Понятия операционного риска и факторы его возникновения

 

В начале рассмотрим некоторые подходы к определению риска. Несмотря на частую употребляемость термина "риск" в обыденной жизни и науке, универсальное определение до настоящего момента отсутствует, что не позволяет проводить изучение явлений или процессов, не выделив предмета исследования. В данном параграфе сделана попытка систематизировать существующие трактовки риска в кредитных организациях, указать взаимосвязь с родственными категориями и систематизировать данные для классификации рисков [7].

Происхождение термина "риск" в настоящее время определить затруднительно, в Западной Европе оно начинает встречается в средневековых источниках, в основном, связанных с мореплаванием. Новолатинское "risicum" вошло в употребление с конца XV века, при этом в литературе появляется позже: в толковых словарях примеры в области риска относятся к середине XVI века в Англии. В современной терминологии интерпретация будет звучать как вероятность ущерба, а понимание проблемы риска - как нахождение способа избежать ошибок при принятии решений, предполагающих генезис ущерба. В данном случае понятие "риск" рассматривается как возможность наступления нежелательного события и/или количественной меры такого события, является преобладающей в науке. Риск вычисляется способом перемножения вероятности события на ущерб. Такого подхода придерживается большинство отечественных специалистов по анализу природного и техногенного риска. При этом, осознание того, что риск есть мера опасности - важнейший шаг в решении проблемы управления ситуацией, в которой наличествуют потенциальные факторы, способные неблагоприятно воздействовать на человека, общество и природу [21].

Общее определение риска дает Федеральный закон "О техническом регулировании" [2]. Здесь риск рассматривается как некоторая вероятностная категория, ассоциированная с понятием вреда и соответственно с возникающими финансовыми потерями.

Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности банка. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования [22].

Операционная деятельность банка на всем протяжении ее осуществления сопряжена с многочисленными рисками, уровень которых возрастает расширением объема и диверсификацией этой деятельности, со стремлением менеджеров увеличить сумму операционной прибыли. Риски, сопровождающие эту деятельность, формируют обширный портфель рисков банка, который определяется общим понятием - "операционные риски". Согласно пункту 644 Базельского соглашения: "Операционный риск определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски".

Эти риски составляют наиболее значимую часть совокупных хозяйственных рисков банка. Система классификации операционных рисков по основным признакам приведена на рисунке 1.

Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.

В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.

Информационные и телекоммуникационные риски (IT-риски) - это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.риски можно разделить на две категории:

риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);

риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.

 

Рис.1. Классификация операционных рисков

 

Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис.2). Стрелочками на схеме показаны информационные и финансовые потоки.

 

Рис.2 Структурная схема управления информационными рисками

 

Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные./IEC 27002 - стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1: 1999.

Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как "сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов её обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)".

Текущая версия стандарта состоит из следующих основных разделов:

Политика безопасности (Security policy)

Организация информационной безопасности (Organization of information security)

Управление ресурсами (Asset management)

Безопасность персонала (Human resources security)

Физическая безопасность и безопасность окружения (Physical and environmental security)

Управление коммуникациями и операциями (Communications and operations management)

Управление доступом (Access control)

Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance)

Управление инцидентами информационной безопасности (Information security incident management)

Управление бесперебойной работой организации (Business continuity management)

Соответствие нормативным требованиям (Compliance)

Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис.3).

 

Рис.3 Возможный сценарий анализа информационных рисков

 

На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).

Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.

На заключительном этапе проводится оценка ущерба организации в случае реализации каждой из угроз.

Многообразие видов рисков, сопровождающих операционную деятельность банка, предопределяет необходимость постоянного управления ими, которое рассматривается как неотъемлемая составная часть всей системы управления операционной прибылью. Комплексное управление этими показателями обусловлено высокой степенью связи между уровнем операционной прибыли и уровнем операционных рисков, которая носит прямой характер [1].

Управление операционными рисками представляет собой систему мероприятий по их идентификации, оценке, профилактике и страхованию с целью минимизации связанных с ними финансовых потерь в процессе операционной деятельности банка.

Группировка операций банка по уровню риска позволяет определить какие из них находятся за пределами уровня допустимого риска (особенно в зоне катастрофического риска) с тем, чтобы еще раз взвесить целесообразность их проведения.

Внутренними и внешними факторами (причинами) операционного риска являются:

случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации;

несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля;

сбои в функционировании систем и оборудования;

неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.

Управление операционным риском входит в систему управления рисками кредитной организации.

Группировка операций банка по уровню риска позволяет определить какие из них находятся за пределами уровня допустимого риска (особенно в зоне катастрофического риска) с тем, чтобы еще раз взвесить целесообразность их проведения.

Внутренними и внешними факторами (причинами) операционного риска являются:

случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации;

несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля;

сбои в функционировании систем и оборудования;

неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.

Управление операционным риском входит в систему управления рисками кредитной организации.

Так же и в коммерческом банке залогом формирования успешной стратегии управления операционными рисками является понимание ключевых факторов, обуславливающих их возникновение, а не возможность описать данный вид рисков при помощи математического аппарата.

К таким факторам в первую очередь можно отнести:

инновационную деятельность в коммерческом банке (продвижение новых и инновационных продуктов на рынке, применение новых информационных и управленческих технологий в бизнесе);

оперативный стиль ведения бизнеса;

давление со стороны руководства и акционеров банка, государственных регуляторных органов;

низкий уровень корпоративной культуры в банке (в том числе и культуры корпоративного управления);

несовершенство кадровой политики (к примеру, отсутствие политики формирования кадрового резерва на ключевые должности).

Иными словами, управление операционными рисками - это управление качеством и культурой ведения бизнеса, а так же стандартами системы управления персоналом.

Для целенаправленной работы с факторами риска и более полного учета проявления источников операционного риска и эффективного управления факторы операционного риска могут быть разделены на категории (типы) табл.1.

Таблица 1.

Классификация факторов риска по категориям (типам) и источникам риска.

№	Категория (тип) риска	Источники соответствующего вида ОР
1	Человеческий фактор	Случайные или преднамеренные действия сотрудников банка (хищение, злоупотребление служебным полномочием, преднамеренное сокрытие фактов совершения банковских операций или сделок, несанкционированное использование информационных систем и ресурсов, ошибки при вводе и обработке данных по операциям, утери документов и др.). Противоправные действия сторонних по отношению к банку (третьих) лиц (подлог, подделка платежных или иных документов, несанкционированное проникновение в информационные системы). Нарушение руководством банка или сотрудниками трудового законодательства (нарушение условий трудового договора, причинение вреда здоровью сотрудников, прием на работу неквалифицированных работников). Нарушение иного законодательства (в том числе банковского, антимонопольного, по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма, неисполнения или ненадлежащее исполнение обязанностей сотрудниками).
2	Ошибки управления	Несовершенство организационной структуры банка. Неправильная организация внутренних процессов и процедур (неправильное распределение полномочий между подразделениями и сотрудниками банка). Ошибки в принятии решений в следствии неполной и недостоверной получаемой информации. Несовершенство системы защиты и порядка доступа к информации, неправильная организация информационных потоков внутри банка, невыполнения обязательств перед банком поставщиками услуг (исполнителями работ).
3	Технический фактор	Выход из строя оборудования и систем, сбои или отказ в работе автоматизированной банковской системы связи, поломка оборудования.
4	Бизнес-процессы	Несовершенство порядка и процедур при совершении банковских операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных процедур, неэффективность внутреннего контроля.
5	Форс-мажорные обстоятельства	Повреждения или утрата основных средств и других материальных активов в результате актов терроризма, стихийных бедствий, пожаров и др.

 

Как показывает изучение данных таблицы источники возникновения операционных рисков можно разделить на обусловленные действиями персонала, неправильной организацией управления, недостатками функционирования систем организации процессов и форс-мажорными обстоятельствами.

Анализ данной классификации показывает, что большая часть операционных рисков связана с деятельностью человека. В большинстве случаев убытки по операционным рискам возникают из-за ошибок сотрудников. Даже в случаях, когда убытки вызваны сбоями в работе оборудования и систем в их основе лежат ошибки человека. В приведенной таблице четыре из пяти факторов, так или иначе, связаны с деятельностью сотрудников: человеческий фактор, ошибки в управлении, технический фактор и бизнес-процессы. Поэтому в процессе управления основное внимание должно быть уделено сотрудникам структурных подразделений банка. Совершенно очевидным является то, что все ошибки сотрудников, в первую очередь связаны с низким уровнем квалификации. Большие убытки банку могут принести ошибки, допущенные при разработке руководящих документов, инструкций и юридической документации. Особо можно выделить технический фактор, выход из строя, сбои или отказы в работе информационных систем и ошибки в компьютерных программах. Для минимизации рисков в этом случае в банке необходимо разрабатывать планы на случай сбоя информационных систем и проводить тестирование программ.