управления операционными рисками. Во-первых, хотя кризис больше всего повлиял на одно из направлений бизнеса, торговлю и продажу, он также задел и розничную брокерскую деятельность (Hess 2011). Это было подтверждено E.W.Cope and L. Carrivick (2013), которые также подчеркнули, что влияние кризиса было ограничено только несколькими видами бизнеса, категориями потерь и типами банков с точки зрения как частоты, так и серьезности потерь. Во-вторых, наибольшие убытки банков не были связаны с конкретной фирмой, но касались нескольких банков, поскольку одни и те же виды проступков одновременно наказывались несколькими регулирующими органами, что привело к возникновению того, что впоследствии было названо «системными инцидентами операционного риска»: события операционного риска, которые влияют на отрасль в целом (McConnell and Blacker 2013; McConnell 2015). Наконец, операционные риски показали, что они связаны с типичной кредитной политикой банков. Кредитующее подразделение не смогло определить кредитоспособных заемщиков и отклонило их заявки на кредит. Кроме того, кредитующее подразделение не смогло выявить фирмы-заемщики, которые в конечном итоге обанкротились, и ошибочно приняли решение о кредитовании. Эти случайные просчеты трансформировались в финансовые потери для кредитных учреждений (Parnes 2012).
По сравнению с другими видами риска (см. главы далее), операционный риск имеет несколько отличительных элементов. К ним относятся следующие:
- Природа операционного риска как однородного риска или «одностороннего риска», за исключением нескольких отдельных случаев возможности получения дохода (например, из-за изменений в нормативной и налоговой среде);
- отсутствие корреляции между риском и ожидаемой отдачей, за исключением некоторых спорадических[13] случаев, таких как тот, в котором больший риск связан с экономией затрат с точки зрения меньших инвестиций в процедуры и средства внутреннего контроля;
- Операционный риск пронизывает производственную и вспомогательную деятельность, давая исток необходимость создания системы уведомления и обучения во множестве направлений деятельности: операционные риски не локализованы в определенных процессах, действиях и продуктах, но пересекают многие виды деятельности финансовых учреждений, и могут затрагивать все предлагаемые продукты (фрод, агрессивные продажи и т. д.);
- трудности в ценообразовании и действиях по передаче / хеджированию риска;
- Отсутствие четкой корреляции между операционным риском, с одной стороны, и размером компании и объемом транзакций с другой;
- Для моделирования операционных рисков требуется междисциплинарный подход, вовлекающий множество ключевых функций (т. е. внутренний аудит, риск-менеджмент, организация, учет, контроль планирования и управления, информационные технологии). Фактически, если рыночный и кредитный риски управляются там, где они возникли (рыночный риск в казначействе или в финансовом отделе, кредитный риск в кредитном отделе), то операционный риск управляется всеми подразделениями. Следовательно, чтобы предотвратить решение одной и той же проблемы разными путями или не синхронизованно разными подразделениями, необходимо установить тесную координацию между различными структурами и оперативный обмен имеющейся информацией;
- Процедуры расчета капитала на покрытие риска. Требования к капиталу для покрытия операционного риска, рассчитанные на консолидированной основе и распределенные между компаниями, не вытекают из суммы капиталов, рассчитанной на индивидуальном уровне. Это подразумевает необходимость определить адекватные механизмы аллокации ущерба, которые поддерживаются компаниями, отражают их подверженность риску, позволяют и поощряют активное управление операционными рисками в целях их минимизации.
[1] Прим. Переводчика: в данном контексте «пруденциальное регулирование» – нормативы и законы, устанавливаемые Центральным Банком страны для кредитных организаций.
[2] Прим. переводчика: актуарная наука – отрасль страховых знаний, изучающая математические основы страхового дела, основываясь на данных страховой статистики.
[3] Прим. переводчика: в Италии кредитные кооперативы играют не менее важную роль, чем коммерческие банки, являясь частью банковской системы страны. Кредитные кооперативы предоставляют услуги своим членам (среднее и малое предпринимательство), функционируют на ограниченной территории и действуют на основе взаимопомощи. По данным Википедии на 2010г. в Италии действовало 103 таких корпоративных банка, в которых занято не менее 83 тыс. человек.
[4] Прим. переводчика: Второй компонент Базельского соглашения («Процесс банковского надзора») посвящен описанию особенностей банковского надзора в сфере поддержания достаточности капитала.
[5] Прим. переводчика: в данном контексте «аллокации» – распределение ущерба от реализации риска между подразделениями.
[6] Прим. переводчика: «FIRST» (Facts on International Relations and Security trends) – интегрированная база данных, содержит аналитическую и статистическую информацию о вооруженных конфликтах , производстве и торговле оружием и т.д.
[7] Прим. переводчика: «ванильные продукты» (сленг США) — максимально простые финансовые продукты по аналогии с классическим ванильным мороженым без всяких добавок.
[8] Прим. переводчика:
LIBOR — Средневзвешенная процентная ставка по межбанковским кредитам, предоставляемым банками, выступающими на лондонском межбанковском рынке с предложением средств в разных валютах и на разные сроки. Скандал возник, когда выяснилось, что банки показывают искусственно завышенные или заниженные ставки, чтобы повысить прибыль со сделок или создать впечатление, что они более кредитоспособны, чем на самом деле.
[9] Capital Requirements Regulation (CRR) №575/2013
[10] Capital Requirements Directive, CRD (Directive 2013/36/EU
[11] Прим. переводчика: Моббинг — форма психологического насилия в виде травли сотрудника в коллективе, как правило, с целью его последующего увольнения.
[12] Прим. переводчика: термин «diversity» для международных компаний подразумевает под собой разнообразие. Возраста ли, этнической принадлежности, пола, расы, сексуальной ориентации, уровня образования и т.д. Таким образом, если, например, математическая группа колледжа состоит только из белых мужчин из состоятельного сословия, принцип «diversity» попирается. Оскорбленные этим фактом личности могут подать в суд, а организация должна будет заплатить штраф.
[13] Прим. переводчика: Спорадический — единичный, проявляющийся от случая к случаю.