Finkurier.ru

Журнал про Деньги
10 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Операционные риски предприятия

Снижение операционных рисков в бухгалтерии компании

Ряд рисков в полноте понимания и реагирования пришло в деловую сферу из отрасли финансово-кредитных услуг. Таким примером может послужить валютный, процентный, а также операционный риск. Последний вид риска на предприятиях еще не получил в достаточной мере регламентационной проработки так, как это произошло в банковской сфере. Однако финансовые директора многих компаний на протяжении последних 20-ти лет достаточно часто встречаются с проблемами, вызванными неблагоприятными событиями операционной природы. А это значит, что на обозначенную выше тему пришла пора начать разговор.

Что понимать под операционным риском?

Приглашаю вас обратиться к такому семантическому свойству слова «операция», как его значение. Очевидно, что разнообразие интерпретаций данного слова в русском языке велико. Среди разнообразного их множества нас будут интересовать только три варианта значений, так или иначе применимых для предприятия как коммерческой организации.

  1. Операция в смысле работы как элементарного действия в составе бизнес-процесса в деятельности компании без привязки к типу процесса (основного, обеспечивающего, управления, развития и т.д.).
  2. Операция как часть блока деятельности в составе трех финансовых форм Cash flow (операционной, инвестиционной и финансовой его составляющих).
  3. Операция с позиции транзакции, совершаемой или финансовым институтом, или коммерческой организации и их денежном обороте.

Может ли операционный риск (ОР) как понятие быть прямо перенесено из банковской сферы? Общепризнано, что высокий уровень регулирования банковской деятельности обеспечил существенно больший прогресс в применении риск-менеджмента, нежели в реальном секторе. Широко известны рекомендации Базелевского комитета по надзору, упрощенно называемыми «Базель II», в которых предложено определение понятия операционного риска.

К данной категории рисков в докладе международного комитета предлагается относить риски убытков из-за неадекватных или ошибочных процессов внутреннего содержания деятельности, систем, действий сотрудников или внешних событий. В понятие разрешается включить явление юридического риска, но рекомендуется исключить из него риски стратегического и репутационного типа. В связи с тем, что акцент в определении сделан на ошибках внутренних процессов, можно заключить, что Базель II сделал ставку на первый смысл операции, обозначенный выше.

Если осуществлять буквальную трансляцию понятия ОР в менеджмент промышленного или торгового предприятия, то не остается места для другого восприятия данного явления (например, с позиции вида деятельности в Cash flow). И действительно, если мы вправе говорить об инвестиционном риске, о неблагоприятных последствиях решений в сфере финансовой деятельности, то почему мы не можем выделить операционный риск как подвид финансового риска в области движения денежных средств в операционном секторе? Звучит логично, но само понятие при этом размывается.

Говоря о субъекте деятельности реальной экономики, я бы предложил оставить в понятии «операционный риск» только два смысла: процессуально-системный (реплика из Базеля II) и транзакционный. Транзакционный риск трудно игнорировать, так как рост числа кредитных операций и валютных сделок все более очевиден в последние годы. А вот операционные риски из состава возможностей нежелательных событий, связанных с движением ДС, я бы исключил, отнеся подобные угрозы к общему понятию финансового риска. Во всяком случае, так могла бы возникнуть хоть какая-то ясность.

Виды рисков в бухгалтерии

Почему я локализую рассматриваемый вопрос до уровня ставшего почти стандартным обеспечивающего бизнес-процесса? На мой взгляд, пример учетного компонента системы обеспечения основных процессов позволяет лучше всего разложить природу операционного риска. Тут, скорее всего, с позиции психологии возникает ощущение близости учетных операций к операционной деятельности финансово-кредитного учреждения. Только в банке эти процессы относятся к фронт-офису, а на предприятии – к бэк-офисным процедурам. Вновь обратимся к определению Базелевского международного комитета и посмотрим на основные источники риска.

  1. Ошибки в действиях сотрудников.
  2. Неадекватные штатным предписаниям действия или бездействие сотрудников в нужный момент.
  3. Ошибки в построении организационных, информационных и прочих систем.
  4. Ошибочная или неадекватная регламентация отдельных бизнес-процессов.
  5. Ошибки в реакции на определенные внешние события.

Указанные выше виды причин относятся к источникам, связанным с действиями человеческого ресурса предприятия. Действия сотрудников всей компании и отдельных подразделений, например, бухгалтерии, относятся к управленческим и к исполнительским. Видом управленческих действий, приводящих к возникновению риска, являются принимаемые решения без учета вероятности неблагоприятных событий. С этой точки зрения и транзакционные риски также связаны с неточными или неверными решениями. Среди рисков транзакций бухгалтерии или иных служб финансового департамента компании мы можем выделить:

  • риск ошибок платежных операций;
  • риск неисполнения платежного календаря;
  • риск неверного начисления налогов и сборов;
  • операционный валютный риск;
  • риск портфельного инвестирования в покупку ценных бумаг;
  • другие операционные риски финансово-экономических служб.

С точки зрения транзакций наиболее характерным является операционный валютный риск. О нем мы вели речь в статье на тему работы с проектными валютными рисками. В целом же, можно отметить, что риски, обладающие качествами операционной принадлежности, делятся на внутренние и внешние. Однако, что касается бухгалтерии, это должна быть настолько регламентированная сфера, что практически все внешние риски могут быть сведены к внутренним. Классификация операционных рисков в учетной службе предприятия приводится ниже.

Какие риски в бухгалтерии компании главные? По существу, идентифицируемые виды ОР предприятия в области учета связаны с соответствующими бухгалтерскими задачами. И если постараться выработать максимально объективный взгляд на бухгалтерию коммерческой организации, то вполне вероятно обнаружится группа результатов, среди которых основными являются:

  1. Обеспечение безопасности учетной информации и сохранности имущества компании.
  2. Достижение достоверности учетной информации.
  3. Соблюдение сроков отражения хозяйственных фактов и событий для целей управления и налогообложения.

Методы оценки и управления рисками

Следующим вопросом стоит то, как оценивать операционный риск в бухгалтерии? Деловым людям нужно помнить простую истину, что избежать операционные риски в учете нельзя. Их можно только передать, локализовать, определенным образом диверсифицировать и в некоторой степени компенсировать. Методы оценки операционного риска в учетной службе основываются на четырех базовых моментах.

  1. Статистика убытков компании, которые она понесла из-за нарушений в учете за весь прошлый период ее деятельности.
  2. Данные о нарушениях и стратегических несоответствиях, выявленных согласно управленческой и фискальной учетным политикам в ходе внутреннего аудита учета и отчетности.
  3. Результаты внешних обязательных и инициативных аудитов.
  4. Акты выездных и камеральных налоговых проверок с учетом последней даты их выполнения.

Ответственность за выявление и оценку ОР в бухгалтерии лежит на высшем руководстве предприятия, но де-факто эту работу выполняет обычно финансовый директор по поручению генерального директора. Объективности ради, методы, которые обычно применяются для анализа и оценки, носят качественный характер, а количественные умозаключения в большинстве своем основаны на эвристических методах и экспертных оценках. Хотя в последнее время стали появляться интересные решения и в средствах автоматизации. Так, например, в ПП «1С: Бухгалтерия 8.3» существует встроенная процедура анализа потенциального риска фискальной проверки. Интерфейс такого решения представлен вашему вниманию ниже.

Управление операционным риском, в первую очередь, строится с целью снизить вероятность негативного влияния человеческого фактора. Трудовые отношения с сотрудниками бухгалтерии не предполагают возможности передачи риска на них. Однако в систему мотивации обязательно нужно интегрировать три параметра: безопасность, достоверность и своевременность учетной информации и отчетности. Такие методы управления, как страхование и формирование резервных фондов, вполне применимы для ОР. Это касается ошибок учета, денежных и валютных транзакций, штрафных санкций от контролирующих органов и в результате судебных разбирательств.

И все же, самым правильным способом снижения ОР в учетной деятельности я считаю компетентный многоуровневый контроль работы сотрудников бухгалтерии, имеющий должную регламентацию и основание в форме соответствующих политик. Беда в том, что в современных компаниях общим местом стало явление, когда финансовый директор слабо представляет все нюансы бухгалтерского учета и налогообложения. На мой взгляд, он – первое лицо, который должен быть способен сесть на любое рабочее место исполнителя и выполнить учетно-расчетные функции на достойном уровне.

В этом случае совершенно иначе будут рассматриваться результаты внутреннего аудита, улучшится подбор специалистов, оплата труда бухгалтеров станет стимулирующей и мотивирующей, а не окладной безликостью. Неизбежно в таком случае появится шанс подтянуть управление операционным риском до очень приличного уровня. Такое станет возможным за счет механизмов лимитирования и дифференцированного подхода к контролю и исполнению операций. Ошибки и нарушения, хотя и не прекратятся, но станут появляться значительно реже за счет мероприятий регламентации, обучения и аттестации.

Операционные риски, объекты и источники возникновения

экономические науки

  • Смирнова Виолетта Игоревна , бакалавр, студент
  • Скороход Александрина Юрьевна , кандидат наук, доцент, доцент
  • Санкт-Петербургский Государственный Экономический Университет
  • ЧЕЛОВЕЧЕСКИЙ ФАКТОР РИСКА
  • РИСК-МЕНЕДЖМЕНТ
  • ОБЪЕКТЫ ОПЕРАЦИОННЫХ РИСКОВ
  • ИСТОЧНИКИ ОПЕРАЦИОННЫХ РИСКОВ
  • БИЗНЕС-ПРОЦЕССЫ
  • ОПЕРАЦИОННЫЙ РИСК
  • БАЗЕЛЬСКИЕ СОГЛАШЕНИЯ

Похожие материалы

В последние десятилетия, в связи с обострением ситуации с операционными рисками в финансовых организациях, мировым сообществом была осознана важность изучения влияния операционных рисков как одного из объектов системы риск-менеджмента. Наибольшее значение операционным рискам придается в рамках банковской сферы, в том числе и в России. Создание документов, регламентирующих политику финансовых организаций в отношении этих рисков, функционирование специальных комитетов, осуществляющих банковский надзор, свидетельствует о том, что внимание общества не обходит стороной проблему оценки и управления операционными рисками.

Цель данной статьи — определить, что представляют из себя операционные риски и почему их анализ в системе управления банковским учреждением является ключевым направлением деятельности организаций, а также обозначить объекты риска и источники его возникновения.

Читать еще:  Еткс юрист или юрисконсульт

Согласно определению, данному в Базель II, операционным риском считается риск нанесения убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. В российском банковском законодательстве понятие операционных рисков закреплено в письме ЦБ РФ от 23.06.2004 № 70-Т «О типичных банковских рисках», а также дано Центральным банком РФ.

Управление операционными рисками — первостепенная задача в мировой банковской практике. Этот риск присущ всей банковской системе, процессам, происходящим внутри неё, всем направлениям деятельности и банковским продуктам. Операционный риск не просто взаимосвязан с другими видами риска, но и проникает в них, усложняя процесс их идентификации, оценивания и принятия управленческих решений.

Существует несколько подходов к классификации операционного риска, также его можно рассмотреть с позиции пяти основных подсистем рисков:

  • Риск персонала — человеческий фактор как источник риска (использование конфиденциальной информации, взаимодействие с конкурентами);
  • Технологический риск — использование технических средств, оборудования и технологий как источник риска (перебои в используемых математических моделях);
  • Системный риск — источником риска является дивидендная политика, изменение цен на ценные бумаги, изменение конъюнктуры рынка;
  • Риск внешней среды — политическая, демографическая, экономическая ситуацией в стране как источник рисков;
  • Риск проведения транзакций сомнительного характера — использование услуг банка для легализации доходов, полученных преступным путем, или финансирование терроризма — риск клиента, услуги, страны.

Объектами операционных рисков являются внутренние бизнес-процессы организации и их отдельные операции.:

  • Финансовые активы, инструменты и обязательства, капитал организации и все финансовые инструменты, а также генерируемые ими денежные потоки;
  • Процессы, все виды деятельности и операции организации;
  • Бизнес-стратегии, цели и репутация организации

Очевидно, что для наилучшего понимания данных рисков необходимо рассматривать объекты в совокупности с источниками их возникновения, то есть субъектами воздействия. Источники операционного риска- это причины наступления неблагоприятного события на объекте риска. Потому как источники риска генерируют появление рискового события на объекте операционного риска, то, кроме того, они одновременно выступают и объектом управления операционным риском.

Источники возникновения событий операционного риска могут существовать во внутренней среде (системы, персонал организации) и во внешней (события, имеющие природное происхождение и социальные воздействия). Последствием реализации операционного рискового события является возникновении операционных потерь

Так как в основном возникновение операционных рисков во многом связано с воздействием человеческого фактора, целесообразно представить таблицу, которая связывает источники операционных рисков и некоторых возникающих видов риска:

Таблица 1. Источники и виды операционного риска

Операционный риск

Операционный риск (англ. Operational risk ) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:

Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.

Более развернуто: операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий [1] .

Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. В большинстве российских банков управление операционными рисками находится в «начальном» состоянии. Согласно опросу Центробанка в 2010г., в России операционный риск занимает 3–4-е место среди основных банковских рисков.

Содержание

Факторы операционного риска

Основные факторы операционного риска связаны:

  • со случайными или преднамеренными действиями людей или организаций, направленными против интересов организации, в том числе несоблюдением требований законодательства и предусмотренных внутренних правил и процедур;
  • с несовершенством организационной структуры (распределения обязанностей подразделений и работников), порядков и процедур, а также их документирования, неэффективностью внутреннего контроля и т.д.
  • со сбоями в функционировании систем и оборудования
  • с внешними обстоятельствами вне контроля организации

Классификация операционных рисков

Риск персонала — риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в Банке и т.д.

Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчетов по ним, их учета, отчетности, ценообразования и т.д.

Риск систем — риск потерь, обусловленных несовершенством используемых в Банке технологий — недостаточной емкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т. д.

Риски внешней среды — риски потерь, связанные с изменениями в среде, в которой функционирует Банк — изменения в законодательстве, политике, экономике и т.д., а также риски внешнего физического вмешательства в деятельность организации.

Категории типов событий операционного риска согласно Базелю II [2] :

  • Внутреннее мошенничество (Internal Fraud)
  • Внешнее мошенничество (External Fraud)
  • Трудовое законодательство и безопасность труда (Employment Practices and Workplace Safety)
  • Клиенты, продукты и правила бизнеса (Clients, Products, & Business Practice)
  • Ущерб материальным активам (Damage to Physical Assets)
  • Прерывание бизнеса и сбои систем (Business Disruption & Systems Failures)
  • Управление исполнением, доставкой и процессами (Execution, Delivery, & Process Management)

В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения

Методы оценки операционного риска

В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:

  • Подход базового индикатора (BIA, Basic Indicator Approach)
  • Стандартизированный подход (TSA, The Standardized Approach) и альтернативный стандартизированный подход (ASA)
  • Продвинутые подходы (AMA, Advanced Measurement Approach), включающие в себя такие подходы как:
    • Подход внутреннего измерения (IMA, Internal Measurement Approach)
    • Подход на основе распределения потерь (LDA, Loss Distribution Approach)
    • Подход на основе моделирования сценариев(SBA, Scenario-based approach)
    • Подход оценочных карт или балльно-весовой подход (SCA, Scorecard Approach)

Управление операционными рисками

Система управления операционными рисками – комплекс организационных, методических, информационных средств, направленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных инцидентов операционного риска.

Управление операционными рисками призвано обеспечить снижение убытков организаций от различного рода инцидентов операционного риска, обеспечить менеджмент компании системой формирования «планов мероприятий по предупреждению операционных рисков» и «планов действий при наступлении инцидентов операционного риска».

Принципы управления операционными рисками

Базельский комитет установил следующие основные принципы управления операционным риском в кредитной организации [3] [4] :

Принцип 1. Ключевая роль совета директоров в формировании и обеспечении развитой культуры управления операционным риском на всех уровнях организации

Принцип 2. Банки должны создавать, внедрять и использовать cистему управления, полностью интегрированную в общий процесс управления рисками

Принцип 3. Совет директоров должен разработать и анализировать систему управления рисками и осуществлять контроль над исполнительными органами;

Принцип 4. Совет директоров должен установить риск-аппетит и допустимый уровень риска

Принцип 5. Исполнительный орган должен разработать и представить совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение принципов, процессов и систем управления операционным риском в соответствии с риск-аппетитом и допустимым уровнем риска.

Принцип 6. Исполнительный орган должен обеспечить выявление и оценку операционного риска с целью четкого понимания природы и факторов риска

Принцип 7. Исполнительный орган должен обеспечить одобрение нововведений с учетом операционных рисков

Принцип 8. Исполнительный орган должен организовать регулярный мониторинг операционного риска, включая систему отчетности подразделений.

Принцип 9. Наличие надежной системы внутреннего контроля, а также надлежащей системы снижения или передачи риска.

Принцип 10. Разработка планов обеспечения непрерывности и восстановления деятельности в случае реализации операционных рисков.

Принцип 11. Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском

Методы управления операционными рисками

  • Риск-аудит операций, процедур и направлений деятельности
  • Сбор и анализ внутренних и внешних данных по операционным рискам
  • Мониторинг ключевых индикаторов риска (KRI)
  • Оценка (включая сценарный анализ) и самооценка операционного риска бизнес-подразделениями
  • Регламентация бизнес-процессов (внутренних правил и процедур)
  • Контроль соблюдения законодательства и внутренних правил и процедур
  • Контроль информационно-технологических рисков
  • Обучение и совершенствование системы мотивации персонала
  • Автоматизация бизнес-процессов, в том числе отдельных (стандартных) процедур контроля
  • Регулярная внутренняя отчетность по операционным рискам
  • Разработка планов по обеспечению непрерывности деятельности и действий на случай реализации операционных рисков
  • Страхование от операционных рисков
  • Аутсорсинг отдельных функций

Ключевые индикаторы операционного риска

Ключевой индикатор операционного риска (KRI, в русском варианте — КИР или КИОР) — показатель, используемый для отслеживания и прогнозирования фактов реализации операционного риска.

Ключевые индикаторы риска используются для регулярного (с различной периодичностью — в зависимости от ключевого индикатора риска) мониторинга подверженности риску, проявления риска и источников (причин) потерь.

Читать еще:  Ипотека без первоначального взноса риски

Программное обеспечение по операционным рискам

Комплекс средств, необходимых для решения задач управления операционными рисками предприятий, предоставляют автоматизированные системы управления операционным риском

Специализированное программное обеспечение:

Операционные риски и угрозы системам финансовых структур

Об отдельных видах операционных рисков

Операционные риски, в свою очередь, можно разделить на несколько подвидов.
Риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
Риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
Риск отсутствия у руководства финансовой организации объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.
Риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно, и заведение уголовного дела по статье 273 УК РФ.
Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).

Причины возникновения операционных рисков

К главным причинам возникновения операционных рисков можно отнести:
• недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основной бедой российского бизнеса, так как большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
• непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности «спустя рукава»;
• отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному решению, а зачастую и вообще отсутствию решения возникшей ситуации;
• отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одну слабость в системе управления рисками, и он сможет нанести ущерб банку, страховой компании или иному финансовому институту;
• наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».

Последствия операционных рисков

В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:
• внутреннее и внешнее мошенничество;
• ошибки персонала (умышленные и в результате низкой квалификации);
• сбои автоматизированной банковской системы и других типов информационных систем;
• нарушение процессов обработки и хранения данных;
• недостаточная защищенность АБС или прорехи в рубежах ее обороны и т.д.
Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.

Ущерб от операционных рисков

Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»1 приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур:
• брокерская компания — $6,5 млн в час;
• процессинговый центр — $2,6 млн в час;
• банкомат — $14,5 тысяч в час;
• онлайн-аукцион — $70 тысяч в час.
Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 года и до начала 2002 года один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около $600 млн.
Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.
В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.

Источники операционных рисков

И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги–Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.
• Большинство инцидентов совершено людьми, не имеющими никакой или очень низкую техническую квалификацию:
— как правило, они использовали не технические уязвимости, а пробелы в политике организации в области информационной безопасности;
— в 87% случаев злоумышленники использовали разрешенные команды и программы;
— в 70% случаев внутренние нарушители использовали слабости в приложениях, а в 61% — дыры в сетевом оборудовании, системном программном обеспечении или аппаратуре;
— в 78% случаев нарушители имели учетные записи в атакуемой системе, а в 43% случаев действовали открыто — под своими именами. И только в 26% случаев была зафиксирована маскировка под других пользователей;
— только 23% нарушителей находились на технических должностях (17% имели права администратора);
— 39% нарушителей не подозревали о реализуемых в организации мерах по информационной безопасности.
• Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.).
• Основной мотив совершения преступления — жажда наживы (81%):
— 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности;
— в 23% случаев основным мотивом была месть, в 15% — недовольство руководством и порядками в компании;
— помимо финансовой выгоды были и другие цели: 27% злоумышленников хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
• Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч), а 54% — не женаты/не замужем.
• В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.):
— также в 61% случаев обнаружение было неавтоматизированным;
— процедуры аудита и мониторинга помогли в 22%;
— журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
• Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от $168 до 691 млн.
• 83% всех инцидентов происходили изнутри атакованной организации и в 70% — в рабочее время.
• В 30% случаев доступ осуществлялся из дома нарушителя.
• Число атак никак не зависело от размера организации. Например, число преступлений в банках со 100 и с 10 000 сотрудников было одинаковым.

Снижение операционных рисков

Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:
— планирование процедур управления операционными рисками и, в частности, управления информационной безопасностью;
— регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе аудит безопасности);
— регистрация всех осуществляемых в информационных системах действий;
— аутсорсинг (Managed Service) непрофильных активов (в том числе информационных систем);
— обеспечение банковской тайны (хотя принятие новых законов в последнее время серьезно усложнило эту задачу);
— обеспечение непрерывности бизнес-процессов.

Журнал ВРМ World

30 сентября 2006

Операционные риски. Основные понятия, методы управления

В 90-е годы прошлого столетия финансовые компании сосредоточили свое внимание на развитии управления финансовыми рисками. К этому их вынудили:

  • беспокойство по поводу рисков, вызванных постоянным ростом внебиржевого рынка ценных бумаг;
  • финансовые потери крупных банков;
  • нормативные акты, в частности Базельское [1] соглашение.
Читать еще:  Передача торговой марки риски

Затем серьезное внимание стало уделяться методам оценки и управления рыночными рисками. Далее появился интерес к кредитным рискам. К концу 90-х годов компании и надзорные органы все больше стали интересоваться рисками, «отличающимися от рыночных и кредитных». Их и назвали операционными. Эта собирательная категория включает в себя рисковые ситуации, связанные с такими случаями, как:

  • ошибки персонала;
  • ошибки систем;
  • пожары, наводнения и ущерб от других физических факторов;
  • мошенничество и другие преступные действия.

Примеры

Примерами операционных рисков являются:

  • технологические неудачи;
  • неадекватное хранение документов и записей;
  • неграмотное управление, недостаток надзора, надежности и контроля;
  • ошибки в финансовых моделях и отчетах;
  • попытки скрыть потери или добиться личной выгоды (мошенническая торговля);
  • мошенничество третьих сторон.

Исторически, операционными рисками считались неизбежные издержки ведения бизнеса.

Трудности и история развития

Установить и контролировать определенные уровни рыночных и кредитных рисков не сложно. А вот выявить и оценить уровни операционных рисков и их источники — задача нетривиальная.

Финансовые организации и нормативные органы не могли прийти к согласию по поводу случайных обстоятельств, которые можно отнести к операционным рискам. Причислить ли к этой категории юридические и налоговые риски, некомпетентное управление, а также риски репутации? Дебаты велись не только на научном уровне. Они охватывали весь масштаб потенциальных проектов управления операционными рисками.

Еще одна проблема состояла в том, что операционные риски не всегда можно подразделить на четкие категории. Потери часто возникают в результате сложного сочетания событий, что затрудняет прогнозирование и моделирование рисковых ситуаций.

Большую работу в этой области проделал Базельский комитет по банковскому надзору. Первые результаты были опубликованы в январе 2001 года, когда был выпущен консультативный документ. Множество откликов вынудило комитет выпустить следующий рабочий документ в сентябре 2001 года. В феврале 2003 года появилась еще одна публикация — «Основные методы управления и надзора за операционными рисками» («Sound Practices for the Management and Supervision of Operational Risk»). Благодаря совместным усилиям исследователей и риск-менеджеров крупных банков, удалось выделить методики управления операционными рисками.

Затем, в апреле 2003, были внесены некоторые изменения. Окончательная версия соглашения Basel II появилась в 2004 году. Согласно решению Базельского комитета (Basel II, 2004 год), операционным риском считается риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, либо с внешними событиями. И хотя риски применимы к любым бизнес-организациям, особую актуальность они приобретают в банковской сфере, где регулятивные органы обязаны обеспечить защитные меры против систематических неудач в банковской структуре и в экономике. В Базельском определении фигурируют правовые риски, но отсутствуют риски стратегические, т.е. риски потерь, вызванных неудачными стратегическими решениями. Это определение не учитывают риски потери репутации, хотя очевидно, что некоторые операционные события могут сказаться на «добром имени» компании, вплоть до полного сворачивания бизнеса.

Категории рисков

Базельский комитет выделил семь основных категорий событий, которые приводят к потерям.

Мошенничество внутри компании

Потери, связанные с обманом, незаконной собственностью или несоблюдением законов или правил в компании, в которые вовлечена по крайней мере одна из внутренних сторон.

Потери, связанные с обманом или незаконной собственностью или несоблюдением закона третьей стороной. Сюда относятся воровство, грабежи, хакерские атаки и прочие подобные факторы.

Должностная практика и безопасность труда

Потери, связанные с действиями, противоречащими законам или соглашениям относительно труда, здоровья и безопасности, повлекшие выплату компенсаций по искам о возмещении личного ущерба или за дискриминацию.

Клиенты, продукты и бизнес-практика

Потери, связанные с неумышленной или допущенной по небрежности ошибкой при выполнении профессиональных обязанностей в отношении конкретных клиентов или в связи с природой или конструкцией продукции.

Ущерб в отношении физических ресурсов

Потери, связанные с утратой или повреждением ресурсов в связи со стихийными бедствиями или иными событиями.

Сбои в бизнесе и отказы систем

Потери, связанные со сбоями в бизнесе или отказом систем. К этой категории относятся потери в связи отказом компьютерного оборудования, программного обеспечения, сетей или сбоями в работе коммунальных служб.

Исполнение, поставка и управление процессами

Потери, связанные со сбоями в обработке транзакций или в управлении процессами, а также потери, вызванные неудачными взаимоотношениями с поставщиками и производителями.

Методы управления операционными рисками

Базельский комитет и различные надзорные органы предписывают ряд стандартов управления операционными рисками (Operational Risk Management — ORM) для банков и аналогичных финансовых учреждений.

Дополняя эти стандарты, в Базельском соглашении выделяются три метода расчета капитала для покрытия операционных рисков:

  • подход базовых показателей (Basic Indicator Approach) – основан на ежегодном доходе финансового учреждения;
  • стандартизованный подход (Standardised Approach) – основан на ежегодном доходе каждого из бизнес-направлений финансового учреждения;
  • подходы усовершенствованных измерений (Advanced Measurement Approaches) – основаны на внутренней инфраструктуре оценки рисков банка в соответствии с предписанными стандартами. К ним относятся методы внутренней оценки (Internal Measurement Approach — IMA), распространения данных о потерях (Loss Distribution Approach — LDA), применения оценочной панели (Scorecard Approach — SCA).

Инфраструктура управления рисками должна включать:

  • выявление;
  • оценку;
  • мониторинг;
  • сокращение операционных рисков.

Управление большинством операционных рисков осуществляется внутри самих отделов, где эти риски возникают. IT-профессионалы лучше всего разбираются с системными рисками. Персонал back-офиса может дать нужную информацию по расчетным рискам и т.д. Однако общее планирование, координирование и мониторинг должно обеспечиваться централизованно — отделом управления операционными рисками. Работа должна вестись в сотрудничестве с управлением рыночными и кредитными рисками в общей инфраструктуре ERM.

Рисковые ситуации можно разделить на две крупные категории:

  • те, что случаются часто и влекут за собой умеренные потери;
  • те, что случаются редко, но влекут существенные потери.

Соответственно, управление операционными рисками должно сочетать в себе как количественные так и качественные методы оценки рисков. Например, расчетные ошибки в торговых операциях банка случаются достаточно регулярно, однако их можно статистически моделировать. Другие ситуации возникают реже, имеют нерегулярную природу, а значит, не поддаются моделированию. К ним относятся террористические акты, стихийные бедствия, мошенничества в торговой сфере.

К качественным методам относятся:

  • отчеты о потерях;
  • управленческий надзор;
  • опросы сотрудников;
  • интервью по выяснению причин ухода
  • самооценка руководства;
  • внутренний аудит.

Количественные методы разрабатывались преимущественно с целью распределения капитала по банковским операционным рискам.

Соглашение «Базель II» позволяет крупным банкам оценивать требования к капиталу в отношении операционных рисков основывать на своих собственных внутренних моделях. После появления этого соглашения был проведен ряд независимых исследований, касающихся методов оценки операционных рисков. Технологии заимствовались из таких областей, как актуарное дело и анализ технической надежности.

Рисковые ситуации, возникающие редко, но носящие катастрофический характер могут, в некоторой степени, моделироваться с использованием методов, разработанных для страхования имущества и страхования от несчастных случаев. Ситуации, которые возникают чаще, больше поддаются статистическому анализу.

Для статистического моделирования необходимы данные. Для операционных рисков используются сведения двух типов:

  • данные о прошлых убытках;
  • данные о рисковых индикаторах.

К убыткам может приводить целый спектр событий: ошибки при заключении сделок, мелкое мошенничество, клиентские иски и проч. Потери могут быть либо прямыми (например, в результате кражи), либо косвенными (в случае вреда, нанесенного репутации компании).

Их можно разделить на три категории:

Например, событием может быть невыполненная сделка. Причиной может быть неадекватная подготовка, системная проблема или усталость сотрудника. Последствиями могут быть потери рынка, выплаты контрагенту, иски или подпорченная репутация фирмы. Любое событие может иметь несколько причин и последствия. Если отслеживать все эти три «измерения» для событий, вызвавших убытки, то можно построить матрицу событий, выявляющую частоту, с которой определенные причины вызывают те или иные события и последствия. Даже если не проводить дальнейший анализ, такие матрицы помогут выявить области, где необходимо усовершенствовать процедуры, обучение, подготовку персонала и проч.

Индикаторы рисков отличаются от событий, вызвавших убытки. Они не связаны с конкретными потерями, но указывают на общий уровень операционных рисков. Примеры индикаторов:

  • количество дополнительных рабочих часов у персонала;
  • степень укомплектованности штата;
  • ежедневные объемы операций;
  • уровень текучести кадров,
  • время простоя систем.

С точки зрения моделирования, цель состоит в поиске связей между конкретными индикаторами рисков и частотой событий, которые влекут за собой потери. Если такие связи удается выделить, то далее индикаторы рисков можно применять для отслеживания периодов повышенного операционного риска.

После проведения оценки операционных рисков (качественно или количественно) можно переходить к следующему этапу. Задача состоит в том, чтобы:

  • избегать определенных рисков,
  • для других рисков стараться нивелировать их последствия или
  • просто принимать некоторые риски как одну из составляющих ведения бизнеса.

Преимущества управления операционными рисками следующие:

  • сокращение операционных потерь;
  • снижение затрат на аудит и соответствие нормативным требованиям;
  • обнаружение незаконных действий;
  • снижение подверженности будущим рискам.

[1] Базель II: «Международные стандарты измерения капитала — доработанное соглашение», подготовлено Базельским Комитетом по банковскому надзору. Соглашение рассматривает проблемы определения достаточности банковского капитала, а также методы расчёта необходимой величины капитала для покрытия рисков — кредитных, рыночных и операционных.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector