описание инцидента;
причина инцидента;
последствия инцидента;
уровень последствий (существенность риска);
объем операции, сумма фактического и возможного убытка, сумма возмещения;
предложения по минимизации операционного риска;
направление деятельности (банковские продукты и услуги);
источник (фактор) риска (1–3 уровень);
принадлежность события к репутационному и информационному риску;
ФИО эксперта (в случае привлечения);
подразделение, отвечающее за минимизацию операционного риска. При ведении учета операционных рисков можно дополнительно определять степень их влияния на бизнес-процессы (при наличии в кредитной организации системы управления бизнес-процессами), на проекты (при наличии системы управления проектами), на расходы по статьям бюджета (при наличии системы бюджетирования). Операционные риски можно разделять по уровням: корпоративный уровень, уровень бизнес-единиц, операционный уровень. Взаимосвязь операционных рисков с теми или иными элементами смежных систем управления позволяет вести многогранный учет в соответствии с требованиями законодательства и пожеланиями внутреннего заказчика, а также проводить системный анализ уровня ОР и определять корреляцию между отдельными фактами их реализации. С целью разделения существенных и несущественных операционных рисков банк может самостоятельно разработать процедуру их классификации. В данной работе авторы не рассматривают такой критерий существенности / несущественности, как денежное выражение риска, поскольку при повышенной интенсивности реализации даже несущественные в денежном выражении риски могут значительно повлиять на работу банка. Незаменимым помощником при учете и анализе является справочник операционных рисков. Такие справочники составляют на основе результатов опросов страховых компаний, опросов внутри банка, по материалам изданий, специализирующихся на банковских технологиях, по данным базы инцидентов операционного риска. Стоит отметить, что база инцидентов операционного риска по аналогии с прецедентным правом может являться источником типовых решений, т.е. решение, вынесенное по какому-либо инциденту ОР, обязательно для всех подразделений организации при рассмотрении ими аналогичных операционных рисков. Данная система дает банку возможность выполнять нормотворческие функции не только в случае отсутствия описания бизнес-процессов, но и при наличии недостаточно четкой нормативной документации. Для проведения сравнительного анализа необходимо фиксировать ОР сторонних банков, обращаясь при этом к внешним источникам (например, к неструктурированной базе внешних операционных рисков, сформированной силами участников форума на сайте www.riskofficer.ru). Внешние источники позволяют отследить различные отечественные и зарубежные тенденции в сфере операционных рисков. Так, во время кризиса участились кражи денежных средств из банкоматов, кражи со счетов клиентов через систему дистанционного банковского обслуживания (ДБО), при изменении погодных условий (с наступлением морозов) увеличилось количество сбоев в работе банкоматов, возросло число мошеннических действий при кредитовании и т.д. Следует непрерывно изучать тенденции, анализировать текущую ситуацию в кредитной организации и в случае необходимости принимать меры по предупреждению операционных рисков (анализировать защищенность банкоматной сети и систем ДБО, оперативно менять месторасположение банкоматов (при наличии резервных мест), укреплять банкоматы, управлять лимитами загрузки банкоматов, вводить дополнительные способы защиты систем ДБО, обеспечивать страховое покрытие и т.д.). Отметим, что в других отраслях хозяйственной деятельности при наступлении аварии на одном участке автоматически проверяют все другие действующие участки в целях предупреждения повторных аварий. Авторы считают данный подход абсолютно правильным. Анализ внешних операционных рисков позволяет понять, какие системы защиты той или иной банковской услуги наиболее эффективны, и обеспечить новый банковский продукт надежной системой защиты.
Оценка операционного риска
В соответствии с Положением ЦБ РФ от 3 ноября 2009 г. №346-П «О порядке расчета размера операционного риска» размер ОР включают в расчет норматива достаточности собственных средств (капитала) банка (Н1) следующим образом:
начиная с отчетности на 1 августа 2010 г. — в размере 40% от рассчитанного в соответствии с настоящим Положением;
начиная с отчетности на 1 августа 2011 г. — в размере 70%;
начиная с отчетности на 1 августа 2012 г. — в размере 100%. Положение №346-П подлежит официальному опубликованию в «Вестнике Банка России» и вступает в силу с 1 июля 2010 г. В международной банковской практике применяют следующие методы оценки резерва капитала под операционные риски.
Подход на основе базового индикатора
(Basic Indicator Approach, BIA)
Упрощенный подход к расчету размера резерва капитала под операционные риски на основе базового индикатора предполагает прямую зависимость уровня операционного риска от масштабов деятельности организации. Естественно, что при этом не учитываются ни внутренние процедуры контроля, ни подверженность риску в различных направлениях деятельности.
Стандартный подход
(The Standardized Approach, TSA)
Данный подход основан на выделении нескольких типовых направлений деятельности кредитной организации и определении размера капитала, резервируемого по каждому из них. Такой подход является более точным, чем BIA.
Альтернативныйстандартныйподход
(Alternative Standardized Approach, ASA)
Отличие данного подхода от стандартного заключается в том, что для таких направлений деятельности, как банковское обслуживание физических и юридических лиц, расчет величины резервов производят не на основании показателя среднего валового дохода, а на основании величины средних остатков на соответствующих балансовых счетах.
Балльно-весовой метод
(метод оценочных карт)
Для определения величины потенциальных убытков на основании экспертных оценок выбирают наиболее информативные для целей управления операционным риском аналитические показатели и устанавливают их относительную значимость, затем выбранные показатели сводят в специальные таблицы (оценочные карты). Полученные результаты обрабатывают с учетом заданных весовых коэффициентов и сопоставляют по направлениям деятельности кредитной организации, отдельным видам банковских операций и сделок. На основании рассчитанных значений строят карты операционных рисков, наглядно демонстрирующие вероятность появления операционных рисков и размеры возможных потерь по каждому направлению деятельности организации.
Статистический анализ распределения фактических убытков
Методы, основанные на применении статистического анализа, позволяют составить прогноз потенциальных операционных убытков исходя из величины операционных убытков, полученных в прошлом. В ходе применения этих методов в качестве исходных параметров рекомендуется использовать информацию о реально понесенных операционных убытках, накопленную в аналитической базе данных.
Моделирование (сценарный анализ)
В рамках метода моделирования (сценарного анализа) величины операционных рисков экспертным путем определяют возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам. Для сравнительного анализа капитала под операционные риски различных банков можно воспользоваться сайтом www.tridea.ru и ознакомиться с оценкой указанного капитала, полученной с применением подходов BIA, TSA, ASA. В рамках оценки ОР можно сформировать справочник потерь для рисков, реализация которых не приносит прямых денежных потерь. Экспертным путем можно определить косвенные потери в денежном выражении: час простоя той или иной информационной и платежной системы стоит X руб., исправление ошибки персонала стоит Y руб., отказ клиента от дальнейшего обслуживания — Z руб. и т.д. Такой справочник может быть привязан к показателям конкретного филиала (доля выручки, количество процессов, количество персонала и др.), т.к. потери из-за аналогичных инцидентов в небольшом и крупном филиалах могут значительно отличаться. При отсутствии взаимосвязи потерь с показателями филиалов банка предлагается рассматривать несколько вариантов потерь (минимальные, средние, максимальные). В случае утверждения и размещения данного справочника в открытом доступе с риск-менеджеров будет снята масса вопросов по оцифровыванию потерь в результате инцидентов. Оценка косвенных потерь в денежном выражении позволяет определять приоритеты при минимизации операционных рисков. Прежде чем приступать к созданию такого справочника, необходимо оценить его необходимость и полезность (например, использование при расчете окупаемости мероприятий (проектов), направленных на минимизацию операционного риска). Справочник необходимо пересматривать с установленной периодичностью.
Предметный анализ операционных рисков
Зачастую мы имеем лишь общее и поверхностное описание выявленного операционного риска, и может сложиться обманчивое впечатление, что его можно без труда устранить силами нескольких работников за достаточно короткий срок. Практика показывает, что это не так. Необходимо проводить предметный анализ операционных рисков, представляющий собой не что иное, как функцию бизнес-анализа, т.е. риск-менеджер должен обладать навыками бизнес-аналитика. Последовательность проведения анализа может быть следующей: 1) анализ наличия / отсутствия нормативной документации (НД); отсутствие или неактуальность НД уже является операционным риском для банка; 2) анализ содержательной части НД (анализ технологий и бизнес-процессов); 3) описание бизнес-процесса (при отсутствии описания) в какой-либо нотации (например, IDEF) и проведение встреч с его владельцами и участниками; 4) сравнение выполнения процесса на практике с описанием в нормативной документации, выявление несоответствий; 5) запрос мнений экспертов, которые в обязательном порядке следует фиксировать и использовать в дальнейшей работе; 6) формирование отчета с предложениями по минимизации операционных рисков. В некоторых случаях вместо анализа инцидентов операционного риска необходимо проводить служебное расследование — в зависимости от того, какими правами, обязанностями и полномочиями наделены риск-менеджеры банка и как организовано взаимодействие с подразделением безопасности. При невозможности решения проблемы, выявленной в результате анализа, силами сотрудников данный вопрос передается на более высокий уровень: