ВОПРОСЫ МЕТОДОЛОГИИ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ РИСКАМИ БАНКА
УДК 336.71.078.3
Давид Ильич Филиппов,
к.э.н., доцент, каф. Банковского дела Российского экономического университета имени Г.В. Плеханова Тел.: (915) 199-19-99 Эл .почта: [email protected]
В статье освещены вопросы методологии управления операционными рисками в коммерческом банке. Рассматриваются основные источники операционных рисков, индикаторы риска, методы оценки операционных рисков.
Ключевые слова: кредитные организации, банк, управление рисками, операционный риск, методология, индикаторы риска, банковская система, капитал, достаточность капитала, финансовый кризис, финансовый рынок.
David I. Philippov.
PhD in Finance, Associate Professor of the Banking Department at the Plekhanov Russian University of Economics (PRUE). Tel.: (915) 199-19-99 E-mail: [email protected]
METHODOLOGICAL ISSUES OF BANKING OPERATIONAL RISK MANAGEMENT
The article highlights the issues of operational risk management methodology in commercial bank. The main sources of operational risks, risk indicators, operational risk assessment techniques.
Keywords: credit institutions, bank, risk-management, operational risk, methodology, risk indicators, banking system, capital, capital adequacy, financial crisis, financial market.
1. Введение
В своей деятельности банки сталкиваются с различными видами рисков, основными из которых являются: кредитный риск, рыночный риск, риск потери ликвидности и операционный риск. Попробуем разобраться в особенностях управления операционным риском в коммерческом банке.
Следует напомнить, что интерес к операционным рискам резко возрос в результате банкротства банка Barings (Банк Barings рухнул в результате несанкционированной торговли деривативами, проведенной трейдером сингапурского отделения банка Ника Лисона. Акционеры банка не смогли покрыть убытков по открытым позициям, общая величина которых оценивалась $примерно в $1,4 млрд. Основная причина - политика, процедуры и методы контроля за рисками не позволили руководству банка вовремя отследить ситуацию и взять ее под свой контроль), но только в 1998 г. появились первые материалы Базельского комитета по банковскому надзору (далее Базельский Комитет), посвященные данной проблеме [1]. С тех пор в зарубежной практике несколько раз пересматривались подходы к управлению и даже само определение операционных рисков, хотя для российских банков и финансовых компаний эти тонкости пока не играют существенной роли, так как существует множество отличий в понимании операционных рисков.
2. Современный подход к оценке операционных рисков коммерческих банков
В 1999 г., международные органы банковского надзора объявили о планах установления капитала на покрытие операционного риска в новых правилах Базель II. Это встретило некоторое противодействие со стороны банков, однако, несмотря на это органы банковского надзора достигли некоторых успехов. Они опубликовали примеры более 100 случаев убытков по операционным рискам банков, каждый из которых превысил $100 млн. Вот некоторые из них:
Внутреннее мошенничество: Allied Irish Bank, Barings, Daiwa потеряли $700 млн, $1 млрд, и $1,4 млрд, соответственно, от мошеннической торговли.
Внешнее мошенничество: Republic New York Corp (Республиканская Нью-Йоркская Корпорация) потеряла $611 млн. из-за мошенничества, совершенного клиентом, находящимся под опекой (custodial client).
Методы приема на работу и техника безопасности на рабочем месте: Merrill Lynch потерял $250 млн в результате юридического урегулирования вопроса относительно гендерной дискриминации.
Клиенты, продукты и бизнес-практика: Household International потерял $484 млн от неправильной практики кредитования; финансовая корпорация Providian потеряла $405 млн от неправомерных продаж и практики выставления счетов.
Повреждение материальных активов: банк Нью-Йорка понес потери в размере $140 млн из-за повреждения принадлежащих ему объектов, в результате террористических атак 11 сентября 2001 года.
Нарушение (разрушение) бизнеса и сбои системы: Salomon Brothers потерял $303 млн из-за изменений в области компьютерных технологий.
Выполнение, доставка, и управление процессом: Bank of America и Wells Fargo Bank потеряли $225 млн и $150 млн соответственно, от сбоев системной интеграции и ошибок обработки транзакций.
Большинство банков всегда имели в своем распоряжении определенную структурную единицу в целях управления операционными рисками. Тем не менее, перспектива новых требований к капиталу вынудили их значительно увеличивать ресурсы для измерения и мониторинга операционного риска.
Количественно оценить операционный риск гораздо сложнее чем кредитный или рыночный риск. Также, более затруднительным является и
управление операционным риском. Финансовые учреждения принимают сознательное решение о принятии определенного количества кредитного и рыночного рисков, учитывая наличие множества инструментов, которые могут быть использованы для снижения этих рисков. Операционный же риск, напротив, является необходимой частью ведения бизнеса. Важной частью управления операционным риском является выявления и классификация видов рисков, которые принимаются финансовым учреждением и которые должны быть застрахованы. Существует опасность понесения огромных потерь в следствие принятия операционного риска, который даже не был идентифицирован как риск.
Можно подумать, что убыток, как случае с Societe Generale, был результатом рыночного риска, потому что он был в следствии движения рыночных переменных, которые привели к нему. Тем не менее, он должен быть классифицирован как операционный риск, поскольку речь идет о мошенничестве (Например, Французский трейдер Джером Кервель был признан виновным в злоупотреблении доверием, подделку и несанкционированное использование компьютеров банка Société Générale в 2008 г., в результате чего потери банка составили € 4,9 млрд.). Предположим, что не было никакого мошенничества. Если бы произошедшее было частью политики банка, позволяющая трейдерам принимать огромные риски, то потери будут классифицироваться как рыночный риск. Однако, если это не было частью политики банка и произошел сбой в его управлении, то это будет классифицироваться как операционный риск. Данный пример показывает, что убытки по операционному риску часто зависят от изменений на рынке. Если бы рынок пошел в пользу Кервьеля, то не было бы никаких потерь и мошенничества, и возможно сбой в системе управления Societe Generale никогда бы не обнаружился.
Есть определенные параллели между убытками в следствии операционных рисков банков и потерь страховых компаний. Страховые компании сталкиваются с небольшой
вероятностью больших потерь от урагана, землетрясения или других стихийных бедствий (в риск-менеджменте (в иностранной литературе) такого рода риски называются -Hazard Risks). Точно так же, банки сталкиваются с небольшой вероятность больших потерь в следствии оперативного риска. Но есть одно важное отличие. Когда страховые компании несут большое убытки по страховым случаям, связанным со стихийным бедствием, то в результате (как правило), это затрагивает все компании в отрасли и как следствие приводит к росту страховых премий в следующем году (вынужденная мера, в целях покрытия понесенных убытков). Операционные же убытки, как правило, влияют только на сам банк. Потому что он работает в конкурентной среде и не имеет возможности (это роскошь) повышения цен на предоставляемые услуги в течение следующего года.
Существует множество различных определений операционного риска. Заманчиво рассматривать операционный риск как остаточной риск, т.е. определяемый как любой риск не относящийся к рыночному либо кредитному риску, с которыми сталкиваются финансовые учреждения. Тогда, для оценки операционного риска мы бы могли посмотреть на финансовую отчетность и удалить из нее прибыль и (или) убытки от воздействия рыночных и кредитных рисков. Полученный результат мог бы быть отнесен к операционному риску. Большинство людей согласятся, что такого рода определение операционного риска является слишком широким. Он включает в себя риски, связанные с выходом на новые рынки, разработкой новых продуктов, экономических факторов и т.п. Другим возможным определением операционного риска, как следует из названия, является риск, связанный с операциями. Он включает в себя риск ошибок в обработке транзакций, осуществления платежей, и так далее. Это определение риска является слишком узким. Оно не включает в себя основные риски, такие как в случае с Джеромом Кервьелем.
Мы можем различать внутренние и внешние риски. Внутренние - это
риски, над которыми компания имеет контроль. Компания выбирает, кого она нанимает, какие компьютерные системы она развивает, какие средства управления осуществляет и т.д. Некоторые, определяют операционные риски как совокупность всех внутренних рисков. В таком случае операционный риск включает в себя больше, чем просто риск по операциям. Он включает в себя риски, связанные с неудовлетворительным контролем и риски мошеннических действий сотрудников.
Регуляторы включают в понятие операционного риска больше, чем просто внутренние риски. Они включают в него - воздействие внешних событий, таких как стихийные бедствия (пожар, землетрясение и т.п., которое влияет на деятельность банка), политический и регулятивный риск, нарушения правил безопасности, и т.д. Все эти обстоятельства нашли отражение в определении операционного риска Базельским Комитетом по Банковскому надзору в 2001 г.
Некоторые операционные риски приводят к увеличению операционных расходов банка или уменьшению доходов. Другие операционные риски взаимодействуют с кредитным и рыночным риском. Например, если со стороны банка допущены ошибки в оформлении кредитной документации, то это приводит к убыткам только в случае дефолта контрагента данной кредитной сделки. Также, когда трейдер превышает установленные лимиты по операциям (включая др. открытые позиции), то финансовые потери банка могут быть только в случае если рынок будет двигаться против трейдера.
Несмотря на общепризнанное определение, некоторые компании по-своему трактуют сущность операционного риска и развивают собственный подход. Например, некоторые крупные иностранные кредитные организации использует классификацию операционных рисков, предложенную Bankers Trust, который состоит из следующих категорий:
- риск персонала;
- технологический риск;
- риск физического ущерба;
- риск взаимоотношений;
- внешний риск.
_
Следует отметить, что в отдельную группу можно выделить -модельный риск (использование некорректной математической модели для оценки финансовых рисков), причинами которого могут быть рассмотренные выше риск персонала (некомпетентность специалистов), риск отношений (ошибки при использовании сложных финансовых инструментов) и недостатки автоматизированных программных приложений (технологический риск).
В соответствии с Письмом Банка России Ш0-Т от 23 июня 2004 г. «о типичных банковских рисках» (далее - Письмо 70-Т), операционный риск -это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Письмо Банка России Ю6-Т «Об организации управления операционным риском в кредитных организациях» (далее - Письмо 76Т), дублирует данное определение.
Письмо Банка России N 96-Т от 29.06.2011 «О Методических рекомендациях по организации кредитными организациями внутренних процедур оценки достаточности капитала» (далее - Письмо 96-Т), дает следующее определение операционному риску - «Операционный риск - риск возникновения убытков в результате ненадежности внутренних процедур управления кредитной организации, недобросовестности сотрудников, отказа информационных систем либо вследствие влияния на деятельность кредитной организации внешних событий». При этом следует отметить, что Письмо 70-Т
не указывает взаимосвязь правового риска и репутационного риска с операционным риском, а дает отдельные определения.
По определению Базельского комитета под операционным риском понимается риск убытков, вызванных неадекватными или неработоспособными внутренними процессами и системами, их нарушением персоналом или в результате воздействия внешних факторов. Данное определение включает юридический риск, но исключает стратегический и репутационный риски.
Согласно Письму 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах», правовой риск - это риск возникновения у кредитной организации убытков вследствие влияния внутренних и внешних факторов.
Базельский комитет включает юридический риск в состав операционного риска, тогда как Банк России рассматривает правовой риск отдельно (что видно из названий Письма 76-Т и Письма 92-Т).
Банк России придает большое значение полноте и связности системы терминов, касающихся операционного риска. Так, согласно Письму Банка России от 16 мая 2012 г. Ж9-Т «О рекомендациях Ба-зельского Комитета по банковскому надзору «Принципы надлежащего управления операционным риском» (далее Письмо Ш9-Т), непоследовательная система использования терминологии, относящейся к операционному риску, повышает вероятность того, что риски не будут выявлены и классифицированы или не будут распределены обязанности по оценке, мониторингу, контролю и снижению рисков.
В соответствии с Письмом 69-Т, общепринятая банковская практика надлежащего управления операционным риском нередко основана на трех направлениях «линиях обороны» - (1) управлении направлениями деятельности, (И) независимой корпоративной функции управления операционным риском и (ш) независимом анализе. Уровень формализации применения этих трех направ-
лений в каждом случае зависит от особенностей, размеров и сложности организационной структуры банка, а также уровня и видов рисков, присущих его деятельности. Однако во всех случаях подразделение по управлению операционным риском банка должно быть полностью интегрировано в общую систему управления рисками банка. Поскольку управление операционным риском эволюционирует, а условия коммерческой деятельности постоянно меняются, исполнительный орган должен следить, чтобы принципы, процессы и Системы управления оставались достаточно надежными. Совершенствование управления операционным риском будет зависеть от того, в какой степени учитывается мнение лиц, ответственных за управление операционным риском, а также от готовности исполнительного органа своевременно принимать надлежащие меры на основе этого мнения.
В целях оценки требований к собственным средствам (капиталу) в отношении операционного риска кредитная организация может использовать как базовый индикативным подходом к оценке операционного риска, определенное Положением Банка России от 03.11.2009 Ю46-П «О порядке расчета размера операционного риска» (далее Письмо Ш46-П), так и внутренние модели, принятые в международной банковской практике, к примеру - базовый индикативный подход (Basic Indicative Approach), стандартизированный подход (Standardized Approach) и продвинутый подход (Advanced Measurement Approach (AMA), рекомендованные Базелем II.
Кредитным организациям, использующим базовый индикативный подход, рекомендуется разработать и внедрить критерии распределения валового дохода по текущим бизнес-линиям. При этом важно обеспечивать своевременную корректировку данных критериев по мере появления новых или изменения прежних видов деятельности. Организациями, применяющими стандартизированный подход (Standardized Approach) приводится информация о критериях распределения валового дохода по
текущим бизнес-линиям. То, что касается кредитных организаций, использующих продвинутый подход (Advanced Measurement Approach (AMA), то они приводят результаты бэк-тестинга модели (сопоставление прогнозных оценок с размерами понесенных операционных убытков, имевших место за соответствующий период), а также результаты анализа причин полученных расхождений и описание изменений, внесенных в методологию оценки по результатам такого анализа.
В рамках базового индикативного подхода (Basic Indicative Approach) капитал под операционный риск устанавливается в размере 15% годового валового дохода за предыдущие три года. Валовой доход определяется как сумма чистого процентного дохода плюс непроцентный доход. При несколько более сложном стандартизированном подходе (Standardized Approach) деятельность банка делится на восемь направлений (см. Таблицу 1). Средняя валовая прибыль за последние три года для каждого бизнес-направления умножается на «бета фактор» (является мерой рыночного риска, отражающий изменчивость доходности ценной бумаги (портфеля) по отношению к доходности другого портфеля) и суммируется для определения общего капитала (см. Таблицу 1).
Таблица 1
Бета фактор (коэффициент) в стандартизированном подходе
Направления бизнеса (деятельности) Бета фактор
Корпоративные финансы 18%
Продажи и трейдинг 18%
Розничный банкинг 12%
Коммерческий банкинг 15%
Платежно-расчетное обслуживание 18%
Агентские услуги 15%
Управление активами 12%
Брокерские услуги (брокерский ритейл) 12%
Следует отметить, что Базель-ский комитет по банковскому надзору идентифицирует семь категорий операционного риска [3], а именно:
1. Внутреннее мошенничество.
2. Внешнее мошенничество.
3. Практика найма.
4. Клиенты, продукты и бизнес-практика.
5. Повреждения материальных активов.
6. Нарушение Бизнеса и системные сбои.
7. Исполнение, доставка и управление процессами.
Таким образом получается 56 возможных комбинаций, т.е. семь категорий риска на восемь направлений деятельности, при котором банки должны оценить VaR 99,9% с временным горизонтом 1 год для каждой комбинации. Затем, полученные значения суммируются для определения VaR для совокупного операционного риска.
Базельский комитет предоставляет национальным органам банковского надзора право использовать так называемый «альтернативный стандартный подход» (alternative standardised approach - ASA) применительно к тем банкам, которые смогут аргументированно обосновать его предпочтительность по сравнению со стандартным подходом, например, в части исключения двойного учета одних и тех же рисков.
Единственное отличие альтернативного подхода заключается в том, что в качестве показателя подверженности риску используется не валовой доход, а объем кредитов и ссуд (loans and advances), умноженный на определенный коэффициент (т). Размер капитала, резервируемого против операционных рисков этих двух видов деятельности, рассчитывается следующим образом:
ORC = fi х m х LA
где LA - общая сумма кредитов и ссуд, выданных корпоративным (розничным) заемщикам, до вычета резерва на покрытие потерь по ссудам и взвешивания по риску, рассчитанная путем усреднения за последние три года; т = 0,035.
В рамках альтернативного стандартного подхода банки имеют право объединить операции розничного и коммерческого кредитования в одно направление, к которому будет применяться единый бета коэффициент
в размере 15%. Те банки, которые не смогут разделить свой валовой доход между шестью остальными направлениями деятельности, могут рассчитывать резервируемый под них капитал путем умножения их суммарного валового дохода на коэффициент бета, равный 18%. Как и в случае стандартного подхода, требования к капиталу суммируются по всем направлениям деятельности, и определяется совокупный размер капитала, резервируемого против операционного риска.
Необходимым условием использования стандартного и более сложных подходов к оценке операционного риска является выполнение банками следующих общих требований [2]:
- совет директоров и руководители высшего звена принимают активное участие в контроле за процессом оценки и управления операционными рисками;
- система риск-менеджмента в банке является концептуально верной и используется надлежащим образом;
- банк располагает достаточными ресурсами для внедрения выбранного подхода как во всех направлениях деятельности, так и в подразделениях контроля и аудита.
Кроме того, надзорные органы смогут проверять применение на практике выбранного им метода оценки операционных рисков, до получения разрешения на использование его в целях достаточности капитала.
К банкам, желающим использовать стандартный подход, предъявляются требования качественного характера, относящихся к внутренней системе контроля и управления за операционными рисками.
Стандартный подход позволяет более точно оценить операционные риски, связанные с каждым из направлений банковской деятельности, однако он основан на достаточно большом количестве допущений. В частности, этот подход не принимает во внимание возможное распределение убытков вследствие реализации операционных рисков и степень контроля в организации за данными рисками.
Ожидаемые потери 99,9%
по операционным рискам наихудшие потери
В третьем альтернативном и самом продвинутом подходе (Advanced Measurement Approach (АМА) требования к нормативному капиталу под операционный риск рассчитывается с помощью качественных и количественных критериев.
Основополагающий документ Базельского комитета (International Convergence of Capital Measurement and Capital Standards) в определение операционного риска включает правовой, но не включает репута-ционный и стратегический виды рисков, т.е. определение Банка России полностью соответствует определению операционного риска по Базелю. Также, аналогичное определение операционного риска дает Директива Европейского парламента и Совета о требованиях к капиталу (Capital Requirements Directive (CRD).
Базельский Комитет перечислил условия, использования стандартизированного или АМА подхода. Комитет ожидает, что крупные международные банки постепенно будут двигаться в сторону принятия АМА подхода.
Для использования AMA подхода, банк должен удовлетворять дополнительным требованиям. Он должен быть в состоянии оценить непредвиденные потери и провести сценарный анализ. Система управления банка должна быть способна распределить экономический капитал на покрытия операционного риска по направлениям деятельности в целях создания стимулов
для совершенствования управления операционными рисками.
Цель банков, использующих подход AMA аналогична цели, при количественной оценке кредитного риска, т.е. рассчитать распределение вероятности потерь (см. рис. 1). Если предположить, что банк сможет убедить регулятора, что ожидаемая стоимость операционного риска включается в цену банковского продукта, то устанавливается капитал на покрытие непредвиденных расходов. В таком случае доверительный интервал может составлять 99,9% а временный горизонт - 1 год.
3. Заключение
В завершении хотелось бы отметить, что для зарубежных банков основными источники операционных убытков являются риски, связанные с производными финансовыми инструментами и осуществлением несанкционированных торговых операций. В российской же практике, областью повышенного операционного риска для многих банков являются - ИТ, поэтому наибольшие операционные потери реализуются именно в данной сфере.
Литература
1. Operational risk management. Basle Committee on Banking Supervision, 1998, September; Derivatives: Practices and principles. -Global Derivatives Study Group, 1993.
2. The New Basel capital accord. Consultative document. B asle
Committee on Banking Supervision, 2003.
3 . Basel Committee on Bank Supervision, "Sound Practices for the Management and Supervision of Operational Risk," Bank for International Settlements, July 2002.
4. Филиппов Д. И., Международный банковский риск-менеджмент в условиях глобализации, Вестник РЭУ им. Г. В. Плеханова, №2 (80), 2015.
5. Филиппов Д.И., Особенности развития финансового рынка европейского союза в условиях глобализации (монография) - М.: ФГБОУ ВПО РЭУ имени Г.В. Плеханова, 2014.
6. Kern Alexandr. «The Role of Basel Standards in International Banking Supervision», University of Cambrige, 2000.
7. Zilioli. С, Selmayr. М. «The Law of the European Central Bank», Oxford-Portland Oregon, 2001.
8. Fabozzi F., Modigliani F. «Capital Markets: Institutions and Instruments» (4th Edition), Prentice Hall, 2008.
9. Bank for International Settlements. «Basel Convergence of Capital Measurement and Capital Standards a Revised Framework», November 2005.
10. Crouhy, M., D. Galai, and R. Mark. Risk Management. New York: McGraw-Hill, 2001.
11. Gordy, M. B. «A Risk-Factor Model Foundation for Ratings-Based Bank Capital Ratios», Journal of Financial Intermediation, 12 (2003): 199-232.
12. Lopez, J. A. «The Empirical Relationship Between Average Asset Correlation, Firm Probability of Default, and Asset Size», Journal of Financial Intermediation, 13, no. 2 (2004)
13. Vasicek, O. «Probability of Loss on a Loan Portfolio». Working Paper, KMV, 1987. (Published in Risk in December 2002 under the title» Loan Portfolio Value).
References
1. Operational risk management. Basle Committee on B anking Supervision, 1998, September; Derivatives: Practices and principles. -Global Derivatives Study Group, 1993.
2. The New Basel capital accord. Consultative document. Basle Committee on Banking Supervision, 2003.
3. Basel Committee on Bank Supervision, "Sound Practices for the Management and Supervision of Operational Risk," Bank for International Settlements, July 2002.
4. Филиппов Д. И., Международный банковский риск-менеджмент в условиях глобализации, Вестник РЭУ им. Г. В. Плеханова, №2 (80), 2015
5. Филиппов Д.И., Особенности развития финансового рынка европейского союза в условиях глобализа-
ции (монография) - М.: ФГБОУ ВПО РЭУ имени Г.В. Плеханова, 2014.
6. Kern Alexandr. «The Role of Basel Standards in International Banking Supervision», University of Cambrige, 2000.
7. Zilioli. С, Selmayr. М. «The Law of the European Central Bank», Oxford-Portland Oregon, 2001.
8. Fabozzi F., Modigliani F. «Capital Markets: Institutions and Instruments» (4th Edition), Prentice Hall, 2008.
9. Bank for International Settlements. «Basel Convergence of Capital Measurement and Capital Standards a Revised Framework», November 2005.
10. Crouhy, M., D. Galai, and R. Mark. Risk Management. New York: McGraw-Hill, 2001.
11. Gordy, M. B. «A Risk-Factor Model Foundation for Ratings-Based Bank Capital Ratios», Journal of Financial Intermediation, 12 (2003): 199-232.
12 Lopez, J. A. «The Empirical Relationship Between Average Asset Correlation, Firm Probability of Default, and Asset Size», Journal of Financial Intermediation, 13, no. 2 (2004).
13. Vasicek, O. «Probability of Loss on a Loan Portfolio». Working Paper, KMV, 1987. (Published in Risk in December 2002 under the title» Loan Portfolio Value).