Окончание. Начало: Организация внутреннего контроля за операционными рисками.

 

Расчет совокупного операционного риска

Что касается оценки совокупного операционного риска, то в настоящее время банки не имеют в распоряжении каких-либо стандартизированных методик для этого, как и соответствующих обязательств перед надзорным органом.

Банком России планируется в ближайшее время ввести в действие порядок расчета операционного риска и его покрытия капиталом, соответствующий избранной опции Нового Базельского соглашения. Размер операционного риска (OR) предлагается рассчитывать по формуле, предложенной Базельским комитетом по банковскому надзору в Базеле II по капиталу, а именно:

 29.06.jpg

где OR - операционный риск;

Di - показатель дохода для целей расчета капитала на покрытие операционного риска за i-й год (валовый доход);

n - количество лет, предшествующих дате расчета размера операционного риска.

При этом показатель дохода для целей расчета капитала на покрытие операционного риска за год представляет собой сумму чистых процентных доходов и чистых непроцентных доходов (по форме № 0409807 «Отчет о прибылях и убытках (публикуемая форма)», согласно Указанию ЦБ РФ от 31.08.2007 № 1881-У «О внесении изменений в Указание ЦБ РФ от 16 января 2004 года 1376-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации"»). Чистые непроцентные доходы представляют собой сумму показателей «Чистые доходы от операций с ценными бумагами, оцениваемыми по справедливой стоимости через прибыль или убыток», «Чистые доходы от операций с иностранной валютой», «Чистые доходы от переоценки иностранной валюты», «Доходы от участия в капитале других организаций» (за исключением доходов от вложений в акции (доли), участия в дочерних и зависимых юридических лицах), «Комиссионные доходы», «Комиссионные расходы», «Прочие операционные доходы» (за исключением доходов от разовых операций), «Операционные расходы» (за исключением расходов от разовых операций и административно-управленческих расходов) формы № 0409807.

Расчет величины валового дохода за каждый финансовый год, предшествующий дате расчета размера операционного риска, осуществляется кредитной организацией на основании сопоставимых данных формы № 0409807. Если показатель валового дохода за какой-либо год отрицателен или равен нулю, то значение этого показателя исключается из расчета величины операционного риска. Одновременно с этим показатель количества лет n сокращается на количество лет, по итогам которых зафиксировано отрицательное или нулевое значение показателя валового дохода.

Множитель 12,5, инициированный Базельским комитетом по банковскому надзору, представляет собой число, обратное минимальному отношению капитала к активам в 8%.

Согласно планам Банка России расчет размера операционного риска будет осуществляться ежегодно на операционный день, следующий за датой опубликования формы № 0409807 за отчетный год, и фигурировать как постоянная величина в знаменателе формулы расчета совокупных требований к капиталу на протяжении всего года.

Во многих российских банках бытует мнение, что вводимые поправки в формулу достаточности капитала являются формулой оценки операционных рисков, хотя на самом деле это не так. Истинная оценка фактических и предполагаемых потерь от событий, относящихся к операционному риску, может быть получена путем консолидации оценок каждого из них. Такой метод получил распространение как балльно-весовой метод оценки.

В этом случае оценка производится экспертно по 3-, 5- или 10-балльной системе, для чего разрабатываются специальные таблицы критериев и факторов риска с предлагаемыми шкалами оценок. Качественные оценки используются наряду с количественными оценками для определения соответствия используемых процедур совершения операций эталонным и для определения повышенных зон риска.

Кроме того, банк может оценить вероятный ущерб от возникновения того или иного события, предположив, что оно не было своевременно обнаружено. К примеру, риск, связанный с недобросовестным исполнением сотрудниками своих обязанностей (несоблюдение установленных правил, процедур и регламентов), мог бы повлечь за собой определенный размер убытков (штрафные санкции, судебные издержки и прочее).

Основные компоненты управления операционным риском

В управлении операционным риском СВК отводится ключевая роль. Регулярные проверки всех бизнес-процессов банка помогут гарантировать, что эти процессы соответствуют назначению (т.е. являются эффективными и способствуют достижению стратегических целей) и организованы должным образом.

Было установлено, что наиболее распространенные причины операционных потерь являются следствием недостатков именно в системе внутреннего контроля. В частности:

- недостаточное внимание руководства при организации и поддержании системы внутреннего контроля, а также отсутствие корпоративной культуры в банке;

- неверная оценка риска при осуществлении банком балансовых и забалансовых операций;

- отсутствие внутренних подразделений и процедур контроля при осуществлении бизнес-процессов, таких как разделение обязанностей, санкционирование, верификация, согласование и надзор за текущей деятельностью;

- неэффективная система передачи информации между различными уровнями управления, особенно при информировании вышестоящего руководства о возникающих трудностях;

- недостаточная или неэффективная роль аудита в оценке эффективности системы внутреннего контроля.

Руководство несет ответственность за внедрение адекватного внутреннего контроля и систем оценок средств контроля на предмет определения экономического эффекта от них. При этом необходимо учитывать эффективность каждого средства контроля в процессе, денежный эквивалент объема потока средств, задействованных в данном процессе, а также стоимость самих средств контроля.

В число базовых компонентов внутреннего контроля за операционным риском должны входить:

- средства контроля внутреннего учета - используются для обеспечения защиты активов и надежности финансовых записей. В число последних могут входить записи о транзакциях и промежуточные балансы;

- средства операционного контроля - используются для гарантии соответствия деловым целям. В их число могут быть включены операционные планы и бюджеты, чтобы сопоставить реальное функционирование с запланированным;

- средства административного контроля - используются для гарантирования операционной эффективности, а также соответствия политике и процедурам, принятым в банке. В их число могут быть включены внутренний и внешний аудит.

Средства внутреннего контроля за операционным риском могут быть разделены на три общих категории. Эти категории средств контроля могут быть включены в состав базовых компонентов внутреннего контроля:

- средства превентивного контроля - предотвращают какие-либо события (часто - ошибки или незаконные деяния). Примером средств контроля такого типа является программное обеспечение логического доступа, которое разрешает доступ в компьютерную сеть только авторизованным лицам, использующее комбинацию идентификационного номера и пароля пользователя;

- средства обнаружения - идентифицируют имевшее место действие. Примером могут быть способы обнаружения ошибок, их идентификация;

- средства коррекции - исправляют ситуацию после ее обнаружения. Примером может быть применение административных или дисциплинарных взысканий, программное обеспечение резервирования, которым можно воспользоваться для восстановления поврежденного файла или базы данных.

Банкам необходимо располагать средствами контроля высокого уровня в помощь управлению банковским операционным риском.

В качестве примеров средств контроля такого рода можно привести:

- мониторинг операционной деятельности на предмет аномалий в типах транзакций, объемах транзакций, суммах транзакций и времени предъявления;

- мониторинг нарушений корпоративной культуры, банковского законодательства, подозрительных действий клиентов и сотрудников банка, нетипичные параметры сделок и прочее;

- применение методов фиксации и прослеживания для идентификации источника операционного риска и сравнения его с данными по известным случаям.

Регулярная отчетность и постоянные проверки помогут идентифицировать события операционного риска и принять меры по их нейтрализации и недопущению в будущем.

Мониторинг потерь от наступления операционного риска включает анализ каждого случая, описание природы и причин, которые привели в конкретной ситуации к реализации операционного риска. Чтобы выявить направления, наиболее подверженные операционному риску, СВК рекомендуется проводить пооперационное разложение процессов и технологий на элементарные составляющие (operational unit), для каждой из которых эмпирически или статистически определяется степень влияния на нее того или иного источника риска. Иногда такие действия называются декомпозицией операционного риска по операциям, составляющим каталог операционных рисков, который позволяет выявить наиболее уязвимое подразделение банка. Как правило, составление каталога операционных рисков становится основной задачей управления рисками, а СВК является его активным пользователем. С помощью каталога выявляются процессы и отдельные операции, на которых в наибольшей степени концентрируются конкретные факторы риска. Затем разрабатываются мероприятия по уменьшению и ограничению выявленных рисков.

К основному инструментарию внутреннего контроля операционных рисков относят многочисленные проверки различных сторон деятельности банка, в частности:

- проверку и оценку эффективности системы внутреннего контроля;

- проверку полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок, управления банковскими рисками);

- проверку надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств;

- проверку достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности (включая достоверность, полноту и объективность) и своевременности сбора и представления информации и отчетности;

- проверку достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России;

- проверку применяемых способов (методов) обеспечения сохранности имущества кредитной организации;

- оценку экономической целесообразности и эффективности совершаемых кредитной организацией операций;

- проверку соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг);

- проверку процессов и процедур внутреннего контроля;

- проверку систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения;

- оценку работы службы управления персоналом кредитной организации и другие вопросы, предусмотренные внутренними документами кредитной организации.

Основной функцией СВК является минимизация рисков, которые банк вынужден принимать на себя в процессе своей деятельности. СВК призвана обеспечить такой порядок проведения банковских операций (сделок) в банке, который будет способствовать достижению поставленных ориентиров и целей при соблюдении требований законодательства, нормативных актов Банка России, а также внутренних процедур, стандартов, правил, установленных для себя самим банком.

В рамках контроля за операционным риском оцениваются также уровни построения организационной структуры банка: зафиксированы ли ее основные принципы, лежащие в основе системы внутреннего контроля рисков, в частности, установление предельных полномочий, функциональное разделение отдельных участков работы, обеспечение двойного контроля за финансовыми операциями и т.д. В процессе работы оценивается, насколько учитывается при проведении операций риск возникновения затрат, связанных с неэффективным использованием ресурсов, ошибками в проведении сделок, невозможностью урегулирования спорных вопросов, неспособностью выполнить свои обязательства по платежам в оговоренные сроки, несвоевременностью инкассовых операций и т.д.

В ходе выполнения контроля анализируются также меры, принимаемые банком по снижению операционного риска, включая план действий в чрезвычайных ситуациях. В частности, проверяется, включено ли в этот план описание возможных сценариев развития событий при наступлении непредвиденных ситуаций и действий, которые необходимо предпринять для минимизации неблагоприятных последствий в этих условиях, в том числе и ориентированных на конкретную ситуацию. Особенно важно проверить наличие плана на случай непредвиденного отказа компьютерных систем и телефонных линий, так как такой отказ может нанести ущерб банку, в том числе из-за невозможности осуществления как собственных платежей, так и платежей клиентов, простоя торговли на финансовых рынках.

Контролируется и риск «ухудшения результативности», или эффективность использования человеческих ресурсов. Если этот риск высок, то это часто означает также низкую компетентность руководства и, следовательно, неадекватность управленческих решений требованиям профессиональной среды, то есть это потери, возникающие при неудачном управлении персоналом банка или использовании неверных методов и программ развития банковских операций (включая риск построения неверной модели оценки активов).

Одновременно необходимо проконтролировать включение в систему управления банком процедур по минимизации принимаемых рисков, а именно:

- установлены ли на каждом уровне принятия решений внутри банка качественные и количественные ограничения рисков банковской деятельности;

- определяются ли на уровне внутренних подразделений все ограничения рисков так, чтобы соблюдались пруденциальные нормы, установленные Банком России, и требования, установленные действующим законодательством и деловыми традициями в отношении стандартных для финансовых рынков операций и сделок;

- насколько четко ограничены полномочия и ответственность каждого структурного подразделения, а в тех случаях, когда функции пересекаются или при проведении сделок, несущих высокий риск, установлен ли механизм принятия коллегиальных решений и перераспределения рисков и т.д.

Внутренний контроль за соблюдением требований действующего законодательства и нормативных актов может быть организован по следующим направлениям:

- контроль требований при регистрации, лицензировании и расширении деятельности кредитной организации;

- контроль за соблюдением порядка регистрации изменений и дополнений, вносимых в устав кредитной организации, в состав ее участников и руководителей исполнительных органов;

- выполнение порядка формирования уставного капитала;

- контроль за выполнением установленных экономических нормативов;

- контроль за соблюдением обязательных резервных требований;

- контроль за порядком формирования резервов на возможные потери по ссудам и под обесценение вложений в ценные бумаги;

- контроль за проводимой кредитной политикой;

- контроль за соблюдением правил ведения бухгалтерского учета;

- контроль за выполнением порядка и сроков предоставления отчетности;

- контроль за соблюдением правил осуществления расчетов, за осуществлением выплат по обязательствам;

- контроль за выполнением порядка ведения кассовых операций;

- контроль за соблюдением порядка привлечения вкладов физических лиц;

- контроль за соблюдением установленных антимонопольных правил;

- контроль за соблюдением лимитов и сублимитов ведения открытой валютной позиции;

- контроль информационных потоков;

- контроль за предотвращением манипулирования ценами;

- контроль взаимоотношений банка и его сотрудников с клиентами;

- контроль за предотвращением легализации (отмывания) доходов, полученных незаконным путем.

Последние четыре требования являются в определенном смысле новыми в российской банковской практике и заслуживают особого внимания при организации системы контроля в банках.

Как показал анализ состояния внутреннего контроля в российских банках, осуществляемый Банком России как на основе представляемой банками отчетности, так и материалов инспекционных проверок, вся постановка внутреннего контроля в банках: то есть работа совета директоров (наблюдательного совета), менеджмента, механизмы осуществления контроля рисков, планы действий в чрезвычайных ситуациях в целях минимизации ущерба, меры по покрытию (финансированию) убытков, исполнение службой внутреннего контроля установленных правил мониторинга рисков, заключающегося в формировании системы выявления и оценки рисков, а также оценки основных моделей поведения аналитических и регулирующих ликвидность служб банка, обеспечивающих минимизацию рисков, носит чисто теоретический характер1.

К примеру, в сфере контроля со стороны совета директоров наблюдается вялость, незаинтересованность (в том числе, в процессах бизнес-планирования. Наиболее отчетливо проявляется в случаях, когда функции владения и управления не пересекаются. Как правило, роль совета директоров ограничивается утверждением соответствующих документов, реже - обсуждением с исполнительным руководством хода выполнения разработанных под бизнес-план мероприятий). Зафиксированы отсутствие в отдельных случаях одобрения по совершению сделок, в которых есть заинтересованность; неполучение советом директоров на регулярной основе сведений о принимаемых рисках и текущем финансовом состоянии банка; нарушения порядка проведения совета директоров.

В сфере разделения полномочий и ответственности наблюдается нечеткость разделения полномочий между заместителями единоличного исполнительного органа; нечеткость разграничения полномочий в кредитном процессе; отсутствие положений по отдельным структурным подразделениям банка; неразработанность должностных инструкций работников, занимающихся привлечением и размещением средств; совмещение сотрудниками службы внутреннего контроля контрольных функций и функций, связанных с осуществлением банковских операций.

В сфере внутреннего нормотворчества нередкими явлениями стали: отсутствие документов, определяющих политику кредитной организации по отдельным направлениям деятельности; несвоевременная актуализация внутренней нормативной базы; несоответствие внутренней нормативной базы требованиям Банка России; неразработанность регламента совершения некоторых операций, проводимых банком.

В сфере риск-менеджмента в отдельных случаях отсутствуют методики оценки рисков, критерии отнесения кредитов к категории льготных; не установлен допустимый уровень рисков, не разработаны процедуры оценки рисков и правила контроля за ними; нет адекватного юридического сопровождения при оформлении залогов по кредитам банка.

По работе службы внутреннего контроля отмечается непринципиальность (формализм) в оценках по результатам проводимых проверок; отсутствие рекомендаций по результатам проверок; формальность контроля за устранением нарушений, выявленных при проверках СВК, надзорного органа, аудиторской организации; упор в работе на консультирование; непроведение анализа практики риск-менеджмента в банке; отсутствие должного внимания в проверочной работе операциям, занимающим значительный удельный вес в деятельности банка; неосуществление мониторинга эффективности системы внутреннего контроля.

Кредитная организация обязана проводить мониторинг и оценку своей системы внутреннего контроля с учетом меняющихся внутренних и внешних обстоятельств, оказывающих воздействие на деятельность банка, поскольку, как это ни парадоксально, качество СВК также входит в критерии операционного риска.

Мониторинг СВК осуществляется независимо от процедур, связанных с текущей обязанностью органов управления, службы внутреннего контроля и персонала банка следить за соблюдением методик и процедур, установленных в банке. Построение и правильное структурирование мониторинга должно осуществляться органами управления банка. Они же несут ответственность за эффективность мониторинга. Также мониторинг системы внутреннего контроля должен осуществляться руководством и сотрудниками различных подразделений банка, включая подразделения, осуществляющие банковские операции и сделки и отражающие их в бухгалтерском учете и отчетности, а также службой внутреннего контроля.

Осуществление мониторинга системы внутреннего контроля преследует следующие основные цели:

- оценку адекватности и эффективности системы внутреннего контроля банка в целом; оценку эффективности контроля в зонах повышенного риска (т.е. сегментах бизнеса, характеризующихся более высокой, чем обычно, рентабельностью, быстрым ростом активов, внедрением новых банковских продуктов и т.д.);

- установление соответствия системы внутреннего контроля банка характеру и сложности его деятельности, а также рискам, принимаемым им в процессе осуществления этой деятельности;

- оценку оперативности реагирования органов управления банка на все проблемы, выявляемые в ходе осуществления внутреннего контроля.

Банк России обязывает, чтобы кредитной организацией были обеспечены постоянство деятельности службы внутреннего контроля, ее независимость и беспристрастность, профессиональная компетентность руководителя и сотрудников службы, созданы условия для беспрепятственного и эффективного выполнения ею своих функций.

Следует отметить, что решающую роль во внедрении и использовании средств контроля играют совет директоров и руководство (директора департаментов, начальники управлений и т.п.). Руководство отвечает за фактическое управление банком на повседневной основе в соответствии с целями, поставленными советом. Применительно к СВК руководство проводит в жизнь стратегию, определенную советом директоров, занимаясь всеми практическими вопросами, связанными с эффективностью и результативностью системы внутреннего контроля. Именно руководство кредитной организации определяет статус СВК в банке и возможность эффективно влиять на бизнес-процессы.

В настоящее время, в условиях турбулентности финансовых рынков, построение эффективной системы внутреннего контроля операционных рисков является вопросом выживания для многих банков. Банкам уже сегодня следует задуматься о необходимости введения современных инструментов и повышения качества организации системы риск-менеджмента и внутреннего контроля, поскольку это, безусловно, является необходимым условием для обеспечения устойчивости и конкурентоспособности российских кредитных организаций. Не является откровением, что даже одно событие, представляющее опасность с точки зрения операционного риска (к примеру, несанкционированные операции сотрудника с ценными бумагами или разрушение помещений банка в результате стихийных бедствий или террористического акта), может стать причиной очень крупного убытка или вообще поставить под вопрос функционирование отдельно взятого банка. Поэтому представляется столь важным не просто формально выполнять все требования Банка России в отношении наличия службы внутреннего контроля, но и обеспечить СВК всеми необходимыми инструментами, создать условия для действительно эффективной ее работы, придать ей необходимую значимость и прислушиваться к сделанным ее сотрудниками выводам и результатам.


1 - По материалам методического пособия для банковского менеджмента: Риск-менеджмент в кредитной организации: методология, практика, регламентирование. Кн. 2 / Юденков Ю.Н., Тысячникова Н.А., Ермаков С.Л. и др. - М.: ИД «Регламент», 2008.