Шесть лет назад, когда обсуждение темы «Операционный риск-менеджмент» на Форуме Bankir.Ru только начиналось, отечественной нормативной базы не было вообще. Поэтому делиться приходилось либо достижениями западного банкинга, либо собственным опытом.
«Что же делать?»
- У тех, кто столкнулся с данным явлением, много проблем. Абсолютно никакой нормативной базы, ни надежных методик расчета, ни точного понимания: "Что же делать?" Все знают, что дело нужное и полезное, но как это делается, ясного представления нет.
- Отстраивать систему управления операционными рисками можно начать с выбора и описания приоритетных бизнес-процессов (критерием выбора может быть объем операций за период времени). Далее эти процессы документируются, например, в разрезе банковских продуктов. Затем в бизнес-процессах проставляются риски (используя референтные базы рисков), по которым оценивается эффект, вероятность, преднамеренность и существенность (согласовывая с владельцем процесса наличие такого риска и некоторые его параметры). На следующих этапах можно проводить анализ рисков, например, в разрезе структурных подразделений (количества риска на структурное подразделение), продуктов и процессов, категорий риска.
- Планируем в ближайшее время на внутреннем сайте банка создать сервис по анкетированию факта выявленного опер.риска. На рабочем столе компьютеров сотрудников будет создан ярлычок, который будет содержать линк на раздел внутреннего сайта (где организован сервис заполнения анкеты). Сотрудник банка, который допустил опер.риск, обязан кликнуть на ярлычке и заполнить анкету. В последующем будут сверяться результаты проверок СВА и база данных анкет, можно будет увидеть уровень заполняемости таких анкет (эффективности такой схемы сбора информации). По этому поводу вопрос - относитесь ли Вы скептично к этому сервису на внутреннем сайте банка? Будет ли у сотрудников желание и время на заполнение таких анкет? Что говорит Ваш опыт?
- Если речь идет не об отмазке от ЦБ, то, на мой взгляд, то, что вы внедряете, не будет эффективно. Сначала нужно привить культуру управления рисками всем подразделениям в банке, и должно быть четкое понимание того, что есть операционный риск, как его идентифицировать и классифицировать, и, самое главное, как полученную аналитическую информацию использовать. Сама по себе аналитика бесполезна. Резервами под возможные потери тоже дело не ограничивается. Проблема гораздо шире и решать ее нужно комплексно.
- Оперриск - это возможные убытки, которые банк может понести в будущем в результате действия и/или бездействия его сотрудников, оборудования и т.п. Что значит в вашей терминологии "выявленный оперриск"? Это выявленные возможные убытки или уже полученные убытки? Или что-то другое?
Что значит, что сотрудник банка "допустил оперриск"? Скорее всего, вы подразумеваете, что банк понес убытки в результате действия или бездействия этого сотрудника. И в какой момент он обязан кликнуть на ярлычок? Когда к вечеру или завтра, а может через какое-то время выяснится, что этот сотрудник допустил ошибку, и банку пришлось платить неустойки (штрафы, пени и т.д.)? Два эти события могут быть разнесены во времени и формально не связаны друг с другом. Необходимо проводить расследование каждого такого случая и классифицировать его. И это не дело самого сотрудника, это дело риск-менеджмента. Риск-менеджер может попросить сотрудника заполнить анкету по этому событию, если ему непонятны причины, которые могли привести к такой ошибке, для того чтобы в последствии выяснить конкретные факторы риска, повлиявшие на сотрудника. Вообще такую базу статистики должен вести риск-менеджмент.
Физики и лирики
- Мне кажется, что в основу управления рисками ошибочно заложен количественный подход. Никто и никогда не даст математической формулы управления риском. Не все можно подвергнуть цифровому выражению. Не бывает типичных ситуаций. Я не очень понимаю, как можно рассчитать операционный риск (риск ошибки сотрудника при проведении операции)? Можно учесть усердие? Можно учесть настроение людей? Можно учесть психологический климат?
Управление риском (тем более операционным) - это управление людьми, коллективом. Самый эффективный способ снижения - создание команды сплоченных одной идеей людей. И здесь основной ответчик - руководитель, духовный наставник.
Людям, занятым своим делом с душою, не нужны инструкции, прогнозы и планы. И надзорщики им не нужны.
- Как минимум, людям (тем более увлеченным) свойственно ошибаться. Ошибки могут быть вызваны не только отсутствием контроля, непониманием юридических тонкостей, отсутствием должного опыта или квалификации, но и, например, обычной усталостью, я уж не говорю о явных людских пороках... А риск сотрудника в проведении рутинных операций рассчитывается обычными путями, например, простым подсчетом его ошибок по историческим данным.
- Разве спрогнозированное количество ошибок даст нам ответ на главный вопрос – ПОЧЕМУ возникает ошибка? Или прогноз - это самоцель? Гуманитарного начала, товарищи, мало в вашем нелегком деле. Все цифры, цифры...
- Отвечая на вопрос ПОЧЕМУ, вы сможете (и должны) не только уменьшить этот риск, но и спрогнозировать возможность его появления в будущем. А зная прогноз (модель) возникновения риска, вы сможете подготовиться к его возможным последствиям, например, созданием достаточных резервов для покрытия возможных убытков от такой операционной деятельности. А вот это и есть самоцель операционного риск-менеджмента!
- Вы предлагаете ответить на вопрос "почему?" с помощью прогноза ошибок?
- Конечно, если есть такая возможность! Ведь операционный риск – это риск возникновения убытков, возникающих в результате действия (или бездействия) сотрудников банка, сбоев вычислительных систем и систем связи, ошибок в банковских технологиях, неблагоприятного воздействия окружающей среды и т.п.
Так что и ответ на вопрос «почему» также входит в одну из главных задач риск-менеджмента! Чем больше информации, раскрывающей суть возникновения риска, тем точнее модель. Чем точнее модель - тем меньше риск!
- Прогноз возможен на основе определенной информации, в данном случае – каких-либо фактов (исторические данные), они и отвечают на вопрос «почему». Прогнозы мы строим для предотвращения опер. рисков. Рассчитать опер. риски – задача чрезвычайно трудная и на первом этапе довольно долго решаемая, но уже есть методики (Базель 2).
- На первый план, я считаю, надо ставить построение бизнес-процессов. При верно построенных бизнес-процессах, понимании ответственности владельцами рисков, наличии работающей нормативной базы и верно рассчитанных рисков будет вам счастье.
- А я бы на первый план поставил построение человеко-процессов. Если не будет у сотрудников чувства причастности и понимания того, для чего и к чему все это предприятие, то бизнес-процесса вы не построите. Я за гуманитарное начало!
- Ваше сознание бунтует именно потому, что вы никогда не сталкивались с этими проблемами и не знаете, какими в принципе могут быть потери банка от, казалось бы, безобидных операций. Я же занимался как внутренним контролем, так и финансовой безопасностью, поэтому у меня давно нет иллюзий ни насчет «сплоченной команды», ни насчет «духовных наставников».
- Вот скажите, пожалуйста, честно, сотрудники вашего банка читают внутренние инструкции и планы? Где бы я ни работал - не читают.
- Это значит, что инструкции плохие.
- А вы не допускаете той мысли, что это может также значить и то, что сотрудники знают, что им делать, т.к. ПОНИМАЮТ, что они делают?
- Нет, не допускаю. Более того - чем квалифицированнее работник, тем лучше (толще, подробнее) внутрибанковское положение, лежащее на его столе. А если Ваш кредитник на вопрос "как определяются критерии групп риска по ссудному портфелю" начинает изложение в вольном стиле своего видения по данному вопросу - это бардак.
- Вы правы. Еще в начале 90-х обратил внимание на наши договоры (внутрироссийские) и контракты с зарубежьем (по сходным сделкам) - толщина отличалась в несколько раз. И не зря - люди давно работали и понимали, что с рисками стоит бороться.
Матчасть
- Как насчет ситуации вокруг нормативной базы по опер. риск-менджменту? Первым делом, считаю, необходимы документы: Политика, правила, инструкции, регламенты, тех.карты.
- Нормативная база нужна, кто ж с этим спорит, иначе сложно будет объяснять акционерам/руководству, что такое опер. риск и как/зачем им управляют в данной организации. Но тех. карты - не совсем нормативная база, и за 1-2 недели их не создашь, тем более детальные. На это, как правило, несколько лет уходит.
- Многие системы для моделирования позволяют на базе описанных процессов автоматически генерировать регламентные документы (технологические карты, должностные инструкции и т.д.). Таким образом, на создание ТК по одному б/п где-то две недели и уходит (с детализацией до операций создания/обработки/передачи/согласования документа).
- Так их еще описать надо. А учитывая количество б/п в банках, которые еще и разложить на бизнес-функции можно, то как раз и получается несколько человеко/лет...
- Несколько лет – это из расчета на 1 человека. В тех структурных подразделениях, которые занимаются б/п в банках, обычно задействовано от одного до нескольких десятков человек
- Остается только уговорить эти подразделения описать свои бизнес-процессы подробно и правильно. Подумайте, какие усилия понадобятся. Во-первых, не все сотрудники определенного подразделения смогут вразумительно описать даже свой бизнес-процесс, во-вторых, времени у них нет, чтобы заниматься непрямыми обязанностями.
- Имеется в виду, что в банке создается отдельное структурное подразделение (рабочая группа, комитет), которое занимается описанием и поддержанием в актуальном состоянии моделей процессов (это если централизованный подход к описанию процессов). Другой подход - подразделение методологической поддержки (Help desk), а функции описания и актуализации передаются бизнес-направлениям (например, в рамках бизнес-направления этим может заниматься отдел методологии).
- Согласен, это требует перманентных усилий. Но без этого управление операционными рисками превратится в изящное искусство и экспромты всякие, т.е., по сути, несистемное занятие с такими же результатами. Часть "узких мест" и так видна. Но, уверяю Вас по личному опыту – брали, казалось бы, согласованный со всеми фолиант и просто раскладывали его в нотации IDEF (что было на то время под рукой). Столько "дыр" было найдено! Повод был простой - при кредитовании бумажка между отделами "висела" до нескольких часов (физики). Найдены были и действия, по которым документы вообще "повисали в воздухе навсегда". Просто, когда регламент изготовлялся - многое подразумевалось, люди стали уходить, унося с собой "подразумевавшееся", пришли новые люди - и процесс забуксовал. То же самое с рисками.
Если задача "обозначить" - то можно и просто бумажку написать одну с разными конструкциями, и довести всем под роспись.
- Resume: процессы - это главное, на что нужно обращать внимание при построении системы управления операционными рисками.
- Главбух поставил передо мной задачу написать "Положение об операционных рисках в бухгалтерском учете". С чего начать?
- Честно говоря, не понимаю необходимости в создании подобного Положения.
Предлагаю обсудить с руководством создание общебанковского документа, регламентирующего управление операционными рисками, который будет включать процедуры УОР всех бизнес-процессов банка, в том числе и бухгалтерский учет.
И если у вас есть подразделение по управлению рисками, думаю, что это больше их задача.
- Однозначно рисковики должны писать Положение об ОР. Их задача – получить от бухгалтерии бухгалтерскую сторону (проводки и пр.) и обеспечить одобрение Положения во всех необходимых подразделениях (например, внутренний аудит, бухгалтерия, комплаенс, риски и что еще требуется в вашем банке).
Отдельные куски наподобие "ОР и бухгалтерия" в итоге приведут к несовместимости разных кусков ОР и, следовательно, к геморрою у того, кто это будет разбирать.
- Наиболее очевидные показатели, имхо, следует искать в технологическом риске: например, количество сбоев оборудования за какой-то расчетный период. Однако в самом по себе в этом показателе толку не много. Надо посмотреть, к чему привел этот сбой. И вот это уже и есть работа подразделения по анализу опер. риска.
Например, на полчаса остановилась работа опер.зала. Для этого расчета мы должны иметь еще что-то вроде хронологии дня работы опер.зала по часам (это при любом случае полезно сделать). И теперь смотрим: сколько клиентов обычно обслуживается в это время дня, какие проводит операции, какая сумма комиссии в среднем набегает. И делаем вывод: потери банка за полчаса простоя опер.зала вылились в такую-то сумму операционных убытков в виде недополученных доходов. А там параллельно еще и репутационный риск можно посчитать...
И так по каждому показателю. Ошибки сотрудников. В каждом подразделении они свои. И убытки могут быть разные. Как вариант, к чему могут привести ошибки сотрудников в конечном итоге, - это к тому, что из-за исправления этих ошибок, переделывания по десять раз документов и т.д., подразделение выполняет меньший объем работ, чем могло бы, или с большими трудовыми затратами (большим числом сотрудников). И это все, если задаться целью, можно посчитать. И возможно, вы придете к тому, что, если бы, например, этих ошибок не было, порученный подразделению объем работы могли бы выполнять не пять человек, а четыре. Вывод: операционные убытки банка равны з/п "лишнего" сотрудника. Естественно, что само подразделение никогда в этом руководству не признается. Поэтому им и не поручается делать такие далеко идущие выводы. Их дело – цифирки дать по установленной форме. Выводы риск-менеджмер сам сделает.
- Как по бухгалтерии (по счетам) выявить факты реализации опер. рисков? Я понимаю, что по расходам, но детализировать смогу вряд ли!
- По бухгалтерии выявить операционные события невозможно, там вы увидите только потери, связанные с реализацией операционного риска. Идентифицировать такие операции "в лоб" достаточно просто. Рассматриваете операции по счёту 70606 в разрезе ряда символов Отчёта о прибылях и убытков, например: штрафы, пени, неустойки; возмещение убытков; списания различных недостач и плохих долгов; чрезвычайные обстоятельства; прочие расходы разового, случайного характера.
Это исходные данные. Располагая ими, нужно попробовать раскрутить цепочку событий, понять, что именно привело к эти потерям. Какие потери связаны с одним и тем же событием? Как классифицировать события и риски? Кого привлечь для верификации данных? В общем, после того, как данные извлечены из бухгалтерии, сложные вопросы только начинаются.
База данных
- ЦБ рекомендует создать и вести аналитическую базу данных о понесенных опер.убытках. Если внутренний контроль осуществляет контроль, а риск-менеджмент - управление риском, то кто должен вести эту базу?
- Тот, кто управляет.
- Ввод данных осуществляют внутренние аудиторы (потому как они идентифицировали), либо сами подразделения, в которых возник ущерб (конечно, если есть ПО с возможностью разграниченного доступа). Функция рисков в данном случае сводится к контролю за введенной информацией (правильность классификации, к примеру).
- ЦБ хочет, чтобы в систему управления операционным риском были включены все сотрудники банка. Т.е., как я понимаю, базу данных заполняют все подразделения, а анализирует ее риск-менеджер.
- Мы уже эксплуатируем подобную базу, и рекомендую не предоставлять процедуру заполнения БД всем подразделениям банка. Хотя ничего не имею против аудиторов, они в этом отношении наиболее подготовленные.
- Но аудиторы не могут заполнять эту базу своевременно, т.е. только после плановой (внеплановой) проверки. И если банк большой, то до некоторых подразделений проверка СВК в течение квартала и даже полугодия может не дойти.
Я думаю, что базу данных должен заполнять не каждый сотрудник банка, а каждый руководитель подразделения (начальники отделов).
- Аудиторы могут заполнять базу и наверняка уже продолжительное время ведут базу где-нибудь в Excel, а тут вы им дадите программный продукт с "удобствами". По поводу проверок СВК полагаю, что у вас, как и во всех нормальных Банках руководители подразделений обязаны сообщать аудиторам о событии повлекшим ущерб Банка, те в свою очередь провести расследование и... завести инфу в базу.
- ИМХО, это противоречит принципам внутреннего контроля. СВК не может вести такую базу по определению. Поскольку в ее обязанности входит контроль за тем, как в банке управляют рисками, а, следовательно, и контроль за тем, как ведется указанная база. А если повесить на СВК ее ведение, кто будет осуществлять контроль тогда? То, что СВК ведёт "для себя", в целях контроля, это немного другая база.
- База аудиторов (об ущербах банка), как правило, содержит достаточную информацию для классификации ОР. Другое дело, что база эта не охватывает все события ОР, но разве вы можете предложить ещё кого-то лучше? Информация, полученная от аудиторов, играет одну из ключевых ролей в процессе накопления исторических данных о событиях ОР.
- Если этого "кого-то лучше" нет, его надо создать! Подразделение по анализу рисков и должно этим заниматься. Иначе вообще всю деятельность банка можно на аудит повесить. Раз они все знают! А контроль, повторяю, кто будет осуществлять? И потом. Нормативных требований по ведению аудитом банка какой-либо базы нет. Однако ж, хотим мы этого или нет, но при любой внешней проверке некую базу банк должен будет представить. И аудиторскую, имхо, лучше не трогать... Показать другую базу...
- Я бы включил туда сводный отчет с разбивкой по уровням риска - суммы, количество негативных событий, количество пунктов, по которым исправительные мероприятия закончены/не закончены и т.п.; значения ключевых индикаторов с подробностями по тем, которые превышены.
- Сначала определитесь для чего вам оперриск. Если нужен только для ГУ ЦБ, то убытки следует собирать только те которые отразились в БУ, и избежать их огласки перед проверкой нельзя. Тогда работаете со 102 формой и от нее пляшите к подразделениям и причинам.
Если же систему выстраиваете для себя, то следует выявлять и убытки, не нашедшие отражения в 102 форме. Например, не заключенный договор по которому банк мог получить %%. Эти проценты и есть убыток, сделка по продаже бумаг проведенная на день позже и как следствие по чуть меньшим ценам - тоже убыток и т.д.
- Всех денег не заработаешь. Если сделка была совершена по предусмотренным банком процедурам, это не операционный риск. Если сделка не совершилась вследствие того, что стороны не пришли к согласию по условиям сделки - не операционный риск.
Кроме того, убытки не есть упущенная выгода. Неполученные проценты - это упущенная выгода. Убытки по сделке с ценными бумагами - рыночный риск в большинстве случаев (ждали роста, а Северная Корея испытала Бомбу, ну и...), если не мошенничество, выход из строя торгового терминала, повреждение канала связи и т.п. операционные причины.
- Не всегда. Все зависит от причин. Если рынок упал - это одно. А если какой-нибудь клерк в банке заболел или опоздал - это другое.
- Поэтому я сказал о большинстве, а не о всех случаях. Я не склонен операционный риск соотносить с каким-либо направлением деятельности. Он свойственен деятельности в целом.
- Подходов к ведению БД несколько, один из них – наладка потоков информации о событиях ОР в подразделение, занимающееся управлением ОР и одновременная сверка поступившей информации с балансовыми данными. Вы прописываете во внутренних нормативных документах обязательность предоставления информации с указанием ответственных лиц, затем выделяете определенный перечень счетов, на которых отражаются все ущербы банка, и каждый день сверяете баланс с поступившими данными. Если баланс показал что, что-то не поступило, то мотивируете непредставившее подразделение (уж каким методом – это вам самим решать).
- Мы готовим отчеты, основанные на фактических данных Базы данных (разрезы: по филиалам, по направлениям деятельности, категориям причин и событий) в сравнении с суммой резервирования, рассчитанной в соответствии с методом базовых показателей.
Берем за основу данные бухучета, дополняя их материалами расследований соответствующих структурных подразделений в случае, если расследование проводилось. При этом можно надеяться на 80-90% охвата всех ущербов Банка от ОР.
- Передо мной поставлена задача обобщения операционных расходов (направление деятельности банка, причины убытков, формы убытков) из данных бухучета для формирования статистической базы данных. Но как можно из этих данных бухучета создать аналитическую базу, по опер. риску, ума не приложу...
На мой взгляд, данные бухучета мало что могут дать - только сумму уплаченных штрафов и пени (по налогам). И вряд ли этого будет достаточно для обоснования размера резерва...
- Начинайте со 102 формы и смотрите убытки в разрезе лицевых счетов по символам расходов. Сразу будет ясна форма (вид) опер.убытка (штрафы, судебные издержки, компенсации, возмещения недостач и пр.). Ну а потом можно запросить подразделения о причинах опер.убытков и условиях их возникновения. Все это и заносите в базу данных. Но базу надо иметь за длительный период (3-5лет), чтобы обосновать размер резервируемого капитала под опер.риск.
- Возьмите План счетов банка, проанализируйте все счета на предмет присутствия на них ущербов вследствие событий ОР (ущербы от недостач и переплат, ущерб от ограблений и т.д.), поймите, правильно ли на них отражались суммы, но дальше будут проблемы с классификацией по направлениям, причинами и событиям. Какая-никакая статистика.
- Как вы проводите мониторинг опер.риска согл.76-Т и проводите ли вообще? Какие индикаторы уровня опер.риска используете? Собираете эту информацию в виде отчетов или как-то по-другому, и как часто?
- Мы раз в квартал опрашиваем (анкета) начальников крупных подразделений и собираем стат. информацию из программ.
- А есть ли в вашей анкете вопрос о несостоявшихся сделках (о неполученной прибыли)?
- Мы считаем оперриск только для ЦБ. Нам самим оно не нужно. Потому и каверзных вопросов нет. Вопросы только такие, которые может сторонний человек выявить. А чего выявить нельзя - того и не было.
- Выбран ли у вас уровень отсечения? Если понесённые потери выше уровня отсечения и если они рассматриваются как реализация операционного риска, их необходимо регистрировать в базе.
Если события рассматриваются как угрозы, как некоторый типичный сценарий реализации операционного риска, то их необходимо регистрировать. Даже если размер потерь неизвестен: если вы желаете иметь такую "угрозу" в контуре управления, информацию о ней я бы рекомендовал заносить в базу.
- Определили существенность события для банка - 0,5% от капитала. Если сумма убытков меньше, считаем, что убытки несущественные.
- А не слишком ли высокий уровень? Если размер убытков 0,2% от капитала, при этом частота событий раз в неделю - вряд ли руководство сочтёт такие убытки "несущественными"...
Убытки свыше 0,5% от капитала в нормальном банке (в результате именно опер. риска) должны случаться нечасто, и Ваш регистр грозит остаться полупустым...
- В регистр заносим все, ничего не фильтруем, а про 0,5% - это уровень существенности от нашего капитала. На самом деле и за 100 р. штрафа руководство всех причастных мочит!!!
- Если всё заносить - тогда никакого регистра не хватит, нужен разумный компромисс, иначе каждую опечатку придётся регистрировать.
Методики Базеля
- На нынешнем этапе банкам следует придерживаться одного из универсальных методов оценки оперриска, предложенных Базелем-2. Одновременно следует ставить систему сбора информации и оценки оперриска математическими методами. Для этого нужна подробная статистика за несколько лет (3 года), затем выбрать одну из моделей.
В данный момент я пытаюсь сравнить результаты по трем методам: базовый метод, стандартизованный метод, альтернативный стандартизованный метод.
- Если вести речь о стандартизированном подходе изложенном в Базель-2 то в результате предлагаемых расчетов получаем какую-то величину. Каков ее экономический смысл? Что она показывает?
- Способы расчета разработаны центробанками Европы, полученная величина предназначена для резервирования капитала под операционные риски.
- Решила для начала считать по базовому подходу. Беру расчетную валовую прибыль и умнажаю на 15%, получаю размер капитала, резервируемый под опер. риск. Тогда возникают следующие вопросы:
1) как рассчитать саму величину опер. риска,
2) как выявлять риск при данном подходе?
- В рамках базового индикативного подхода ответ "никак" на оба вопроса. Базель II не определяет инструменты расчёта величины операционного риска. Данный подход не является подходом к оценке риска.
Базель II не декларирует, что определяет порядок расчёта рисков. Так что, если необходимо только формально закрыть вопрос, то величину требований к капиталу можно назвать "величиной операционного риска" для "управленческой отчётности".
- Величина риска равна величине резервируемого капитала. Выявлять риск не нужно - вы его уже выявили и получили величину.
Вам остается только отслеживать операционные убытки, и следить, чтобы они не превысили рассчитанную величину риска. Как наберете достаточно статистики по видам убытков (в разрезе подразделение/ вид/причина/...), тогда уж можно будет двигаться дальше.
- Но величина резервируемого капитала должна быть равна (в идеале) величине операционного риска. При этом величина собственно риска никак не зависит от величины резервируемого капитала, даже рассчитанного в рамках Стандартизированного подхода Базель II.
Полученная величина не имеет отношения к величине операционного риска. Единственным фактором риска в данной модели является валовой доход направления. Таким образом, управлять операционным риском становится возможно исключительно регулированием валового дохода по бизнес-линии. Независимо от того, страхуем мы операционный риск или нет; проводим мы мероприятия по ограничению операционного риска или нет.
Стандартизованный подход - это упрощение, основанное на косвенной взаимосвязи операционного риска и масштаба деятельности.
- Какие действия предполагается предпринять в случае, если операционные убытки превысят рассчитанную величину?
- Выявлять причину (разовый оп.убыток или недостатки самого расчета операционного риска). При втором варианте: переходить от расчета от прибыли к расчету от валового дохода.
- Получается, что если мы в рамках дозволенного, то ничего делать не надо? Не согласен.
- А почему, собственно? Я говорю себе, что потери в пределах 10 000 в месяц - это приемлемо и не стоит затрат на то, чтобы организовывать какую-либо систему предвидения и защиты. Это ведь упрощенный подход. А вот если превысим, то следует создать комиссию и разобраться - либо принять меры и жить, как и раньше, либо потратиться и выстроить систему предвидения и защиты.
- Как я понимаю, нужно не просто выявлять и констатировать случаи, нужно систематизировать и делать выводы/прогнозы. Следовательно, в итоге возвращаемся к тому, с чего начали – к базе данным по опер. убыткам!
- Указанный подход базируется на простой логике: чем больше объемов по банковским направлениям, тем больше вероятность наступления ошибки относящейся к опер риску.
- Я так понял, что принципиального расхождения между базовым и стандартным методами нет (в том смысле, что итоговый ОР будет мало отличаться). Другое дело - продвинутый подход. Здесь требуется создание базы данных по убыткам вследствие неблагоприятных событий. Конечно, это более трудоемко и длительно, но и эффект (причем не только в плане оценки ОР, но и в плане организации работы банка) существенен.
В принципе, т.к. стандартный метод не даст существенного выигрыша по оценке ОР, то имеет ли смысл его ведение? Можно же обойтись базовым методом.
- В нашем случае переход к стандартизированному подходу предположительно даст около 2 ярдов экономии капитала покрытия.
Операционный риск по-центробанковски
- Пришло письмо ЦБР "Рекомендации по организации операционным риском в КО". Они здесь столько всего рекомендуют… Побывав на семинаре, проводимом ЦБ, я услышала оч. интересные вещи об этом письме. По их мнению, все рекомендации должны быть выполнены, и при проверке они будут обращать на управление рисками (в том числе операционным) пристальное внимание. Так теперь что, и в учредительные документы вносить изменения согласно их рекомендациям?!
- Мы рассчитали размер резерва под оперриск. Как создавать резерв? Из прибыли или на расходы банка?
- Вообще-то требований по резервированию капитала пока нет. Так что все расчеты служат лишь отправной точкой для управления оперрисками для самого банка, в частности для СВК.
- Расчеты возможных убытков (размер резерва) пока что нужны только для оценки уровня опер.риска. Считаете ежемесячно его уровень и в зависимости от колебаний предпринимаете меры по управлению.
- Проблема исключительно в том, что ЦБ не разделяет понятие резерв и риск, а проводит между ними непосредственную связь. При этом телегу (резерв) ставит впереди лошади (риск).
- Риск есть. Посчитать его сложно. Поэтому договорились, что те, кто не может посчитать свой риск и доказать, что он посчитал правильно, резервируют капитал в определённой сумме. Методика расчёта этой суммы (не риска и не адекватного риску резерва) - базовый или стандартизированный подход.
- Как можно вводить дополнительную нагрузку на Н1 от показателей, характеризующих эффективность работы банка?! Каким-то высосанным из пальца оперриском. Его от отрицательных значений Д надо устанавливать, а не от положительных! Если банк не получит в будущем прибыли, он и так развиваться не сможет. А тут: поработал эффективно - нажми-ка на тормоз. Совсем ЦБ голову потерял.
- Это не ЦБ, это Базель. Базовый метод – самый простой метод расчета ОР для регулятора по принципу - чем больше у тебя доходов, тем больше риск их потерять.
- Это не операционный риск, а минимальные требования к капиталу на покрытие операционного риска, дословно – капитал под операционный риск. Составляют 8% от размера операционного риска. То есть ОР больше этих требований в 12,5 раз.
- Представьте себе, что у вас есть только операционный риск. Тогда капитал должен полностью покрывать возможные убытки, т.е. К >= ОР, пусть будет строгое равенство. В то же время есть норматив достаточности капитала К / Взвешенные Активы, который в базеле должен быть также >= 8% (пусть также будет равенство). Т.к. величина оперриска прибавляется в Взвешенным Активам, а в нашем примере их вообще нет (вернее КР для всех них равен 0), то для того чтобы не нарушался норматив эту величину надо умножить на 12.5. Только в этом случае норматив будет равен 8%.
- Касаемо базового индикативного метода....он действительно довольно бестолковый. Как нам объяснял в свое время Бухтин М.А., его популярность среди надзорных органов обусловлена банальным доверием к отчету о прибылях и убытках - он строже всего контролируется надзорными органами, в том числе и налоговыми, и его сложней фальсифицировать. Мы бы с гораздо большим удовольствием выбрали альтернативный стандартный подход, где размер оперрисков увязан с размером кредитного портфеля.
- Возник "детский" вопрос, Вот мы оценили капитал на покрытие оперриска. По логике, это нужно затем, чтобы покрыть возможные потери. Потери по оперриску у нас могут быть разные, но одна из "целевых" групп - очень крупные и очень редкие убытки. Мы резервируем, скажем, 5% капитала под оперриск, и держим эту долю несвязанной в течение 20 лет. Потом происходит (тьфу-тьфу, не дай бог) рисковое событие с ущербом 100% капитала. И что, как нам поможет наше прежнее упорное 5%-ое резервирование? Что оно нам дает, нафига оно вообще нужно?
- Резервы - это ожидаемые убытки, которые В СРЕДНЕМ должны покрывать ваши убытки. Т.е. если вы правильно "ожидаете", то в среднем за эти 20 лет ваши убытки должны быть равны сделанным резервам.
Все остальное - непредвиденные убытки, которые должны покрываться экономическим капиталом. Собственно, здесь речь идет о достаточности капитала.
- Разница между ожидаемыми и непредвиденными убытками мне в целом понятна. Мне непонятно другое: получается, что система резервирования рассчитана не просто на ожидаемые убытки, а только на те из них, которые по размеру заметно меньше капитала банка. Если же (пусть даже ожидаемые) убытки сравнимы или больше капитала, то получается, что ...
- Непредвиденные убытки покрываются капиталом, чтобы было понятнее - экономическим капиталом. Оценка его величины необходима для оценки достаточности капитала.
Если вы не ожидаете убытков, то и резерв не создается. При правильном "ожидании" резерв должен покрывать ваши убытки.
Если же вы "ожидаете большие убытки", то и создавайте большие резервы. Если "ожидания" были напрасными, эффективность работы вашего банка будет плачевной, т.к. резервы уменьшают капитал, которым банк и рискует для получения прибыли.
Ожидаемые убытки - это математическое ожидание ваших убытков, непредвиденные убытки, это убытки, которые могут случиться с заданной доверительной вероятностью.
- Исходя из ваших данных, вы должны каждый год перечислять в резервный фонд 5% вашей прибыли, тогда за 20 лет у вас и накопится сумма, достаточная для покрытия этого убытка. Это и есть ожидаемые убытки. А экономический капитал покрывает возможные убытки, сверх этих ожиданий.
- Спасибо, до меня дошло. Проблема была в том, что у меня в голове смешались понятия "капитал на покрытие риска" (не накапливается; подлежит расчету в соответствии BIA/SA/AMA + проектом ЦБ-шных изменений в 110-И) и "резерв" (накапливается), - и от этого все зло.
- Резерв формируется под ожидаемые убытки, а капитал резервируется под неожиданные.
- А откуда такое правило? Вероятно, это по аналогии откуда-нибудь из кредитного риска?
- В принципе, это основа риск-менеджмента. Возьмем пример из жизни. Предположим, что штраф за безбилетный проезд на общественном транспорте составляет 100 руб. Если Вам в среднем в каждой десятой поездке попадается контролер, то Ваши ОЖИДАЕМЫЕ убытки от одной поездки = 100/10=10 руб. Они ожидаемые в том смысле, что Ваш предыдущий опыт показывает, что если постоянно ездить на транспорте без билета, то каждый дестый раз придется платить штраф. Чтобы не быть препровожденным в кутузку в связи с отсутствием возможности уплатить штраф, Вы должны на каждую поездку резервировать 10 руб. и в среднем вы будете в нулях (10*10=100 руб.) Это в Вашей терминологии EL и резервы. НО появление контролеров неравномерно (он может попасться уже во второй Вашей поездке и в четвертой, а потом 30 раз во время поездки контролеров вообще не будет). Поэтому, кроме резервов, нужен еще капитал на покрытие непредвиденных убытков (UL). Он зависит от волатильности показателя появления контролеров. Посчитав дисперсию появления контролеров, Вы можете определить (с какой-то достоверностью – 66%, 95%, 99%), какой суммой Вы должны располагать, чтобы при самом неблагоприятном для вас распределении появлений контролеров Вы все равно смогли бы расплатиться по штрафам. Допустим, эта цифра составит 250 руб. Это необходимый экономический капитал, рассчитанный с 99 % вероятностью. Другими словами, если Вы всегда будете иметь в кармане 250 руб. плюс на каждую поездку откладывать по 10 руб. резерва, то в среднем только 1 раз за 100 поездок у Вас в кармане не хватит денег, чтобы заплатить штраф 100 руб. за безбилетный проезд.
Аудитор или риск-менеджер?
- Считаю, что очень тяжело провести грань между аудитором и риск-менеджером в процессе управления операционными рисками. Кто что думает по этому поводу?
- Риск-менеджер управляет рисками. Аудитор проверяет наличие и действенность самого процесса управления рисками.
- Думаю, что все гораздо сложнее. Вся деятельность риск-менеджера (по Базелю) сводится к расчету капитала резервирования, разработке мер предотвращения/снижения, накоплению событий риска, идентификации риска в новых продуктах и т.д. Основные же процессы управления как то идентификация, оценка, мониторинг и контроль, относятся к функциям аудиторов, и незачем их дублировать.
Можно конечно и риск-менам чего-нибудь поискать и поконтролировать, да вот надо ли и эффективно ли...
- Неверно. Задача аудиторов не в идентификации, оценке и мониторинге, а именно в контроле, который ну никак не относится к РМ. Контроль - вот главная задача аудиторов.
Аудиторы проверяют несоответствие требований законодательства и регуляторов, контролируют качество РМ, если надо – дают рекомендации по улучшению его работы, но никак не вмешиваются в сам процесс РМ (в идентификацию рисков, оценку их величины, в мониторинг изменений и т.п.). Основная функция аудиторов - контролирующая.
- Я бы сказал, что аудиторы осуществляют последующий контроль - с целью выявления рисков в том числе. Если аудитор обнаружит объект с незакрытым (неконтролируемым/ недостаточно контролируемым и т.п.) риском, то вполне может оценить уровень риска по объекту и выработать рекомендации по исправлению недостатка (методику оценки и мониторинга риска по объекту). При этом, если аудитор внутренний, то он может осуществить проверку выполнения рекомендации, а не просто получить отчет об исправлении.
- Контроль и к РМ имеет непосредственное отношение.
- Имеет, конечно, но только не к контролю за самим РМ.
- Кто бы спорил, что контроль главная задача аудита, да вот только идентификация и оценка нарушений не менее важная задача, предшествующая процессу контроля.
Да, аудиторы действительно проверяют несоответствие требований законодательства и регуляторов, что, кстати, (вероятность несоответствия) является операционным риском внешнего воздействия по Базельской классификации. И ещё, процесс РМ – это совместная задача не только аудиторов и риск-менов, но и всех остальных подразделений и сотрудников банка.
С тех пор, конечно, многое изменилось. Банк России выпустил Положение о порядке расчета размера операционного риска (правда, на самом деле это расчет капитала на покрытие операционного риска, ну да ладно); Базель-2, не успев получить применение на практике, плавно перетекает в Базель-3; на темы операционного риска написано несколько статей и прочитано множество лекций; в каждом уважающем себя банке создано подразделение по управлению рисками. Однако вопросы как практического, так и теоретического характера, у риск-менеджеров остаются – а значит, обсуждение продолжается.
