Что такое операционный риск?
Положение № 716 в части определения понятия операционного риска ссылается на указание Банка России от 15.04.2015 № 3624-У, где операционный риск — это риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий. Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска.
Виды операционных рисков
1. Риск ошибок в процессах осуществления внутреннего контроля
2. Модельный риск
3. Риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных кредитной организацией)
4. Риск ошибок процесса управления персоналом
5. Риск платежной системы
7. Риск информационной безопасности
8. Риск информационных систем
9. Правовой риск
10. Риск ошибок в управлении проектами
11. Риск ошибок в управленческих процессах
Предпосылки
Во многом Положение № 716-П основано на рекомендациях Базель III, разработанный Базельским комитетом по банковскому надзору (Basel Committee on Banking Supervision — БКБН) в ответ на глобальный финансовый кризис. Рекомендации направлены на усиление регулирования, надзора и управления рисками банков. Финансовый кризис показал основные недостатки существующих подходов, которые используют внутреннее моделирование потерь от операционного риска (AMA):
1. Объемы капитала на покрытие операционного риска для некоторых банков оказались недостаточными;
2. Природа отдельных убытков (например, потери от поведенческого риска) с трудом поддается моделированию;
3. В связи с различиями во внутренних моделях оценки капитала на потери от операционного риска, результаты оценки капитала банков сложно сопоставить между собой.
При этом оценка капитала на покрытие операционного риска более простыми подходами (BIA/TSA) не была чувствительна к уровню операционных рисков банков и отталкивалась только от масштабов банка, размеров и структуры расходов и доходов. Таким образом, не учитывались аспекты эффективности систем управления операционными рисками банков. Новый подход к оценке капитала на покрытие убытков от операционного риска (Standardized approach – SA, Базель III) решает несколько задач:
1. Повышение устойчивости и чувствительности к риску, что облегчает сопоставимость между банками;
2. Ограничение использования методов внутреннего моделирования.
Процедуры управления операционным риском
1.Идентификация операционного риска:
А) Анализ информации центром компетенций;
Б) Анализ внутренних и внешних источников информации и способов выяснения рисков;
В) Проведение ежегодной самооценки операционных рисков и т.д.
2.Сбор и регистрация информации о событиях операционных рисков и понесенных или потенциальных потерях:
А) Определение потерь от реализации событий ОР;
Б) Регистрация событий операционного риска в базе событий;
В) Актуализация источников информации о событиях ОР и сведений о центрах компетенций, ответственных за их сбор.
Г) Автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях ОР;
Д) Неавтоматизированное выявление и сбор информации о событиях ОР, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий ОР , в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны и т.д.
3.Определение потерь и возмещений потерь от реализации событий операционного риска:
А) Учет потерь кредитной организации, включая установление сроков выявления и правил отражения в бухгалтерском учете;
Б) Порядок выявления расходов, относящихся к ОР, из общих КО, в том числе порядок выявления и сверки событий ОР с данными бухгалтерского учета;
В) Порядок и методы определения потенциальных потерь;
Г) Порядок и методы оценки недополученных доходов, связанных с событиями ОР;
4. Количественная оценка уровня операционного риска (проводится в рамках головной организации банковской группы):
А) Агрегированная оценка уровня операционного риска по КО;
Б) Оценка объема капитала, выделяемого КО в рамках ВПОДК на покрытие потерь от реализации событий ОР;
В) Оценка ожидаемых потерь от реализации ОР.
5. Качественная оценка уровня операционного риска (проводится минимум 1 раз в год в соответствии с планом проведения качественной оценки):
А) Самооценка операционных рисков;
Б) Профессиональная оценка выделенными для данной процедуры работниками подразделений КО и (или) внешними экспертами;
В) Сценарный анализ операционных рисков.
6. Выбор и применение способа реагирования на операционный риск (Способ реагирования применяется не позднее трех месяцев со дня оценки риска):
А) Уклонение от риска — отказ КО от оказания соответствующего вида услуг и операций в связи с высоким уровнем операционного риска в них;
Б) Передача риска — страхование, передача риска другой стороне — контрагенту и (или) клиенту;
В) Принятие риска — готовность КО принять возможные потери в рамках установленного лимита потерь с процедурой контроля соблюдения лимита;
Г) Разработка форм контроля, таких как изменение процессов, установление дополнительных способов контроля, обучение работников и применение способов автоматизации.
7. Мониторинг операционного риска:
А) Установление и мониторинг ключевых индикаторов риска;
Б) Контроль выполнения мероприятий, направленных на повышение качества системы управления ОР и уменьшение его негативного влияния;
В) Мониторинг информационных потоков, поступающих от центров компетенций и подразделений кредитной организации.
Ключевые индикаторы риска
Ключевые индикаторы риска — это количественные показатели, направленные на измерение операционных рисков.
В ВНД КО должны быть установлены требования к КИР и к их документированию, включающие:
1. Количественное измерение КИР;
2. Способы расчета КИР, в том числе с использованием средств автоматизации;
3. Периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии;
4. Регулярность и своевременность расчета КИР с указанием сроков (периода) расчета КИР (например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня);
5. Процедуры валидации значений и данных КИР для проверки корректности расчета;
6. Состав информации, используемой для расчета КИР, и ее источников, включая способ получения информации;
7. Пороговые значения КИР с обоснованием их установления; наименования и элементы классификации операционных рисков, которые отслеживают КИР;
8. Подразделение КО, ответственное за предоставление данных для расчета КИР и (или) расчет КИР;
9. Порядок реагирования на превышение пороговых значений КИР.
Элементы событий операционных рисков
1. Источники событий:
а) Недостатки процессов (неэффективная организация внутренних процессов управления)
б) Действия персонала или других связанных с КО лиц (преднамеренные или непреднамеренные действия сотрудников банка)
в) Сбои систем и оборудования (сбои информационных и технологических систем)
г) Внешние причины (действия третьих лиц, таких как суды, Банк России и т.д.);
2. Типы событий операционных рисков (классификация Базель III):
а) Преднамеренные действия персонала (в том числе преднамеренное бездействие);
б) Преднамеренные действия третьих лиц, нацеленных на присвоение или хищение (внешнее мошенничество);
в) Ущерб материальным активам в результате техногенных катастроф, стихийный бедствий и политических потрясений;
г) Нарушение трудового законодательства со стороны кредитной организации (условия труда, требования по безопасности труда и т.д.);
д) Нарушение и сбои систем и оборудования, обеспечивающих деятельность кредитной организации;
е) Нарушение со стороны кредитной организации прав клиентов и контрагентов;
ж) Нарушение организации, исполнения и управления процессами (например процедур противодействия отмыванию доходов и финансированию терроризма)
В следующей части мы расскажем о базе событий операционного риска (требования, структура и т.д.), про расчет потерь и про отчетность по операционным рискам. Не переключайтесь!)