Популярно о рисках: управление операционным риском

Что такое операционный риск? Какие он таит угрозы? Что делают банки для его минимизации?

Операционный риск связан с нарушением банковских правил и/или систем контроля за обработкой, проведением операций, документацией. Он возникает как вследствие внешних причин, так и из-за ошибок работников банка. Операционные потери — прямые или косвенные убытки, полученные банком от операционного риска.

Операционный риск есть во всех банковских продуктах, направлениях деятельности, процессах и системах. В мировой банковской практике управление операционным риском — ключевая задача. Дело в том, что операционный риск связан со всеми другими видами риска, такими как рыночный, кредитный риск, а также риск ликвидности. Отсутствие «операционных провалов» все другие типы риска значительно менее важны. Вот почему.

Я уже писал об ограничениях на размер выдаваемых кредитов, размер открытых позиций банка. Если контроль несовершенен, то эти лимиты могут нарушаться. Результатом могут стать значительные, а иногда и катастрофические убытки.

Представим ситуацию. У банка отлично прописаны процедуры управления кредитным риском. Выставлены критерии к потенциальным заемщикам и обеспечению по кредитам. К оценке залога привлечен внешний специалист. И он оценил залог выше его рыночной стоимости. Так сказать, в пользу заемщика. Внутри банка адекватность оценки залога не перепроверили. Через какое-то время заемщик не смог погасить кредит. Банк рассчитывает погасить долг за счет продажи залога. На деле выясняется, что после его продажи по рыночной цене банк получает всего лишь половину тела кредита. Причина — несоблюдение процедур. Ведь они требовали перепроверить цену залога. Вот так операционный риск увеличивает кредитный. О выдаче отдельными банками заведомо невозвратных кредитов в нарушение всех процедур и правил даже говорить не приходится. Именно такие кредиты привели к тому, что банки, их выдававшие, находятся сегодня на стадии ликвидации.

Другая ситуация — превышение лимитов на торговые операции. Такое нарушение системы контроля сразу увеличивает рыночный риск банка. Если повезет и рыночные колебания будут умеренными, то потери будут небольшими. Но иногда резкие движения цены приводят к очень серьезным, а для некоторых банков, катастрофическим потерям.

Вот самые громкие примеры.

Жером Кервьель, трейдер инвестиционного банка Société Générale в течение 2007 года открыл позиции по фьючерсам на индексы европейских бирж на общую сумму около 50 млрд евро. Это было примерно в 1,5 раза больше капитализации банка. Перед тем, как стать трейдером, Кервьель работал в бэк-офисе банка и хорошо знал механику контроля над сделками. Это помогло ему скрыть свои позиции. Банк обнаружил и расследовал их только в конце января 2008 года. И решил закрыть позиции трейдера как можно быстрее. Огромный размер позиций спровоцировал распродажу на фондовых рынках. Из-за этого Société Générale потерял на открытых Кервьелем позициях составили 4,9 млрд евро ($7,2 млрд).

Джон Руснак, убыток в $691 млн. Американское отделение самого крупного банка Ирландии, Allied Irish Bank, в 1993 наняло на работе Джона Руснака. В 1996 он начал рискованные операции с японской иеной. Ему удалось скрыть от партнеров растущие убытки. В 1997 году убытки Руснака составили $29,1 млн. В 2001 году Джон он потерял $300 млн. Чтобы скрыть убытки, Руснак подделывал отчетность. В итоге находчивый трейдер за свои операции получил премиальных на сумму в $433 000. В 2001 году на момент, когда все обнаружилось, общий объем убытков Allied Irish Bank составил $691 млн.

Самый известный случай — дело Ника Лисона. В 1995 году старший трейдер сингапурского отделения английского банка Barings, самовольно занимавшийся рискованными операциями с фьючерсными контрактами на индекс SIMEX, довел свой банк до банкротства. Контроль над бэк-офисом был также в руках Лисона, поэтому убытки тщательно скрывались и открылись далеко не сразу. Нанесенный Лисоном ущерб составил в итоге $1,3 млрд. Банк был продан за символическую сумму в 1 фунт в 1996 году.

Что общего у этих случаев? Нарушался принцип разделения торговли (то есть принятия риска) и контроля. Где-то был недостаточно квалифицированный бэк-офис, где-то риск-менеджмент, где-то внутренний аудит должен был обнаружить фальшивые сделки. Все это и привело к огромным потерям.

Для идентификации и последующего управления выделяют следующие основные подвиды операционного риска:

• риск персонала;
• риск процесса;
• риск систем (технологический риск);
• внешний риск.

Риск персонала — это риск потерь, связанный с ошибками и противоправными действиями работников банка, их недостаточной квалификацией, излишней загруженностью. Здесь, я думаю, все понятно: если вы перегружены, вы делаете ошибки, если в чем-то недостаточно компетентны, это также может привести к вашим ошибкам и, как следствие, определенным потерям у банка. Например, экономия на зарплатах сотрудников бэк-офиса в небольшом американском филиале Allied Irish Bank вылилась в $691 млн потерь от операций их валютного трейдера.

Если же раскладывать по полочкам все приведенные ранее примеры потерь, можно увидеть весь «букет» составляющих риска персонала, перечисленных выше.

Риск процесса. Это — риск потерь, связанный с ошибками в процессах проведения операций и расчетов по ним, их учета, ценообразования. Есть две основные подгруппы риска процесса:

• Неадекватные процессы. ошибки или несовершенство в процессах, продуктах и ​​услугах банка. Например недостатки в рабочих процедурах и технологическом процессе; внутренние недостатки контроля и неадекватность контроля документации; неадекватная информация для клиентов или других заинтересованных сторон;
• Организация/ответственность. Недостаточное описание в нормативных документах должностных обязанностей, ответственности и полномочий, недостаточная коммуникация между структурными подразделениями; нечеткое распределение обязанностей, ответственности и полномочий.

Все примеры с нарушением лимитов — результат реализации данного вида риска.

Риск систем (технологический риск) — риск потерь, обусловленных несовершенством технологий. Этот риск — следствие неадекватности систем и технологий. То есть все, что связано с недостаточностью IT-поддержки. Например, банк «растет» быстрее, чем возможность IT поддерживать этот рост.

В качестве характерного примера можно привести неадекватную поддержку системы, в которую включаются: отсутствие системной поддержки процессов; недостаточная поддержка системы внутреннего контроля; несовместимость систем; системы, которые не поддерживают рабочий процесс.

Внешние риски — это риски потерь, которые являются результатом отношений банка с внешним миром, например, внешние преступления: кражи, грабежи, проникновения в информационную систему (хакеры, вирусы), остановка функционирования общественных инфраструктур (электропитание, сети передач данных, водоснабжение и т.д.) и природные катастрофы. Сюда также следует добавить и моменты, связанные с законодательной средой, в которой функционируют банки.

Что мы делаем для того, чтобы оценить степень подверженности банка операционному риску и построить эффективную систему управления?

Сразу же оговорим один важный момент: система должна строиться разумно, с учетом затрат на «борьбу с операционным риском» (то есть за его минимизацию). Например, если выявлено какое-то количество мелких инцидентов на общую сумму в 10 000 за год, то строить систему, которая на 100% будет их предотвращать, но стоить 100 000 будет глупо и нелогично.

Как мы эффективно контролируем операционный риск? Мы можем удостовериться в том, что у нас прописаны все процедуры, сопровождающие все операции в банке: прием платежей клиентов, депозитов, выдачу кредитов, операции с валютой и т.д. и периодически анализировать, все ли выполняется согласно инструкций. Проблема в том, что на контроль всего-всего и времени и ресурсов не хватит. Нам и не нужно контролировать все-все. Можно внедрить некоторые методы контроля операционного риска, которые должны помочь минимизировать затраты на контроль одновременно без потерь эффективности самого контроля.

Мы остановимся только на трех основных и интересных с точки зрения внедрения в любой организации, будь-то банк или предприятие. Речь идет об управлении операционными инцидентами, внедрении ключевых индикаторов риска и так называемой, «контрольной самооценке».

Управление инцидентами. Сначала, об управлении операционными инцидентами (событиями). Цель процедуры — обеспечение сообщения проведения расследования и осуществления проверки всех операционных инцидентов. Все операционные инциденты собираются подразделением риск-менеджмента, которое взаимодействует с другими структурными подразделениями банка.

Мы понимаем, что если у нас есть какое-то проблемное («узкое место») в какой-либо процедуре, оно рано или поздно приведет к потерям вследствие реализации операционного события (частые сбои программного обеспечения, подачи электроэнергии).

Выглядит это так: подразделение банка или отделение в каком-либо регионе, информирует о возникшем инциденте в специальной форме (таблице), чтобы потом можно было правильно закрыть возникшую проблему и, что не менее важно, внести событие в базу инцидентов с тем, чтобы минимизировать вероятность возникновения такого события в будущем. Речь может идти именно об устранении того самого «узкого места» в процессе, которое было выявлено благодаря инциденту. При этом должен быть прописан план действий по устранению такого «узкого места».

Например, были нарушены лимиты, выявлен недостаточный контроль за их соблюдением и, соответственно надо принимать организационные меры по усилению такого контроля (риск-менеджмент, бэк-офис).

Ключевые индикаторы риска. Ключевые индикаторы риска (KRI — key risk indicators) — это показатели, используемые для отслеживания и прогнозирования фактов реализации операционного риска.

Ключевые индикаторы риска являются основными инструментами в управлении операционными рисками, с помощью которых можно осуществлять широкий спектр их измерений. В отличие от контрольных мероприятий, которые проводятся периодически, они могут измеряться столько раз, сколько это потребуется (ежедневно, ежемесячно). Такие показатели позволяют оценить текущий статус основных рисков, проверить, находятся ли они в допустимых пределах, выделить слабые места, требующие привлечения дополнительных ресурсов для их снижения.

Примеры ключевых индикаторов риска: текучесть кадров; количество сбоев оборудования; простои оборудования; количество исправленных ордеров; количество выявленных нарушений законодательства, внутренних документов.

Как это работает на практике: если, например, мы видим рост показателя текучести кадров, это может свидетельствовать о том, что у нас не все в порядке с управлением персоналом. При этом может уходить «ключевой персонал», да и вообще, любому новому сотруднику требуется время, чтобы «войти в тему». Соответственно, риск потерь, связанных с ошибками персонала, может значительно вырасти и надо принимать меры, чтобы этого не допустить. Если учащаются сбои в IT сфере, это может свидетельствовать о том, что IT уже не успевает за развитием банка и, возможно, нужен новый план по усовершенствованию информационных систем и технологий.

Контрольная самооценка (анкетирование подразделений): «откровенный разговор о проблемах». Такая оценка необходима для максимально полной идентификации рисков. Как правило, это делается через опросы сотрудников, причем инструмент тем более эффективен, чем большее число работников в таких опросах участвует.

Результаты анкетирования ложатся в основу расчета величины риска в различных подразделениях.

Наиболее приемлемым является вариант, когда в организации с определенной периодичностью проводится выявление потенциальных факторов риска в соответствии с существующими классификациями, а далее вступает в действие принятый алгоритм оценки риска и разработки способов уменьшения риска.
Руководители подразделений Банка, участвующих в рабочей встрече, должны оценить вероятность наступления и возможные последствия рисков, перечисленных в матрице операционных рисков, заранее подготовленной к обсуждению.

В региональных подразделениях оценку операционных рисков проводят региональные координаторы, каждый в пределах своего региона.

Также рассматриваются следующие вопросы:

• Были определены все соответствующие риски?
• Существует потребность в обновлении перечня рисков?
• Правильно эти риски сформулированы?
• Правильно описаны соответствующие средства контроля?
• Эффективны средства контроля?
• Существует вероятность возникновения новых рисков вследствие ожидаемых изменений в деятельности Банка?

Оценка и замечания заносятся в специальную «матрицу рисков». Далее матрица рисков анализируется с точки зрения необходимости создания плана мероприятий по снижению потенциального влияния рисков. Такая необходимость зависит от потенциальной частоты наступления операционных событий и потенциальных потерь от их наступления. Для этого все риски делятся на так называемые «зоны» по цветам:

— зеленая зона – риск незначительный: частота наступления событий невысокая (1 раз в 5-10 лет) и потенциальные финансовые потери будут относительно незначительными. Например, «зеленая зона» потерь будет до 50 или до 100 000.

— желтая зона — риск ограниченный: частота наступления событий средняя (1 раз в 3-5 лет) и потенциальные финансовые потери будут относительно умеренными (например, от 100 000 до 1 млн).

— оранжевая зона — риск значительный: частота наступления событий высокая (1 раз в 1-3 года) и потенциальные финансовые потери будут значительными (например, от 1 млн до 5 млн)

— красная зона – риск критический: частота наступления событий критическая (как минимум 1 раз в год) и потенциальные финансовые потери будут критическими для банка (например, более 5 млн)

Окончательная матрица по цветам формируется на пересечении частоты возникновения и финансовых последствий и на практике может выглядеть так:

Вероятность наступления

Понятно, что для каждого банка или предприятия порог потерь, которые они для себя принимают, будет различным в силу разницы в величине самого учреждения.

Попробуйте сравнить по активам первый и последний банки в Украине и станет понятно, что пороги финансовых потерь для них будут отличаться в разы, если не в десятки раз.

Сами зоны будут находиться на пересечении частоты наступления событий и потенциальных потерь. Например, мелкие, но потенциально частые потери однозначно потребуют к себе повышенного внимания банка и, как следствие, плана мероприятий по снижению частоты наступления таких событий. В то же время, для тех рисков, которые находятся в оранжевой и особенно красной зоне, обязательно потребуется принятие мер для смягчения риска (в частности, план мероприятий с датами и ответственными за выполнение).

Корпоративная культура или почему в банках «не очень борются с операционным риском»?

В качестве заключения я бы хотел остановиться на двух ключевых вопросах.

Идеальная система управления операционным риском, как она выглядит? Почему в большинстве банков она неидеальна: основные причины.

Итак, как должна была бы выглядеть система управления операционным риском, стремящаяся к эталонной (идеальной)? Что необходимо для построения нормальной системы управления операционным риском?

Начнем с «самого верха»: акционеры банка должны быть заинтересованы в поддержании долгосрочной эффективной работы своего банка (в Украине мы зачастую видим прямо противоположные примеры). Руководство банка должно понимать все основные аспекты операционного риска, его важность и взаимосвязанность с другими видами риска. На заседаниях правления и наблюдательного совета должны хотя бы раз в квартал заслушиваться отчеты подразделения риск-менеджмента в сфере контроля операционного риска.

В банке должны быть описаны все процессы, в том числе расписаны полномочия подразделений. Основной упор делается на отделение функций контроля (бэк-офис) от функции принятия риска (фронт-офис).

Персонал квалифицированный и его достаточно.

В банке внедрены, как минимум те инструменты идентификации и контроля операционного риска, о которых мы говорили выше. Реакция всех подразделений и руководства банка на операционные события или ухудшение каких-либо из ключевых индикаторов риска — своевременная и адекватная. Планы по снижению критических уровней отдельных рисков реалистичны и их выполнение отслеживается на постоянной основе.

В-общем, как-то так это должно выглядеть.

Почему же в многих банках в Украине это не работает или, как минимум, «хромает на обе ноги»? Во-первых, в Украине существовало и еще существует достаточное количество учреждений с гордым словом «банк» в названии, но по сути таковыми не являющиеся (как минимум в классическом понимании этого слова). В Украине некоторые банки зачастую работали и все еще работают не как нормальные банки, а как «пылесосы денег» для акционеров. В этом случае о нормальной деятельности речь не идет. Наблюдательный совет и правление должны быть «на страже» интересов всех контрагентов банка, а на деле это не всегда так (кредиты инсайдерам, вывод денег через сомнительные активные операции и т.д.). Понятно, что акционеры такого банка не заинтересованы в построении нормальной (не на бумаге) системы управления рисками и, операционным риском, в частности.

Во-вторых, даже в тех банках, где акционеры заинтересованы в поддержании долгосрочной эффективной работы своего банка (сюда можно отнести и банки с украинским капиталом и «дочки» иностранных банковских групп), имеет место недостаточное понимание серьёзности реализации операционного риска и его влияния на другие виды рисков: все считают, что роль операционного риска вторична.

От экспертов в этой сфере можно часто услышать, что, к сожалению, подход украинских банков к управлению операционным риском часто формальный и методы контроля, о которых упоминалось ранее, если и присутствуют, то ради «галочки» или потому, что так требует «материнский банк» и, соответственно, уже не являются эффективными. Понятно, что в Украине есть «образцово показательные» примеры управления операционным риском в некоторых банках с иностранным капиталом, мы сейчас говорим не о них.

В связи с этим очевидно, что мало просто иметь подразделение, отвечающее за операционные риски в структуре риск-менеджмента банка – эффективность и результативность его работы напрямую зависит от той роли, которую оно играет и какими полномочиями его наделяет руководство банка.

Кроме того, тяжело внедряется правильная корпоративная культура, что приводит к замалчиванию операционных инцидентов. Для управления операционным риском крайне важна корпоративная культура, направленная на открытое признание инцидентов, а не на их сокрытие. Сотрудники должны нести административное наказание за сокрытие информации, а не за информирование о них, так как, выявляя инциденты, можно предотвращать их появление в будущем.

Система премирования должна быть настроена таким образом, чтобы премии, бонусы не подталкивали специалистов фронт-офисов на принятие излишних рисков, а контроль должен быть жестким. Практически невозможно обмануть рынок: вы можете достаточно долго получать высокие прибыли, превышая уровень допустимого, приемлемого риска, но в какой-то момент рынок пойдет в неблагоприятном направлении и потери, если вовремя не принять меры, можно получить огромные, иногда, как мы видели, и катастрофические убытки. И именно понимание этого факта является ключевым для построения эффективной, направленной на поддержку долгосрочной прибыльной работы банка, системы управления рисками. Эффективный контроль операционного риска и будет одним их ключевых элементов такой системы.