Операционные риски в банке

Операционный риск

Операционный риск — один из видов риска, связанный с реализацией бизнес-функций организацией (предприятием, банком), включая риск внешних событий или мошеннических действий.

Операционный риск — опасность появления убытка в результате ошибок или неадекватных действий стороны работников организации, внешних событий или сбоев в работе систем. Также к категории операционных можно отнести репутационные, стратегические и юридические виды рисков.


Операционный риск (в более широкой формулировке) — опасность возникновения дополнительных издержек по причине несоответствия масштабов и характера действия кредитной структуры и (или) нарушение требований действующих законов в отношении внутреннего порядка, а также процедур проведения операций в банковской сфере. Сюда же относятся риски, связанные с нарушениями со стороны работников банка, выполнением ими непреднамеренных или целенаправленных противозаконных действий, нарушение (сбой) в работе функциональных систем и нарушение работы автоматизированных систем по причине внешних воздействий.

Операционный риск: суть и виды

В последнее время ситуация с операционными рисками в предприятиях и банках существенно обострилась. Если исходить из расшифровки данного термина, принятом в Базеле II (Базельском соглашении), то к операционным относятся все риски, которые могут привести к материальному ущербу организации по причине неправильных действий (бездействия) персонала, ошибочных процессов, внешнего влияния и так далее.

В Соглашении не расписываются сами операционные риски, а также не даются советы по поводу эффективной борьбы с ними. Главное назначение данного документа — расчет объема покрытия таких рисков капиталом банковского учреждения. Кроме этого, в Базеле II предполагается создание мощной системы управления в банках, способствующей снижению вероятности текущих рисков.

С учетом того, что Базель II был заключен в 2004-м, его действие уже набрало обороты в РФ. С другой стороны, руководства банков только задумываются над созданием новой и более эффективной структуры, способной бороться с операционными рисками.

Одним из наиболее интересных требований Соглашения является то, что менеджмент банка и совет директоров должны взять на себя функции контроля операционных рисков, а также организацию управления ими. Одновременно с этим, именно на эти органы возлагается функция предоставления отчетности об операционных рисках и величинах текущего ущерба.


Описанные выше рекомендации, идут вразрез с теми нормами и правилами, которые применяются в банковской практике РФ сегодня. В частности, руководители банков отказываются брать на себя проблемные вопросы, вызванные неполадками в информационных системах и поручают такие работы специалистам с меньшей квалификацией. Такой подход часто приводит к еще большим потерям. Остается рассчитывать, что внедрение нового Соглашения позволит поменять мнение руководства и заставит его решать более глобальные вопросы.

Это важно еще и с той позиции, что операционный риск — опасный фактор для всех банковских продуктов, финансовых процессов, направлений деятельности и систем. При этом управление рисками выходит на первый план не только в России, но и в общей мировой банковской практике. К слову, операционный риск входит в тройку наиболее важных банковских рисков.

Все операционные риски имеют ряд подвидов:

1. Риск разрушения или утечки информации, необходимой для формирования бизнес-процессов. Случайное или умышленное удаление тех или иных файлов в автоматизированной банковской системе может стать причиной серьезного сбоя и неспособности организации выполнить свои обязательства перед клиентами.

2. Риск применения поддельных (сфальсифицированных) или необъективных данных. В качестве примера можно привести риск применения поддельного платежного поручения. Есть и более сложные варианты — повтор уже переданного ранее платежа, подмена одного из участников и так далее.

3. Риск возникновения сложностей с подачей актуальной и объективной информации клиентам. Такие случаи особенно себя проявили в таких атаках, как «отказ в обслуживании». Итогом становится сбой в работе автоматизированной банковской системы или ее полный отказ.

4. Риск передачи (распространения) невыгодной для банка информации. Такой вид риска имеет множество различных «модификаций» — компромат на руководителей, слухи, клевета, утечка ценных документов и их попадание в СМИ, недобросовестные действия сотрудников и так далее. В эту же категорию можно включить вирусную эпидемию, которая вышла из корпоративной сети и привела к репутационным проблемам. Одновременно с этим появляется риск заведения уголовного дела (статья 273).

Операционные риски: причины появления, принципы управления

На практике так сложилось, что операционные риски не появляются просто так. У каждой такой проблемы есть свое объяснение. К основным причинам появления таких рисков в деятельности финансовой организации можно отнести:

1. Недостаток в квалификации сотрудников банковского учреждения, а также отсутствие серьезного подхода в вопросах организации обучения, повышения квалификации, тренингов и так далее. Плохо лишь то, что человеческий фактор все еще остается главной проблемой российского бизнеса. Многие компании не способны правильно использовать возможности информационных систем, а знания их работников ограничиваются уровнем обычных пользователей ICQ, интернет-браузеров, Microsoft Word и прочих стандартных программ.

2. Отсутствие должного внимания к такой сфере, как информационная безопасность, а также неспособность оценить реальные угрозы, исходящие из этого сектора. Если отсутствует поддержка со стороны «головы» (руководящих органов), то система управления рисками ослабевает еще больше. Усугубляют ситуацию и такие факторы, как нехватка финансирования, отсутствие мероприятий по повышению надежности таких систем, реализация текущих проектов в сфере безопасности по принципу «лишь бы как» и так далее.


3. Низкое качество и недостаток проработки (анализа) процедур управления рисками, а также организации правильной политики в сфере безопасности. Кроме этого, причиной нерациональных и неправильных решений в кризисных ситуациях становится растерянность и неумение сотрудников правильно справляться с проблемой. В большинстве случаев варианты решения могут и вовсе отсутствовать.

4. Низкая эффективность защитной системы в отношении информационных активов организации. При этом безопасность банка или компании всегда должна обеспечиваться посредством эшелонированной защиты. Если же злоумышленник находит одну слабую точку, то ему этого достаточно для нанесения серьезного ущерба страховой компании, банку или финансовому предприятию.

5. Большое число слабых мест (уязвимостей) на различных уровнях автоматизированной банковской системы. Причина — применение еще «сырого» и не протестированного программного обеспечения. Итогом становится появление большого количества дыр в системе, которые становятся для злоумышленников настоящим подарком.

Решить проблему операционного риска можно с учетом грамотного управления и применения на практике основных принципов. В Базеле II прописаны следующие принципы управления:

1. Совет директоров берет на себя ключевую роль в вопросе формирования системы защиты, контроля и управления.

2. Банк обязуется создать, внедрять и грамотно применять правильно функционирующую систему управления на всех уровнях структуры.

3. Задача совета директоров — разработка и полный анализ стратегии (системы) управления рисками, а также осуществление функции контроля за группой исполнительных органов.

4. Совет директоров берет на себя задачу установления пределов операционного риска и риск-аппетита.

5. В задачу исполнительного органа входит разработка и передача директорскому составу эффективной, четкой и главное — надежной управленческой структуры с четко выделенными, непротиворечивыми и прозрачными сферами компетенции. При этом данный орган финансовой структуры берет на себя ответственность за внедрение и дальнейшее исполнение основных процессов, принципов и систем корректировки рисков с учетом установленного уровня и «аппетита».

6. Исполнительный орган (ИО) берет на себя обязательства по оценке и выявлению текущего операционного риска для дальнейшего понимания его факторов и природы.

7. ИО обеспечивает введение в действие всех разработанных нововведений при условии учета текущих операционных рисков.

8. ИО берет на себя организацию процесса мониторинга рассматриваемого вида риска, а также контроль текущей отчетности по отдельно взятым подразделениям.

9. Обеспечивается надежная и полноценная система контроля, а также система передачи (при необходимости снижения) риска.

10. Разрабатываются планы, по которым обеспечивается восстановление и непрерывность деятельности банка даже при наличии явных операционных рисков.

11. Данные, которые публикует банк, позволяют с точностью оценить подходы к управлению структуры в отношении к рассматриваемым рискам.

> Методы и инструменты управления операционным риском

Ограничение/непринятие риска.

Данный метод управления операционным риском подразумевает исключение из деятельности Банка недопустимого риска. Исключение риска достигается за счет следующих мер:

  • — полный отказ или запрет банковских операций, процессов или технологий, с которыми связан недопустимый для Банка риск;
  • — сокращение объема или спектра проводимых операций с целью уменьшения операционного риска до допустимого уровня;
  • — установление лимитов на объемы операций, подверженных операционному риску.

В целях ограничения операционного риска Банк предусматривает развитие комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к убыткам вследствие реализации операционного риска, и (или) на уменьшение (ограничение) размера таких убытков. К таким мерам могут относиться:

  • — разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
  • — контроль за соблюдением установленных процедур;
  • — развитие систем автоматизации банковских технологий и защиты информации;
  • — страхование, как имущественное (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников Банка, а также как страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков) так и личное (страхование работников от несчастных случаев и причинения вреда здоровью).

К методам ограничения риска относится система лимитов, которая позволяет контролировать уровень операционного риска по отдельным его элементам и реагировать в случае достижения ими критического уровня. Лимиты могут устанавливаться на любые элементы индикаторов операционного риска. Лимит на общий уровень операционного риска в целом по Банку (например, предельный размер требования к капиталу) устанавливается Советом директоров Банка, лимиты на отдельные элементы операционного риска устанавливаются решением Правления Банка.

Лимиты пересматриваются по мере необходимости, но не реже одного раза в год. Инициатором пересмотра значения установленного лимита могут выступать Служба управления рисками, Служба внутреннего контроля, а также другие заинтересованные структурные подразделения, при наличии объективных факторов для данного пересмотра.

Банк также может в дополнение к лимитам определять их сигнальные значения. Такие значения, которые показывают приближение параметра к границе установленного лимита. Сигнальные значения служат для своевременного реагирования на изменение показателей до достижения ими критического уровня.

В случае достижения или превышения каким-либо показателем установленного сигнального значения либо лимита, выявившее структурное подразделение незамедлительно сообщает о данном факте в Службу управления рисками, которая анализирует причины произошедшего, составляет собственное заключение с описанием причин и рекомендациями по снижению возросшего уровня риска. Служба управления рисками доводит собственное заключение до Правления Банка, которое принимает комплекс решений по снижению уровня риска и, в случае необходимости, информирует об инциденте Совет директоров Банка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *