Открыть сервис

Операционный риск

Операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Данное определение, закреплённое в нормативных актах Банка России, охватывает широкий спектр источников потерь, от человеческих ошибок до сбоев в программном обеспечении и внешних катастроф.

История развития концепции

До 1990-х годов операционный риск не выделялся в качестве самостоятельной категории в банковском деле и управлении рисками. Традиционно финансовые организации фокусировались на кредитном и рыночном рисках. Ряд крупных финансовых катастроф, произошедших в конце XX — начале XXI века, продемонстрировал, что операционные сбои могут приводить к потерям, сопоставимым с потерями от кредитных дефолтов или обвалов рынка.

Ключевым событием, изменившим подход к операционному риску, стало банкротство британского банка Barings в 1995 году. Банк рухнул из-за несанкционированных спекулятивных операций трейдера Ника Лисона, который, используя недостатки внутреннего контроля, накопил убытки в размере 827 миллионов фунтов стерлингов. Это наглядно показало, что недостатки в управлении персоналом и отсутствие разделения обязанностей могут уничтожить даже старейшее финансовое учреждение.

В 2001 году Базельский комитет по банковскому надзору (БКБН) впервые официально включил операционный риск в структуру капитала в рамках Базеля II. С этого момента банки были обязаны не только идентифицировать и оценивать операционный риск, но и резервировать под него капитал. В 2008 году мировой финансовый кризис дополнительно акцентировал внимание на операционных рисках, связанных с мошенничеством, сложными финансовыми инструментами и недостатками моделей оценки.

Классификация операционного риска

Операционный риск не является однородным. Для целей управления и расчёта капитала его принято разделять по источникам возникновения и типам событий.

По источникам возникновения

  1. Внутренние факторы:
  • Человеческий фактор: ошибки персонала (непреднамеренные), мошенничество (умышленные действия, включая инсайдерскую торговлю и хищение активов), недостаточная квалификация, нарушение трудового законодательства.
  • Процессные факторы: недостатки в регламентах и процедурах, неверное оформление сделок, ошибки в расчётах и платежах, неэффективный документооборот.
  • Технологические факторы: сбои в работе информационных систем (аппаратное и программное обеспечение), ошибки в коде, потеря данных, кибератаки, устаревание технологий.
  1. Внешние факторы:
  • Внешнее мошенничество: кражи, ограбления, подделка документов, атаки хакеров.
  • Регуляторные и правовые риски: изменение законодательства, судебные иски, штрафы со стороны надзорных органов.
  • Физические события: стихийные бедствия (пожары, наводнения, землетрясения), террористические акты, пандемии, перебои в подаче электроэнергии.

По типам событий (классификация Базельского комитета)

Базель II выделяет семь основных категорий событий операционного риска, которые используются для сбора данных и расчёта капитала:

  1. Внутреннее мошенничество (Internal Fraud): умышленные действия сотрудников, направленные на хищение, уклонение от налогов, умышленное искажение отчётности.
  2. Внешнее мошенничество (External Fraud): действия третьих лиц (ограбления, подделка чеков, киберпреступления).
  3. Практика трудовых отношений и безопасность труда (Employment Practices and Workplace Safety): нарушения трудового законодательства, дискриминация, несчастные случаи на производстве, выплаты по искам сотрудников.
  4. Клиенты, продукты и деловая практика (Clients, Products & Business Practice): непреднамеренное или халатное невыполнение обязательств перед клиентами (например, ненадлежащая консультация, раскрытие информации, нарушение фидуциарных обязанностей), дефекты продуктов, отмывание денег.
  5. Ущерб физическим активам (Damage to Physical Assets): убытки от стихийных бедствий, терактов, вандализма.
  6. Сбои в работе систем и бизнес-процессов (Business Disruption and System Failures): отказы оборудования, программного обеспечения, телекоммуникаций, сбои в электроснабжении.
  7. Исполнение сделок, поставка и управление процессами (Execution, Delivery & Process Management): ошибки при вводе данных, обработке транзакций, несвоевременное проведение платежей, неверное ведение счетов, провалы в управлении залогами.

Методы оценки и управления

Управление операционным риском — это непрерывный процесс, включающий идентификацию, оценку, мониторинг, контроль и минимизацию.

Оценка величины риска

Для количественной оценки операционного риска используются три основных подхода, рекомендованных Базельским комитетом:

  1. Метод базового индикатора (BIA): самый простой подход. Капитал под операционный риск рассчитывается как фиксированный процент (15%) от среднего валового дохода банка за последние три года. Применяется небольшими банками.
  2. Стандартизированный метод (TSA): более сложный. Деятельность банка делится на восемь бизнес-линий (например, корпоративные финансы, торговля, розничный банкинг). Для каждой линии устанавливается свой коэффициент (от 12% до 18%). Капитал рассчитывается как сумма по всем линиям.
  3. Продвинутые методы измерения (AMA): наиболее сложный и чувствительный к риску подход. Банки используют собственные внутренние модели для оценки риска на основе исторических данных о потерях, сценариев, факторов внутренней и внешней среды. Требует развитой системы сбора данных и высококвалифицированного персонала. С 2017 года Базельский комитет предложил отказаться от AMA в пользу стандартизированного подхода, чтобы повысить сопоставимость капитала между банками.

Инструменты управления

Для снижения операционного риска применяются следующие инструменты:

  • Система внутреннего контроля: разделение обязанностей, двойной контроль, лимиты полномочий, сверка данных.
  • Аудит: регулярные проверки со стороны внутреннего и внешнего аудита.
  • Непрерывность бизнеса (BCP): планы действий на случай сбоев, резервные центры обработки данных, аварийное восстановление.
  • Страхование: передача части риска страховой компании (например, от киберпреступлений, ошибок персонала).
  • Обучение персонала: повышение квалификации, тренинги по этике и комплаенс-контролю.
  • Кибербезопасность: защита информационных систем от несанкционированного доступа и атак.
  • Аутсорсинг и автоматизация: передача рутинных операций (например, расчётов) специализированным компаниям или автоматизация процессов для снижения влияния человеческого фактора.

Примеры крупных операционных потерь

  • Barings Bank (1995): банкротство из-за несанкционированной торговли фьючерсами. Убыток — 1,3 млрд долларов.
  • Societe Generale (2008): убыток в 4,9 млрд евро из-за действий трейдера Жерома Кервьеля, который обходил системы контроля.
  • UBS (2011): убыток в 2,3 млрд долларов из-за несанкционированных операций трейдера Квеку Адоболи.
  • JPMorgan Chase (2012): убыток в 6,2 млрд долларов в результате «Лондонского кита» — трейдинговой стратегии, которая не была должным образом оценена и контролировалась.
  • Взрыв на нефтяной платформе Deepwater Horizon (2010): убыток BP составил десятки миллиардов долларов, включая штрафы и затраты на ликвидацию последствий. Хотя это не финансовый сектор, пример иллюстрирует катастрофический характер операционного риска в промышленности.

Регулирование в России

В Российской Федерации регулирование операционного риска осуществляется Банком России. Основные требования изложены в Положении Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Кредитные организации обязаны:

  • Разрабатывать и утверждать внутренние документы по управлению операционным риском.
  • Создавать систему сбора информации о событиях операционного риска (базы данных потерь).
  • Проводить самооценку рисков (RCSA).
  • Рассчитывать величину операционного риска в соответствии с требованиями Банка России (с 2023 года в России внедряется подход, основанный на стандартизированном методе Базеля III).
  • Формировать резерв на возможные потери по операционному риску.

Критика и ограничения

Концепция операционного риска подвергается критике по нескольким направлениям. Во-первых, сложность точной количественной оценки: многие события (например, репутационный ущерб) трудно измерить в денежном выражении. Во-вторых, модели оценки часто опираются на исторические данные, которые не всегда отражают будущие угрозы (например, новые виды кибератак). В-третьих, выделение капитала под операционный риск может быть избыточным для небольших организаций, где основной риск — это человеческий фактор, а не сложные технологические сбои. Наконец, критики отмечают, что чрезмерное увлечение формальными процедурами и регламентами может снижать гибкость и инновационность бизнеса.

Источники

  1. Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
  2. Базельский комитет по банковскому надзору. «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» (Базель II), 2004.
  3. Базельский комитет по банковскому надзору. «Стандартизированный подход к операционному риску», 2017.
  4. Книга: «Управление операционным риском в коммерческом банке» под редакцией А.А. Лобанова, 2015.
  5. Материалы Банка России о методологии расчёта операционного риска.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →