Операционный риск

Операционный риск

Что такое операционный риск?

Операционный риск — это риск изменения стоимости, вызванный тем фактом, что фактические убытки, возникшие в результате неадекватных или неудачных внутренних процессов, людей и систем или внешних событий (включая юридический риск), отличаются от ожидаемых убытков. Это определение, принятое Директивой Европейского союза «Solvency II» для страховщиков, является разновидностью, которая была принята в правилах Базель II для банков. В октябре 2014 года Базельский комитет по банковскому надзору предложил пересмотреть свою структуру капитала по операционным рискам, в которой излагается новый стандартизованный подход для замены подхода базового показателя и стандартизованного подхода для расчета капитала операционного риска.

Операционный риск может также включать другие классы риска, такие как мошенничество, безопасность, защита конфиденциальности, юридические риски, физические (например, закрытие инфраструктуры) или экологические риски.

Операционный риск суммирует риски, которые компания берет на себя, когда она пытается работать в данной области или отрасли. Операционный риск — это риск, не присущий финансовому, систематическому или рыночному риску. Это риск, оставшийся после определения финансирования и систематического риска, и включает риски, возникающие в результате сбоев во внутренних процедурах, людях и системах.

Операционный риск — это широкая дисциплина, близкая к хорошему управлению и управлению качеством.

Аналогичным образом, операционные риски влияют на удовлетворенность клиентов, репутацию и акционерную стоимость, при одновременном повышении волатильности бизнеса.

Вопреки другим рискам (например, таким как кредитный риск, рыночный риск, страховой риск) операционные риски обычно непроизвольны и не приводятся в движение доходами. Более того, они не являются диверсифицируемыми и не могут быть устранены, а это означает, что, пока люди, системы и процессы остаются несовершенными, операционный риск не может быть полностью устранен.

Тем не менее, операционный риск является управляемым, чтобы удерживать убытки в пределах некоторой степени толерантности к риску (т.е. степени риска, которую организация готова принять для достижения своих целей), определяемый путем балансирования затрат на улучшение по сравнению с ожидаемыми выгодами.

Более широкие тенденции, такие как глобализация, расширение Интернета и рост социальных сетей, а также растущие требования к большей корпоративной ответственности во всем мире, усиливают необходимость надлежащего управления операционными рисками.

Обоснование операционного риска

До реформ Базель II банковского надзора операционный риск представлял собой остаточную категорию, предназначенную для рисков и неопределенностей, которые трудно было определить количественно и управлять традиционными способами — корзиной «других рисков».

Такие правила определяли операционный риск как категорию нормативного и управленческого внимания и связывали процесс управления операционными рисками с хорошим корпоративным управлением.

Конечно, предприятия в целом и другие учреждения, такие как военные, на протяжении многих лет знают о рисках, связанных с операционными факторами, внутренними или внешними. Главная цель военных — быстро и решительно сражаться и побеждать в войнах с минимальными потерями. Оперативное управление рисками как для военных, так и для бизнеса — это эффективный процесс сохранения ресурсов.

Два десятилетия глобализации (с 1980 года по начало 2000-х годов) и дерегулирования (например, Big Bang (финансовые рынки)) в сочетании с повышенной сложностью финансовых услуг во всем мире создали дополнительные сложности в деятельность банков, страховщиков и прочих компаний и привели к усложнению их профилей риска.

С середины 1990-х годов темы рыночного риска и кредитного риска были предметом многих дискуссий и исследований, в результате чего финансовые учреждения добились значительного прогресса в выявлении, измерении и управлении этими формами риска.

Тем не менее, практически крах финансовой системы США в сентябре 2008 года свидетельствует о том, что наша способность измерять рыночный и кредитный риск далека от совершенства и в конечном итоге привела к внедрению новых нормативных требований во всем мире, включая правила Базеля III для банков и правила Solvency II для страховщиков.

Такие события, как террористические атаки 11 сентября, потери от мошеннических операций в Société Générale, Barings, AIB, UBS и National Australia Bank, подчеркивают тот факт, что объем управления рисками выходит за рамки рыночного и кредитного риска.

Эти причины подчеркивают растущее внимание банков и руководителей к выявлению и измерению операционного риска.

Перечень рисков (и, что более важно, масштаб этих рисков), с которыми сталкиваются сегодня банки, включает в себя мошенничество, системные сбои, терроризм и убытки от некомпетентных действий персонала. Эти типы рисков обычно классифицируются под термином «операционный риск».

Идентификация и измерение операционного риска является реальной и актуальной проблемой для современных банков, в частности, в следствие решения Базельского комитета по банковскому надзору (BCBS) ввести плату за этот риск в качестве основы для новой структуры достаточности капитала (Базель II).

Определение операционного риска

Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:

Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.

Однако Базельский комитет признает, что операционный риск — это термин, который имеет множество значений, и поэтому для внутренних целей банкам разрешено принимать собственные определения операционного риска при условии включения минимальных элементов в определение Комитета.

Более развернуто определение операционного риска дано Центральным банком РФ: «операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий».

Определение, данное Национальным Банком Республики Беларусь: «операционный риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат в результате несоответствия установленных банком порядков и процедур совершения банковских операций и других сделок законодательству или их нарушения сотрудниками банка, некомпетентности или ошибок сотрудников банка, несоответствия или отказа используемых банком систем, в том числе информационных, а также в результате действия внешних факторов».

Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.

Исключения по областям

Определение операционного риска Basel II исключает, например, стратегический риск — риск потери, связанный с плохим стратегическим бизнес-решением.

Другие условия риска рассматриваются как потенциальные последствия событий операционного риска. Например, риск репутации (ущерб организации за счет потери репутации или позиций в обществе) может возникнуть как следствие (или воздействие) эксплуатационных сбоев, а также из других событий.

7 категорий типов событий операционного риска согласно Базелю II

Ниже приведены 7 категорий типов событий операционного риска согласно Базелю II с некоторыми примерами для каждой категории:

  1. Внутреннее мошенничество — незаконное присвоение активов, уклонение от уплаты налогов, умышленное искажение позиций, взяточничество.
  2. Внешнее мошенничество — кража информации, хакерский урон, воровство и фальсификация третьей стороной.
  3. Трудовая занятость и безопасность на рабочем месте — дискриминация, компенсация работникам, здоровье и безопасность работников.
  4. Клиенты, продукты и бизнес-практика — манипулирование рынком, антимонопольное регулирование, незаконная торговля, дефекты продукта, фидуциарные нарушения, накручивание счетов (оборотов).
  5. Ущерб материальным активам — стихийные бедствия, терроризм, вандализм.
  6. Прерывание бизнеса и сбои в системе — сбои в работе, сбои программного обеспечения, сбои в оборудовании.
  7. Управление исполнением, доставкой и процессами — ошибки ввода данных, ошибки учета, ошибочная обязательная отчетность, халатная потеря активов клиента.

Сложности

Для организации относительно легко установить и соблюдать конкретные измеримые уровни рыночного и кредитного риска, поскольку существуют модели, которые позволяют спрогнозировать потенциальное влияние рыночных движений или изменения в стоимости кредита. Следует, однако, отметить, что эти модели настолько хороши, насколько качественны входящие предположения, и значительная часть недавних финансовых кризисов возникла из-за того, что оценки, полученные этими моделями для конкретных видов инвестиций, были основаны на неправильных предположениях.

Напротив, относительно сложно определить или оценить уровни операционного риска и его многочисленных источников. Исторически организации принимали операционный риск как неизбежную стоимость ведения бизнеса. Многие сейчас накапливают данные об операционных потерях — например, при сбое системы или мошенничестве — и используют эти данные для моделирования операционного риска и расчета резерва капитала против будущих операционных потерь. В дополнение к требованиям Базель II для банков, это требование сейчас актуально и для европейских страховых компаний, которые находятся в процессе реализации Solvency II, эквивалентной Базелю II для банковского сектора.

Идентификация и оценка операционного риска

В качестве первого шага организации должны идентифицировать соответствующие операционные риски, связанные с их деятельностью, процессами, продуктами и системами. Одним из методов определения рисков является наблюдение за всеми процессами и создание списка потенциальных источников риска (так называемое «Отображение бизнес-процессов»). Этот шаг должен быть осуществлен подразделением по управлению рисками совместно с хорошо осведомленными и хорошо подготовленными сотрудниками различных отделов организации. Этот метод способствует открытой коммуникации/обсуждению и позволяет выявить отдельные риски, установить взаимозависимость рисков и области их контроля, а также обнаружить уязвимости в системе управления рисками. Другие методы идентификации риска включают критическую самооценку, актуарные модели, анализ сценариев, сбор внешних данных и сравнительный анализ (см. Методы анализа рисков).

После идентификации рисков организации должны оценить их воздействие на количественной и качественной основе. Количественные оценки связаны с прямыми финансовыми убытками, которые потенциально могут быть вызваны актуализацией риска. Количественные оценки необходимы только для рисков, которые могут потенциально привести к прямым финансовым потерям для компании. При оценке каждого риска учитываются следующие факторы:

  1. Частота возникновения: как часто может наступать событие риска? Чтобы определить частоту возникновения, анализируют события, которые уже произошли,  а также которые могут произойти в будущем. Будет полезно также обратиться к событиям, которые произошли за пределами компании (другие организации в банковской отрасли).
  2. Типичный ущерб: каковы средние оценочные финансовые потери? Если это событие произошло в прошлом, оценивают средний причиненный урон.
  3. Нетипичный (исключительный) ущерб: на сколько серьезны финансовые потери? Следует проанализировать какой уровень потерь будет получен, если это событие произойдет.

Измерение операционного риска

Ключевым компонентом управления рисками является измерение размера и объема рисков компании. Однако на текущий момент нет четко определенного единого способа измерения операционного риска на уровне фирмы. Поэтому были разработаны несколько ключевых подходов. Примером может служить «матричный» подход, при котором потери классифицируются в зависимости от типа события и бизнес-линии, в которой произошло событие. Таким образом, банк может определить, какие события оказывают наибольшее влияние на всю организацию, а также какие бизнес-процессы наиболее подвержены операционному риску.

Как только будут определены потенциальные и фактические потери, банк сможет проанализировать, также, возможно, и смоделировать их появление. Для этого требуется создание баз данных для мониторинга таких потерь и создание индикаторов риска, которые суммируют эти данные. Примерами таких показателей являются количество неудачных транзакций за определенный период времени и уровень текучести кадров в рамках подразделения.

Потенциальные потери можно классифицировать в широком смысле как события «с высокой частотой, низким воздействием» (high frequency, low impact — HFLI), такими как незначительные ошибки бухгалтерского учета или ошибки банковского кассира, а также события «с низкой частотой, высоким воздействием» (low frequency, high impact — LFHI), такие как террористические атаки или крупное мошенничество. Данные о потерях, связанных с событиями HFLI, обычно доступны из внутренних систем аудита банка. Следовательно, моделирование и бюджетирование этих ожидаемых будущих потерь в следствие операционного риска потенциально может быть выполнено довольно точно. В тоже время, события LFHI являются необычными (редкими, нетипичными) и, таким образом, ограничивают отдельную организацию в получении достаточных данных для целей моделирования. Для таких событий банку, возможно, потребуется дополнить свои данные данными от других организаций. В настоящее время уже создано несколько частных инициатив, таких как Глобальная база данных об операционных потерях, управляемая Британской ассоциацией банкиров.

Хотя количественный анализ операционного риска является важным вкладом в системе управления банковскими рисками, эти риски не могут быть сведены к чистому статистическому анализу. Следовательно, качественные оценки, такие как анализ сценариев, станут неотъемлемой частью измерения операционных рисков банка.

Методы управления операционными рисками

Операционный риск может играть ключевую роль в разработке всеобъемлющих программ управления рисками, которые включают в себя непрерывность бизнеса и планирование аварийного восстановления, а также меры по обеспечению информационной безопасности и комплаенс. Первым шагом в разработке стратегии управления операционными рисками может быть создание карты рисков — плана, который идентифицирует, оценивает, связывает и смягчает риск.

Базель II и различные надзорные органы стран установили различные стандарты надежности для управления операционными рисками для банков и аналогичных финансовых учреждений. В дополнение к этим стандартам Базель II дал рекомендации по 3-м методам расчета капитала для операционного риска:

  1. Подход базового индикатора (Basic Indicator Approach — BIA). Этот метод рассчитывает капитал операционного риска на основе годового валового дохода фирмы. Капитал, удерживаемый для операционного риска, должен составлять 15% от среднегодового валового дохода фирмы (за предыдущие три года). Из расчета исключаются годы, когда годовой валовой доход фирмы был отрицательным.
  2. Стандартизованный подход (Standardized Approach — TSA). Этот метод гласит, что фирмы должны делить свою деятельность на восемь бизнес-направлений: корпоративные финансы, торговля и продажи, розничные банковские услуги, коммерческий банкинг, платежи и расчеты, агентские услуги, управление активами и розничные брокеры. Валовой доход в рамках каждой бизнес-линии служит как индикатор масштаба деловых операций. Он определяет вероятный масштаб воздействия операционного риска в каждой из этих бизнес-линий. Плата за капитал для каждой бизнес-линии рассчитывается путем умножения валового дохода на коэффициент (12% -18%), присвоенный этой бизнес-линии.
  3. Расширенные подходы к измерению (Advanced Measurement Approaches — AMA). В соответствии с AMA требования к регулятивному капиталу генерируются внутренней системой измерения операционного риска организации. Чтобы использовать этот подход, компании должны в первую очередь соответствовать определенным нормативным требованиям. Например, фирмы должны иметь надежную систему управления операционными рисками и достаточные ресурсы для проведения таких внутренних оценок.

Рамки управления операционным риском должны включать системы идентификации, измерения, мониторинга, отчетности, контроля и смягчения последствий для операционного риска.

Мониторинг и отчетность по операционным рискам

Эффективный процесс мониторинга и отчетности необходим для адекватного управления операционным риском. Должно быть своевременное представление ключевой информации высшему руководству и совету директоров для поддержки активного управления рисками. Отчеты должны быть точными, содержательными и надежными в разрезе всех бизнес-линий организации. Следует иметь в виду, что чрезмерное количество данных может препятствовать эффективному принятию решений. Отчеты должны содержать информацию о существенных событиях и потерях операционного риска и любых нарушениях установленных лимитов (например, склонности к риску и уровня толерантности).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

1 × пять =