В каких случаях банк понес операционный риск ответы на тест сбербанк саксес факторе
Обновлено: 23.04.2024
4.1. Процедуры по управлению риском возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий (далее - операционный риск) должны включать методы выявления и оценки принятого операционного риска в отношении различных направлений деятельности кредитной организации (головной кредитной организации банковской группы, участника банковской группы), в том числе методы оценки и анализа вероятности реализации операционного риска.
Процедуры по управлению операционным риском должны предусматривать:
полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;
наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;
осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);
иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.
4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.
В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.
4.3. В кредитной организации (головной кредитной организации банковской группы) создается и обновляется на постоянной основе аналитическая база данных о событиях операционного риска и потерях, понесенных вследствие его реализации (далее - база событий). База событий ведется в разрезе участников банковской группы, направлений деятельности (структурных подразделений), видов операций (сделок).
Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.
4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.
Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.
4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.
4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:
разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
контроль за соблюдением установленных процедур;
развитие систем автоматизации банковских технологий и защиты информации;
страхование, в том числе:
имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);
личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);
комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.
Анализ базовых видов операционных рисков коммерческого банка проводится по следующей методике:
1. Идентификация рисков.
Первый шаг в анализе рисков - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако, не забывая о возможности захвата террористами), но в пределах выбранных видов провести максимально подробный анализ.
Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты.
2. Оценка вероятности осуществления.
После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
3. Оценка потенциальных (максимальных) потерь при наступлении события.
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
4. Оценка ожидаемых потерь (приемлемости риска).
После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на потенциальный ущерб.
Если для вероятности и величины ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9.
Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале.
По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
Проведем анализ базовых видов операционных рисковна примереодного из дополнительных офисов ОАО «Сбербанк России».
Рассмотрим группы операционных рисков применительно к анализируемому банку (табл. 7).
Таблица 7 – Основные операционные риски и последствия их реализации в дополнительном офисе Сбербанка
| Группы операционных рисков | Угроза | Последствия реализации |
| Персонал банка | Недостаточная компетентность и отсутствие опыта | Ошибки в работе, занесение ошибочных данных |
| Внутреннее мошенничество | Хищение денег тем или иным способом | |
| Процессы и внутренний контроль | Использование некорректных данных, проводок и расчетов по финансовым операциям | Ошибки в отчетности, ведущие к потерям банка |
| Неадекватное распределение полномочий | Передача больших полномочий сотрудникам, к которым нет доверия, или тем, у которых нет большого опыта работы. Может привести к хищениям, ошибкам в работе, злоупотреблению должностным положением | |
| Информационные системы и технологии | Сбои информационной системы и отказ оборудования | Остановка всей работы банка на неопределенный период. Ведет к потерям банка |
| Неполное резервное копирование данных | Потеря данных без возможности восстановления | |
| Незащищенная обработка данных | Хищение данных третьими лицами | |
| Взлом информационной системы и заражение вирусом | Потеря данных, уничтожение, намеренное внесение некорректных ошибок и т.д. |
После идентификации угроз оценим вероятность их осуществления в Сбербанке России, используя трехбалльную шкалу (табл. 8).
Таблица 8 – Оценка вероятности осуществления операционных рисков в дополнительном офисе Сбербанка
| Группы операционных рисков | Угроза | Вероятность |
| низкая (1) | средняя (2) | высокая (3) |
| Персонал банка | Недостаточная компетентность и отсутствие опыта | + |
| Внутреннее мошенничество | + | |
| Процессы и внутренний контроль | Использование некорректных данных, проводок и расчетов по финансовым операциям | + |
| Неадекватное распределение полномочий | + | |
| Информационные системы и технологии | Сбои информационной системы и отказ оборудования | + |
| Неполное резервное копирование данных | + | |
| Незащищенная обработка данных | + | |
| Взлом информационной системы и заражение вирусом | + |
Таким образом, три вида угроз характеризуются низкой вероятностью осуществления, четыре – средней, а одна угроза имеет высокий уровень вероятности реализации. При этом, ни одной угрозе не установлен нулевой уровень вероятности, что характеризовало бы ее невозможностью реализации.
Далее необходимо установить максимальные потери от возникновения риска, для чего составим табл. 9.
Таблица 9 – Оценка потенциального ущерба от реализации операционных рисков в дополнительном офисе Сбербанка
| Группы операционных рисков | Угроза | Оценка возможного ущерба |
| В баллах | В тыс. руб. | |
| Персонал банка | Недостаточная компетентность и отсутствие опыта | 5 100 |
| Внутреннее мошенничество | 100 000 | |
| Процессы и внутренний контроль | Использование некорректных данных, проводок и расчетов по финансовым операциям | 2 000 |
| Неадекватное распределение полномочий | 1 000 | |
| Информацион-ные системы и технологии | Сбои информационной системы и отказ оборудования | 3 300 |
| Неполное резервное копирование данных | 1 000 | |
| Незащищенная обработка данных | 6 000 | |
| Взлом информационной системы и заражение вирусом | 50 000 | |
| ИТОГО | 168 400 |
Примерная оценка ущерба от реализации операционных рисков в одном из дополнительных офисов Сбербанка России показала, что при реализации всех рисков банк может потерять 168400 тыс. руб. или 168,4 млн. руб.
На основании приведенных выше данных оценим приемлемость риска для банка. Для этого составим табл. 10.
Таблица 10 – Оценка ожидаемого ущерба от реализации операционных рисков в дополнительном офисе Сбербанка
| Угроза | Приемлемость риска (Вероятность × ущерб в баллах) | Общая оценка риска | Общая оценка риска (в баллах) | Скорректированная сумма ущерба (1 балл – 33 % от суммы) |
| Недостаточная компетентность и отсутствие опыта | Высокий | |||
| Внутреннее мошенничество | Высокий | |||
| Использование некорректных данных, проводок и расчетов по финансовым операциям | Низкий | |||
| Неадекватное распределение полномочий | Низкий | |||
| Сбои информационной системы и отказ оборудования | Средний | |||
| Неполное резервное копирование данных | Низкий | |||
| Незащищенная обработка данных | Низкий | |||
| Взлом информационной системы и заражение вирусом | Высокий | |||
| ИТОГО | - | - | - |
Ожидаемые потери оценивались исходя из величины 1 балла – 33,3% (0,333):
5100 тыс. руб. × 1,0 = 5100 тыс. руб.
2000 тыс. руб. × 0,333 = 666 = 670 тыс. руб.
Ожидаемая величина ущерба может составить 160630 тыс. руб.
Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом. Рассмотрим основные причины, которые ведут к возникновению этих угроз в дополнительном офисе Сбербанка России (табл. 11).
Таблица 11 – Причины возникновения угрозы операционных рисков в дополнительном офисе Сбербанка
| Угроза | Причины |
| 1. Недостаточная компетентность и отсутствие опыта | - нехватка квалифицированных и опытных кадров на местном рынке; - банк не уделяет достаточного внимания обучению и повышению уровня квалификации сотрудников; - недостаточный период адаптации сотрудников перед вступлением в должность. |
| 2. Внутреннее мошенничество | - непроработанная система отбора кадров, в результате чего на рабочие места попадают люди, склонные к мошенничеству; - слабая система внутренней безопасности, что способствует осуществлению незаконных операций. |
| 3. Сбои информационной системы и отказ оборудования | - использование нелицензионных или несовместимых приложений; - неисправность сетевых кабелей и соединительных разъемов (обрывы кабеля, короткое замыкание и физическое повреждение соединительных устройств и т.д.); - слабые серверы. |
| 4. Взлом информационной системы и заражение вирусом | - доступ к виртуальным ключам имеет несколько пользователей (к каждому); - Защита на сервере имеет только один уровень; - сотрудники вводят короткие пароли, которые легко подобрать внешним мошенникам; - подключение к сети неавторизованного оборудования. |
На основании проведенного анализа угроз, вероятности их возникновения и возможного ущерба необходимо разработать мероприятия по снижению операционных рисков в анализируемом филиале Сбербанка России.
Таким образом, примерная оценка ущерба от реализации операционных рисков в дополнительном офисе Сбербанка России показала, что при реализации всех рисков банк может потерять 168,4 млн. руб. Реальная величина ущерба может составить 160,63 млн. руб. Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом.
Рекомендации по снижению операционных рисков в анализируемом офисе Сбербанка России:
1. Повышение квалификации специалистов банка за счет банка: разработка системы обучения и повышения квалификации; отправлять работников на специализированные семинары; стажировка молодых специалистов в других регионах системы Сбербанка РФ; разработка системы адаптации новых работников.
2. Для вновь нанятых работников целесообразно проводить «интервал-тренинг» (признанный в Европе наилучшей методикой безболезненного «врабатывания» нового работника в его обязанности). Он наиболее подходит для специалистов банка.
3. Для того, чтобы предотвратить или выявить внутреннее мошенничество в банке, рекомендуется, во-первых, проверить всех работающих банка, а, во-вторых, вновь поступающих на работу проверять на полиграфе.
4. Для предотвращения поломок и сбоев оборудования, рекомендуется приобрести сканеры сетевого кабеля, установки источников бесперебойного питания, системы дисковых массивов, архивные серверы.
5. Для предотвращения взломов информационной системы и заражения вирусом внедрить системы smart–использовать систему шифрования данных, ограничивать доступ в помещения посторонних лиц или сотрудников других подразделений, жёстко ограничивать круг лиц, имеющих доступ к каждому компьютеру, требовать, чтобы пользователи выбирали длинные пароли, задействовать программу генерации паролей.
6. Использовать автоматизированную систему управления операционными рисками, которая позволяет осуществлять: сбор данных о фактически понесенных потерях, вызванных влиянием операционного риска; мониторинг неблагоприятных событий операционного характера и вызванных ими потерь; генерацию отчетов, анализ и визуализация накопленной статистики; проведение опросов экспертов с целью оценки влияния факторов операционного риска на бизнес-процессы банка и построение на полученных данных карты рисков; расчет оценки требований на капитал для покрытия возможных потерь от операционных рисков и т.д.
7. Ввести отдел по управлению операционными рисками. В отдел будет входить два специалиста: начальник отдела и риск – менеджер.
ЦБ обяжет банки по-новому оценивать операционные риски и подсчитывать ущерб в случае их реализации. Речь идет о потерях от самых разных событий — от краж до исков о харассменте. Банкам теперь придется изменить риск-системы
Банк России опубликовал проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Документ разработан по следам декабрьского решения Базельского комитета по банковскому надзору, который в конце 2017 года уточнил подход к оценке операционного риска для расчета норматива достаточности капитала в рамках стандарта Basel III, говорится в пояснительной записке к проекту.
Новый базельский подход будет внедрен с 2022 года, но для соответствия ему банки должны будут собрать информацию о потерях от «событий операционного риска» минимум за последние пять лет.
Ошибки и недостатки
Разработанное ЦБ положение содержит требования к системе учета операционных рисков и классификацию событий, ущерб от которых банки должны будут подсчитывать в рамках управления операционными рисками, — от ошибок менеджмента и действий регулятора до судебных издержек из-за харассмента и дискриминации по национальному признаку.
В документе приводится категоризация операционных рисков по причинам возникновения, типам событий, направлениям деятельности и видам потерь. По причинам операционные риски делятся на четыре категории: ошибки и недостатки процессов (неэффективная организация управления банком, несоответствие процедур управления «масштабам деятельности кредитной организации» и требованиям законодательства); риски, связанные с действиями персонала; сбои информационных и технологических систем банков; действия внешних причин (речь, в частности, идет о действиях госорганов, регулятора и правоохранителей).
Самая подробная классификация установлена для типов событий — это семь видов событий первого уровня, каждый из которых содержит несколько типов событий второго уровня. Кроме того, у банков есть право ввести еще более детальный учет событий операционного риска, вводя в классификацию события третьего уровня.
Классификация событий операционного риска
1. Внутреннее мошенничество (преднамеренное превышение сотрудниками банков своих полномочий; кражи и мошенничество с их стороны в целях получения личной выгоды).
2. Внешнее мошенничество (кражи и мошенничество со стороны третьих лиц, кибератаки на инфраструктуру банка и хищение средств клиентов).
3. Нарушения кадровой политики и безопасности труда (выплаты компенсаций сотрудникам из-за нарушений трудового законодательства; нанесение ущерба здоровью работников из-за несоблюдения норм безопасности, штрафы надзорным органам, нарушения прав граждан, связанные с дискриминацией — половой, расовой, национальной и др.).
4. Нарушения прав клиентов и нанесение им ущерба (раскрытие конфиденциальной информации, нарушение условий договоров, навязывание дополнительных услуг, несоблюдение законодательства в сфере противодействия отмывания доходов, нанесение ущерба контрагентам).
5. Ущерб материальным активам из-за стихийных событий и форс-мажоров (природные, техногенные, социальные, медико-биологические катастрофы и т.д.).
6. Нарушения функционирования и сбои систем (сбои в работе программного обеспечения; сбои водо- и энергоснабжения).
7. Нарушения при организации, исполнении и управлении процессами (ошибки при подготовке и проведении банковских операций, ведении бухучета, документооборота, расчетов с клиентами, недостатки в работе контрагентов).
40% в год — уже норма: как живет Аргентина в условиях рекордной инфляции
Какие секреты Google и Apple прячут в отчетности
На рынке продовольствия паника. Сможет ли мир избежать голода
Локдауны в Китае грозят новым логистическим кризисом. Чего ждать
Почему инвесторы бегут из крипты: две причины и одна теория заговора
На Мосбиржу вернулись БПИФы на иностранные бумаги. Что делать инвестору
Как не ошибиться, создавая собственную торговую марку
Кто и как сегодня заключает контракты с блогерами
При учете потерь ЦБ предлагает делить их на прямые и непрямые, а последние — на качественные и косвенные. Прямые потери — это снижение стоимости активов, их досрочное списание, денежные выплаты клиентам и служащим в порядке компенсации во внесудебном порядке, судебные издержки и т.д. Качественные потери — отток клиентов, снижение качества предоставления услуг, приостановка деятельности в результате неблагоприятного события и др. Косвенные потери — недополученные запланированные доходы, расходы на оплату услуг привлеченных по отдельным договорам специалистов (например, оценщиков и консультантов), повышение стоимости заимствований в результате события операционного риска. Все потери от операционных рисков должны фиксироваться банками в специальной базе событий.
Банки должны будут привести свои системы в соответствие с новым положением к концу 2019 года, а с 2020 года ЦБ начнет оценивать, насколько их системы управления операционным риском соответствуют новым стандартам. Если система не соответствует стандартам, а кредитная организация это несоответствие не устраняет, ЦБ сможет воспользоваться мерами из ст. 74 закона «О ЦБ» (предполагает широкий набор — от штрафа до ввода временной администрации).
Издержки на классификацию
Приведение систем управления операционным риском в соответствие с новыми регулятивными требованиями до 2022 года, безусловно, повлечет дополнительные издержки со стороны банков, считает ведущий методолог «Эксперт РА» Юрий Беликов. Проект документа, основанный на уточненных подходах Базеля III, регламентирует процесс управления операционным риском намного более детально, чем действующие нормативные акты регулятора, отмечает он. Одно из основных требований — ведение подробной базы данных о потерях по операционному риску, говорит эксперт: такие базы давно ведутся всеми банками, но теперь все занесенные в них события должны быть четко классифицированы и дополнены причинно-следственными связями (в том числе связями с другими видами рисков).
Для адаптации баз данных и алгоритмов их ведения к новым стандартам потребуется их реструктуризация и внесение существенных изменений в управленческий учет, прогнозирует Беликов. Как минимум это дополнительные трудозатраты, которые могут потребовать расширения штата технических специалистов. Кроме того, внедряя в российскую практику базельские подходы, Банк России продолжает курс на усиление контроля кибербезопасности в банках, добавляет эксперт. Впрочем, изменив систему управления операционным риском, банки смогут уменьшить его давление на достаточность капитала, что немного «разгрузит» капитал и позволит разместить больший объем собственных и привлеченных средств в доходные активы под риском, заключает Юрий Беликов.
Проект ЦБ предполагает значительную перегруппировку риска, которым подвержены банки, расширяя понятие операционных рисков, подтверждает член правления ВТБ Максим Кондратенко. Так, к операционному риску отнесены модельный и стратегический риски, указывает он. Первый связан с ошибками при разработке методик и моделей оценки активов и рисков, второй — это риск возникновения убытков из-за ошибок при принятии решений по стратегии и развитию банка. Раньше эти риски выделялись как отдельные, говорит Кондратенко. При обсуждении предложенного ЦБ проекта необходимо исключить дублирование контрольных процедур и оценки рисков. При этом все виды риска, перечисленные в проекте ЦБ, ВТБ оценивает и сейчас.
Промсвязьбанк также сообщил, что оценивает все указанные риски. Предложенная ЦБ структура оценки «не стала для банка неожиданностью», отметил директор дирекции рисков Промсвязьбанка Евгений Гришин. «Развитие управления рисками, и в частности операционными рисками, всегда требует вложений ресурсов, как человеческих, так и материальных, в особенности в крупных финансовых организациях. В настоящее время наше развитие в этом направлении прежде всего связано с новым статусом банка как опорной кредитной организации по сопровождению гособоронзаказа, где вопросам информационной и кибербезопасности уделяется особое внимание», — подчеркнул Гришин.
В пресс-службе Россельхозбанка отметили, что предложенные ЦБ новые требования «в высокой степени соответствуют» той системе управления операционным риском, которая существует в банке сейчас. При этом банку все же потребуется провести «дополнительные мероприятия по адаптации некоторых элементов» управления операционным риском к новым требованиям регулятора.
Большая часть банков из топ-10 по объему активов не ответила на запросы РБК, в Сбербанке отказались от комментариев.
ЦБ обяжет банки по-новому оценивать операционные риски и подсчитывать ущерб в случае их реализации. Речь идет о потерях от самых разных событий — от краж до исков о харассменте. Банкам теперь придется изменить риск-системы
Банк России опубликовал проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Документ разработан по следам декабрьского решения Базельского комитета по банковскому надзору, который в конце 2017 года уточнил подход к оценке операционного риска для расчета норматива достаточности капитала в рамках стандарта Basel III, говорится в пояснительной записке к проекту.
Новый базельский подход будет внедрен с 2022 года, но для соответствия ему банки должны будут собрать информацию о потерях от «событий операционного риска» минимум за последние пять лет.
Ошибки и недостатки
Разработанное ЦБ положение содержит требования к системе учета операционных рисков и классификацию событий, ущерб от которых банки должны будут подсчитывать в рамках управления операционными рисками, — от ошибок менеджмента и действий регулятора до судебных издержек из-за харассмента и дискриминации по национальному признаку.
В документе приводится категоризация операционных рисков по причинам возникновения, типам событий, направлениям деятельности и видам потерь. По причинам операционные риски делятся на четыре категории: ошибки и недостатки процессов (неэффективная организация управления банком, несоответствие процедур управления «масштабам деятельности кредитной организации» и требованиям законодательства); риски, связанные с действиями персонала; сбои информационных и технологических систем банков; действия внешних причин (речь, в частности, идет о действиях госорганов, регулятора и правоохранителей).
Самая подробная классификация установлена для типов событий — это семь видов событий первого уровня, каждый из которых содержит несколько типов событий второго уровня. Кроме того, у банков есть право ввести еще более детальный учет событий операционного риска, вводя в классификацию события третьего уровня.
Классификация событий операционного риска
1. Внутреннее мошенничество (преднамеренное превышение сотрудниками банков своих полномочий; кражи и мошенничество с их стороны в целях получения личной выгоды).
2. Внешнее мошенничество (кражи и мошенничество со стороны третьих лиц, кибератаки на инфраструктуру банка и хищение средств клиентов).
3. Нарушения кадровой политики и безопасности труда (выплаты компенсаций сотрудникам из-за нарушений трудового законодательства; нанесение ущерба здоровью работников из-за несоблюдения норм безопасности, штрафы надзорным органам, нарушения прав граждан, связанные с дискриминацией — половой, расовой, национальной и др.).
4. Нарушения прав клиентов и нанесение им ущерба (раскрытие конфиденциальной информации, нарушение условий договоров, навязывание дополнительных услуг, несоблюдение законодательства в сфере противодействия отмывания доходов, нанесение ущерба контрагентам).
5. Ущерб материальным активам из-за стихийных событий и форс-мажоров (природные, техногенные, социальные, медико-биологические катастрофы и т.д.).
6. Нарушения функционирования и сбои систем (сбои в работе программного обеспечения; сбои водо- и энергоснабжения).
7. Нарушения при организации, исполнении и управлении процессами (ошибки при подготовке и проведении банковских операций, ведении бухучета, документооборота, расчетов с клиентами, недостатки в работе контрагентов).
При учете потерь ЦБ предлагает делить их на прямые и непрямые, а последние — на качественные и косвенные. Прямые потери — это снижение стоимости активов, их досрочное списание, денежные выплаты клиентам и служащим в порядке компенсации во внесудебном порядке, судебные издержки и т.д. Качественные потери — отток клиентов, снижение качества предоставления услуг, приостановка деятельности в результате неблагоприятного события и др. Косвенные потери — недополученные запланированные доходы, расходы на оплату услуг привлеченных по отдельным договорам специалистов (например, оценщиков и консультантов), повышение стоимости заимствований в результате события операционного риска. Все потери от операционных рисков должны фиксироваться банками в специальной базе событий.
Банки должны будут привести свои системы в соответствие с новым положением к концу 2019 года, а с 2020 года ЦБ начнет оценивать, насколько их системы управления операционным риском соответствуют новым стандартам. Если система не соответствует стандартам, а кредитная организация это несоответствие не устраняет, ЦБ сможет воспользоваться мерами из ст. 74 закона «О ЦБ» (предполагает широкий набор — от штрафа до ввода временной администрации).
Издержки на классификацию
Приведение систем управления операционным риском в соответствие с новыми регулятивными требованиями до 2022 года, безусловно, повлечет дополнительные издержки со стороны банков, считает ведущий методолог «Эксперт РА» Юрий Беликов. Проект документа, основанный на уточненных подходах Базеля III, регламентирует процесс управления операционным риском намного более детально, чем действующие нормативные акты регулятора, отмечает он. Одно из основных требований — ведение подробной базы данных о потерях по операционному риску, говорит эксперт: такие базы давно ведутся всеми банками, но теперь все занесенные в них события должны быть четко классифицированы и дополнены причинно-следственными связями (в том числе связями с другими видами рисков).
Для адаптации баз данных и алгоритмов их ведения к новым стандартам потребуется их реструктуризация и внесение существенных изменений в управленческий учет, прогнозирует Беликов. Как минимум это дополнительные трудозатраты, которые могут потребовать расширения штата технических специалистов. Кроме того, внедряя в российскую практику базельские подходы, Банк России продолжает курс на усиление контроля кибербезопасности в банках, добавляет эксперт. Впрочем, изменив систему управления операционным риском, банки смогут уменьшить его давление на достаточность капитала, что немного «разгрузит» капитал и позволит разместить больший объем собственных и привлеченных средств в доходные активы под риском, заключает Юрий Беликов.
Проект ЦБ предполагает значительную перегруппировку риска, которым подвержены банки, расширяя понятие операционных рисков, подтверждает член правления ВТБ Максим Кондратенко. Так, к операционному риску отнесены модельный и стратегический риски, указывает он. Первый связан с ошибками при разработке методик и моделей оценки активов и рисков, второй — это риск возникновения убытков из-за ошибок при принятии решений по стратегии и развитию банка. Раньше эти риски выделялись как отдельные, говорит Кондратенко. При обсуждении предложенного ЦБ проекта необходимо исключить дублирование контрольных процедур и оценки рисков. При этом все виды риска, перечисленные в проекте ЦБ, ВТБ оценивает и сейчас.
Промсвязьбанк также сообщил, что оценивает все указанные риски. Предложенная ЦБ структура оценки «не стала для банка неожиданностью», отметил директор дирекции рисков Промсвязьбанка Евгений Гришин. «Развитие управления рисками, и в частности операционными рисками, всегда требует вложений ресурсов, как человеческих, так и материальных, в особенности в крупных финансовых организациях. В настоящее время наше развитие в этом направлении прежде всего связано с новым статусом банка как опорной кредитной организации по сопровождению гособоронзаказа, где вопросам информационной и кибербезопасности уделяется особое внимание», — подчеркнул Гришин.
В пресс-службе Россельхозбанка отметили, что предложенные ЦБ новые требования «в высокой степени соответствуют» той системе управления операционным риском, которая существует в банке сейчас. При этом банку все же потребуется провести «дополнительные мероприятия по адаптации некоторых элементов» управления операционным риском к новым требованиям регулятора.
Большая часть банков из топ-10 по объему активов не ответила на запросы РБК, в Сбербанке отказались от комментариев.
Банк России рассчитывает, что через пять лет системно значимые кредитные организации будут оценивать риски своих заемщиков на основе внутренних рейтингов. Пока это делают только два игрока — Сбербанк и Райффайзенбанк
Банк России планирует организовать переход крупнейших банков на ПВР-подход — модель оценки рисков и капитала на основе внутренних рейтингов заемщиков, которые присваивают сами банки. Об этом заявил зампред ЦБ Василий Поздышев на форуме финансовых технологий «Финополис», передает корреспондент РБК.
Сейчас ПВР-подход в России применяют только Сбербанк и Райффайзенбанк. На них приходится около 30% активов банковской системы страны, отметил Поздышев. Через пять лет может быть достигнута планка в 70% активов, считает он. Для этого на ПВР-подход должны перейти все 11 системно значимых банков.
Самостоятельный анализ
ПВР-подход, или IRB-подход, — это продвинутый способ оценки кредитного риска банков. Для расчета достаточности капитала и других нормативов организация должна взвешивать риски клиентов, которым выданы кредиты. Банк на ПВР-подходе может делать это, присваивая заемщикам собственные рейтинги качества. Так он может сэкономить на резервах, высвободив капитал, следует из рекомендаций Базельского комитета.
Банк оценивает риски заемщиков ретроспективно, на материале всей накопленной статистики. На основе этого анализа строится модель, по которой можно оценивать качество новых ссуд. Модель должна пройти валидацию в Банке России.
С 2018 года ПВР-подход применяет Сбербанк. С 1 февраля 2019 года на него перешел Райффайзенбанк. Заявку в ЦБ для перехода на ПВР-подход в конце прошлого года подал Альфа-банк.
«Самый корректный подход, который оценивает кредитный риск, — это ПВР. Потому что оцениваются кредитные риски клиентов конкретного банка, которые зависят не только от качества самого клиента, но и от качества работы самого банка», — пояснил Поздышев журналистам.
По его словам, инициатива перехода крупнейших банков на ПВР-подход принадлежит Минэкономразвития. ЦБ идею поддержал, но участникам рынка нужно дать время.
«Мы считаем, что для этого нужен какой-то серьезный период времени, не менее пяти лет, потому что банки должны подготовиться, должны быть правильно сформированы базы данных», — пояснил Поздышев. По его словам, перевод системно значимых банков на ПВР-подход может потребовать изменить законодательство, если стандарт станет обязательным. Пока банки выбирают альтернативный подход для расчета рисков добровольно, дискуссия на эту тему продолжается, уточнил Поздышев.
Автор статьи
Читайте также: