Управление операционными рисками в российской практике

Современное понимание операционных рисков, которое существует в западной экономике, скорее всего, не является столь же актуальным для российских банков и финансовых организаций.

Управление операционными рисками – одна из наиболее популярных и обсуждаемых тем в финансовой сфере. Интерес к операционным рискам резко возрос в результате банкротства банка Barings, но только в 1998 г. появились первые материалы Базельского комитета, посвященные данной проблеме.

С тех пор в зарубежной практике несколько раз пересматривались подходы к управлению и даже само определение операционных рисков, хотя для российских банков и финансовых компаний эти тонкости пока не играют существенной роли, так как есть множество отличий в понимании операционных рисков.

Для начала стоит отметить, какие операционные риски имеют наибольшее значение в деятельности зарубежных компаний. В первую очередь, это риски, связанные с ошибками при использовании производных финансовых инструментов и осуществлением несанкционированных торговых операций. Одним из главных источников операционного риска является желание отдельных сотрудников и /или руководства компании улучшить официальные результаты своей деятельности для получения дополнительного вознаграждения в рамках устоявшейся системы критериев.

В российской практике существует обширная статистика операционных убытков, которые вызваны совершенно иными мотивами, так как особенности деятельности российских финансовых организаций существенно отличаются от деятельности зарубежных компаний. Область повышенного операционного риска сосредоточена там, где совершают значительные финансовые сделки. Для многих российских банков и финансовых компаний такой областью являются информационные технологии, поэтому наиболее существенные виды операционных потерь (физический ущерб дорогостоящему имуществу, вынужденные задержки осуществления операций, потеря данных, ошибочные расчеты, обязательные платежи за лицензии и т. д.) имеют место именно в данной сфере.

Во-первых, расходы на информационные технологии составляют значительную долю в структуре общих расходов многих финансовых организаций. Недостатки процесса закупок оборудования или проведения тендера могут приводить к завышению стоимости проекта, которая представляет собой убыток для владельцев компании.

Во-вторых, существенные дополнительные убытки могут возникать в результате неэффективного выполнения проекта по внедрению ИС, в процессе взаимодействия с разработчиками программного обеспечения.

В-третьих, в последнее время отмечаются примеры возникновения зависимости компании от внутренних специалистов по информационным технологиям. Неправильная организация деятельности в области ИТ иногда приводит к тому, что сотрудники, разработавшие и сопровождающие информационные системы, становятся незаменимыми для организации, и любые требования с их стороны необходимо будет выполнять. Причем это может быть вызвано совершенно негативными намерениями, когда сотрудники отделов ИТ присваивают себе права собственности на программные продукты, разработанные ими в процессе работы в банке, что позволяет им выдвигать условия и в буквальном смысле шантажировать организацию.

Существуют и другие примеры, когда недостатки текущей организации деятельности приводили к вынужденным убыткам. Все они относятся к категории риска высокого убытка с весьма малой вероятностью его реализации (low probability, high severity). В частности, одним из существенных видов операционного риска являются штрафы, которые организации вынуждены платить, если их деятельность в некоторых областях, сопряженных с высоким риском, не соответствует установленным требованиям (например, осуществление операций с международными пластиковыми картами или штрафы, которые приходится платить по результатам проверок, проводимых со стороны международных платежных систем).

Другая категория операционных рисков характеризуется многочисленными сбоями, каждый из которых приводит к относительно малым убыткам (high probability, low severity). Типичными источниками таких операционных рисков являются, в частности, процедуры осуществления платежных операций, проведения автоматических расчетов и торговых операций.

Несмотря на то что в большинстве банков реализованы требования по многостадийной обработке данных в платежных системах, при проведении в банках исходящих валютных платежей все равно возможны ситуации, когда в результате стечения обстоятельств рядовые сотрудники имеют возможность вводить в систему и отправлять финансовые документы.

Как правило, это усугубляется тем, что данные сотрудники не несут материальной ответственности за совершаемые действия. В результате любые ошибки на законных основаниях можно трактовать как сбой информационной системы.

Осуществление автоматических расчетов может привести к некорректному расчету процентов и комиссионных. В деятельности российских организаций данный риск напрямую связан с качеством информационных систем и используемых баз данных. До сих пор некоторые организации используют устаревшие виды программного обеспечения (в частности, написанные на FoxPro с использованием файлов формата DBF), которые позволяют осуществлять любые корректировки данных непосредственно в рабочих файлах.

Кроме того, распространенной проблемой является доступ сотрудников ИТ к редактированию рабочих справочников и процедур, которые могут допускать некоторые умышленные искажения или случайные ошибки.

Торговые операции на финансовых рынках во многих организациях являются достаточно хорошо защищенной сферой с высоким уровнем контроля. Тем не менее существующий уровень контроля можно считать адекватным только с учетом сравнительно небольшого объема этих операций (за исключением крупных банков и инвестиционных компаний).

Так, например, использование срочных финансовых инструментов и даже контроль позиционных лимитов по дилерам и контрагентам осуществляются, как правило, под пристальным контролем непосредственных руководителей и руководителей высшего звена. Естественно, что при осуществлении торговой деятельности на самом базовом уровне нет оснований для значительных операционных рисков.

Таким образом, можно заключить, что недостаточный уровень контроля в финансовых организациях приводит к резкому повышению вероятности потерь, которые характеризуются как low probability, high severity. В то же время повышается возможный ущерб и от операционных рисков категории high probability, low severity.

Основной сферой проявления операционных рисков на настоящем этапе развития финансовых организаций в России можно считать сферу информационных технологий, причем характер этих рисков и возможные последствия для бизнеса могут быть самыми разнообразными.

Вместе с тем большинство организаций еще не готовы столкнуться с другими видами операционных рисков, которые свойственны более развитой экономике. Поэтому в настоящее время целесообразно разработать механизмы управления существующими операционными рисками, что позволит в дальнейшем использовать накопленный опыт и имеющуюся инфраструктуру для управления вновь возникающими операционными рисками. Важным аспектом этого процесса является организация деятельности на основе общепринятых в мировой практике принципов и подходов, основные из которых приведены ниже:

• управление проектами и изменениями – позволяет определить порядок работы над проектом, включая обоснование целей и задач проекта, принятие проекта в разработку, планирование и осуществление работ, разработку методики тестирования, подготовку критериев принятия работ и осуществление перехода на использование достигнутых результатов в деятельности организации;
• управление и контроль за информационной безопасностью – делает акцент на технических и организационных рисках, которые могут препятствовать достижению целей бизнеса. Это позволяет предотвратить многие возможные проблемы, обусловленные действиями сотрудников, сбоями информационных систем, а также несанкционированным доступом извне;
• управление информационными технологиями предлагает общий подход к управлению деятельностью подразделений ИТ с целью обеспечения соответствия качества информационных систем и технологий требованиям бизнеса;
• создание системы управления рисками для идентификации, оценки, анализа и управления операционными рисками на уровне всей организации и наиболее подверженных этим рискам направлений деятельности. Важной составляющей такой системы управления рисками является контроль и регулярная отчетность по операционным рискам, которая позволяет выявить и оценить различные виды рисков и привести их к единой оценке для определения наиболее значимых источников и сфер риска.

Учет в деятельности организаций данных принципов может служить определенной гарантией минимизации общего уровня операционных рисков, с которыми сталкиваются в настоящее время российские финансовые организации.

Таким образом, операционные риски в деятельности отечественных финансовых организаций имеют несколько иную специфику по сравнению с западными странами. Поэтому внедрение используемых за рубежом подходов к управлению операционными рисками целесообразно начинать не с методик Базельского комитета по расчету размера капитала под операционные риски, а с повышения качества собственной деятельности, создания системы внутреннего контроля, в том числе в сфере информационных технологий, с целью снижения подверженности организации этим видам риска.