Операционный риск
Операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Данное определение, закреплённое в нормативных актах Банка России, охватывает широкий спектр источников потерь, от человеческих ошибок до сбоев в программном обеспечении и внешних катастроф.
История развития концепции
До 1990-х годов операционный риск не выделялся в качестве самостоятельной категории в банковском деле и управлении рисками. Традиционно финансовые организации фокусировались на кредитном и рыночном рисках. Ряд крупных финансовых катастроф, произошедших в конце XX — начале XXI века, продемонстрировал, что операционные сбои могут приводить к потерям, сопоставимым с потерями от кредитных дефолтов или обвалов рынка.
Ключевым событием, изменившим подход к операционному риску, стало банкротство британского банка Barings в 1995 году. Банк рухнул из-за несанкционированных спекулятивных операций трейдера Ника Лисона, который, используя недостатки внутреннего контроля, накопил убытки в размере 827 миллионов фунтов стерлингов. Это наглядно показало, что недостатки в управлении персоналом и отсутствие разделения обязанностей могут уничтожить даже старейшее финансовое учреждение.
В 2001 году Базельский комитет по банковскому надзору (БКБН) впервые официально включил операционный риск в структуру капитала в рамках Базеля II. С этого момента банки были обязаны не только идентифицировать и оценивать операционный риск, но и резервировать под него капитал. В 2008 году мировой финансовый кризис дополнительно акцентировал внимание на операционных рисках, связанных с мошенничеством, сложными финансовыми инструментами и недостатками моделей оценки.
Классификация операционного риска
Операционный риск не является однородным. Для целей управления и расчёта капитала его принято разделять по источникам возникновения и типам событий.
По источникам возникновения
- Внутренние факторы:
- Человеческий фактор: ошибки персонала (непреднамеренные), мошенничество (умышленные действия, включая инсайдерскую торговлю и хищение активов), недостаточная квалификация, нарушение трудового законодательства.
- Процессные факторы: недостатки в регламентах и процедурах, неверное оформление сделок, ошибки в расчётах и платежах, неэффективный документооборот.
- Технологические факторы: сбои в работе информационных систем (аппаратное и программное обеспечение), ошибки в коде, потеря данных, кибератаки, устаревание технологий.
- Внешние факторы:
- Внешнее мошенничество: кражи, ограбления, подделка документов, атаки хакеров.
- Регуляторные и правовые риски: изменение законодательства, судебные иски, штрафы со стороны надзорных органов.
- Физические события: стихийные бедствия (пожары, наводнения, землетрясения), террористические акты, пандемии, перебои в подаче электроэнергии.
По типам событий (классификация Базельского комитета)
Базель II выделяет семь основных категорий событий операционного риска, которые используются для сбора данных и расчёта капитала:
- Внутреннее мошенничество (Internal Fraud): умышленные действия сотрудников, направленные на хищение, уклонение от налогов, умышленное искажение отчётности.
- Внешнее мошенничество (External Fraud): действия третьих лиц (ограбления, подделка чеков, киберпреступления).
- Практика трудовых отношений и безопасность труда (Employment Practices and Workplace Safety): нарушения трудового законодательства, дискриминация, несчастные случаи на производстве, выплаты по искам сотрудников.
- Клиенты, продукты и деловая практика (Clients, Products & Business Practice): непреднамеренное или халатное невыполнение обязательств перед клиентами (например, ненадлежащая консультация, раскрытие информации, нарушение фидуциарных обязанностей), дефекты продуктов, отмывание денег.
- Ущерб физическим активам (Damage to Physical Assets): убытки от стихийных бедствий, терактов, вандализма.
- Сбои в работе систем и бизнес-процессов (Business Disruption and System Failures): отказы оборудования, программного обеспечения, телекоммуникаций, сбои в электроснабжении.
- Исполнение сделок, поставка и управление процессами (Execution, Delivery & Process Management): ошибки при вводе данных, обработке транзакций, несвоевременное проведение платежей, неверное ведение счетов, провалы в управлении залогами.
Методы оценки и управления
Управление операционным риском — это непрерывный процесс, включающий идентификацию, оценку, мониторинг, контроль и минимизацию.
Оценка величины риска
Для количественной оценки операционного риска используются три основных подхода, рекомендованных Базельским комитетом:
- Метод базового индикатора (BIA): самый простой подход. Капитал под операционный риск рассчитывается как фиксированный процент (15%) от среднего валового дохода банка за последние три года. Применяется небольшими банками.
- Стандартизированный метод (TSA): более сложный. Деятельность банка делится на восемь бизнес-линий (например, корпоративные финансы, торговля, розничный банкинг). Для каждой линии устанавливается свой коэффициент (от 12% до 18%). Капитал рассчитывается как сумма по всем линиям.
- Продвинутые методы измерения (AMA): наиболее сложный и чувствительный к риску подход. Банки используют собственные внутренние модели для оценки риска на основе исторических данных о потерях, сценариев, факторов внутренней и внешней среды. Требует развитой системы сбора данных и высококвалифицированного персонала. С 2017 года Базельский комитет предложил отказаться от AMA в пользу стандартизированного подхода, чтобы повысить сопоставимость капитала между банками.
Инструменты управления
Для снижения операционного риска применяются следующие инструменты:
- Система внутреннего контроля: разделение обязанностей, двойной контроль, лимиты полномочий, сверка данных.
- Аудит: регулярные проверки со стороны внутреннего и внешнего аудита.
- Непрерывность бизнеса (BCP): планы действий на случай сбоев, резервные центры обработки данных, аварийное восстановление.
- Страхование: передача части риска страховой компании (например, от киберпреступлений, ошибок персонала).
- Обучение персонала: повышение квалификации, тренинги по этике и комплаенс-контролю.
- Кибербезопасность: защита информационных систем от несанкционированного доступа и атак.
- Аутсорсинг и автоматизация: передача рутинных операций (например, расчётов) специализированным компаниям или автоматизация процессов для снижения влияния человеческого фактора.
Примеры крупных операционных потерь
- Barings Bank (1995): банкротство из-за несанкционированной торговли фьючерсами. Убыток — 1,3 млрд долларов.
- Societe Generale (2008): убыток в 4,9 млрд евро из-за действий трейдера Жерома Кервьеля, который обходил системы контроля.
- UBS (2011): убыток в 2,3 млрд долларов из-за несанкционированных операций трейдера Квеку Адоболи.
- JPMorgan Chase (2012): убыток в 6,2 млрд долларов в результате «Лондонского кита» — трейдинговой стратегии, которая не была должным образом оценена и контролировалась.
- Взрыв на нефтяной платформе Deepwater Horizon (2010): убыток BP составил десятки миллиардов долларов, включая штрафы и затраты на ликвидацию последствий. Хотя это не финансовый сектор, пример иллюстрирует катастрофический характер операционного риска в промышленности.
Регулирование в России
В Российской Федерации регулирование операционного риска осуществляется Банком России. Основные требования изложены в Положении Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Кредитные организации обязаны:
- Разрабатывать и утверждать внутренние документы по управлению операционным риском.
- Создавать систему сбора информации о событиях операционного риска (базы данных потерь).
- Проводить самооценку рисков (RCSA).
- Рассчитывать величину операционного риска в соответствии с требованиями Банка России (с 2023 года в России внедряется подход, основанный на стандартизированном методе Базеля III).
- Формировать резерв на возможные потери по операционному риску.
Критика и ограничения
Концепция операционного риска подвергается критике по нескольким направлениям. Во-первых, сложность точной количественной оценки: многие события (например, репутационный ущерб) трудно измерить в денежном выражении. Во-вторых, модели оценки часто опираются на исторические данные, которые не всегда отражают будущие угрозы (например, новые виды кибератак). В-третьих, выделение капитала под операционный риск может быть избыточным для небольших организаций, где основной риск — это человеческий фактор, а не сложные технологические сбои. Наконец, критики отмечают, что чрезмерное увлечение формальными процедурами и регламентами может снижать гибкость и инновационность бизнеса.
Источники
- Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
- Базельский комитет по банковскому надзору. «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» (Базель II), 2004.
- Базельский комитет по банковскому надзору. «Стандартизированный подход к операционному риску», 2017.
- Книга: «Управление операционным риском в коммерческом банке» под редакцией А.А. Лобанова, 2015.
- Материалы Банка России о методологии расчёта операционного риска.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →