что такое операционный риск банка россии
Глава 4. Операционный риск
Информация об изменениях:
Глава 4. Операционный риск
Процедуры по управлению операционным риском должны предусматривать:
полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;
наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;
осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);
иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.
4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.
В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.
Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.
4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.
Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.
4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.
4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:
разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
контроль за соблюдением установленных процедур;
развитие систем автоматизации банковских технологий и защиты информации;
страхование, в том числе:
имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);
личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);
комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.
Банк России устанавливает новые требования к расчету операционного риска
Кредитные организации смогут рассчитывать величину операционного риска для определения нормативов достаточности капитала в соответствии с «Базелем III». Новый стандартизированный подход предполагает возможность применения показателя потерь. По оценкам банков, это позволит сэкономить часть капитала на покрытие операционного риска.
Для банков с универсальной лицензией новые правила будут обязательными с 1 января 2023 года. Банки с базовой лицензией и небанковские кредитные организации смогут по своему усмотрению либо продолжить применять текущие правила, либо перейти на расчет нормативов по новому положению, сообщив об этом регулятору.
Сейчас размер операционного риска для расчета нормативов достаточности определяется исходя из величины среднего дохода за последние три года. Новый подход позволит рассчитывать величину капитала для покрытия операционного риска, исходя из реального уровня прямых потерь от реализации событий операционного риска. При этом банки с универсальной лицензией смогут применять упрощенный подход (без расчета коэффициента внутренних потерь), что не создаст для них дополнительных трудностей по сравнению с действующим сейчас порядком.
Расчет размера операционного риска может осуществляться с использованием коэффициента внутренних потерь всеми кредитными организациями и ранее 1 января 2023 года, о чем необходимо будет проинформировать Банк России.
Положение вступает в силу 14 февраля 2021 года. Это второй нормативный акт Банка России по расчету размера операционного риска в соответствии с «Базелем III». Первый документ уже вступил в силу, он устанавливает требования к системе управления операционным риском кредитной организации и к ведению базы событий операционного риска.
Что такое операционный риск банка россии
1. Будут ли относиться к событиям операционного риска, связанным с кредитным риском, случаи неверной классификации ссуды (выявленные внутренним и (или) внешним аудитом, Банком России), не связанные с техническими просчетами, в результате которых возникает недосозданный резерв?
осуществлена иная оценка финансового положения заемщика (более худшая оценка) в соответствии с подпунктом 3.3 Положения N 590-П;
осуществлена иная оценка обеспечения (не подтверждена справедливая стоимость или ликвидность обеспечения) в соответствии с подпунктом 6.3.1 пункта 6.3 Положения N 590-П;
установлены основания для классификации ссуды в соответствии с пунктами 3.13 и 3.14 Положения N 590-П.
2. Что является датой реализации события операционного риска и датой учета потерь по данному событию в следующем примере:
кредитный договор был заключен 01.02.2017 г., на 01.09.2017 г. образовалась просроченная задолженность и были досозданы резервы в связи с выходом договора на просрочку. При проведении в отношении данной сделки внутреннего расследования кредитной организацией 01.11.2017 г. установлены признаки мошенничества и определены основания для обращения в правоохранительные органы с заявлением о возбуждении уголовного дела в отношении заемщика. В возбуждении уголовного дела было отказано. Задолженность признана невозможной к взысканию и соответствующие резервы были списаны 01.09.2020 г.
3. Каким образом следует определять потери от реализации события операционного риска в случаях, когда кредитная организация подает судебный иск о взыскании просроченной задолженности по кредитному договору?
1. Приведенные в вопросе 1 примеры являются событиями операционного риска, возникшими в следствии ошибочных действий персонала по оценке качества ссуды, что привело к возникновению регуляторного риска в виде предписания о доначислении резерва. В этом случае события отражаются в базе событий операционного риска с двумя видами потерь:
прямые потери в виде доначисления резервов (обесценения ссуды);
качественные потери в виде возникновения источника регуляторного риска (получение предписания).
В случае если кредитная организация ведет базу событий операционного риска и событий нефинансового риска раздельно, то по приведенным примерам событий операционного риска кредитная организация в соответствии с абзацем восемнадцатым пункта 6.6 Положения N 716-П указывает в базе событий операционного риска ссылку на запись в базе событий нефинансового риска, в которой это событие зафиксировано. При ведении баз событий отдельных видов операционного риска, событий нефинансовых рисков раздельно кредитная организация в соответствии с пунктом 6.10 Положения N 716-П ежемесячно на отчетную дату должна включать события нефинансовых рисков с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий операционного риска с учетом исключения пропусков и дублирования потерь, связанных с раздельным ведением баз событий.
Обращаем также внимание, что разъяснения по вопросу учета потерь от реализации событий операционного риска, потери по которым реализовывались в виде доначисления резервов (то есть связанных с кредитным риском), размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «N 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» 3 «О событиях операционного риска, связанных с кредитным риском», «О событиях операционного риска, связанных с кредитным риском (часть 2)».
2. В соответствии с абзацем шестым пункта 6.6 Положения N 716-П датой реализации события операционного риска является дата, когда событие операционного риска произошло или впервые началось, а в соответствии с абзацем тридцатым пункта 6.6 Положения N 716-П датой учета потерь от реализации события операционного риска, связанного с кредитным риском, является дата создания (изменения) резерва в соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 Положения N 716-П. В связи с этим в приведенном примере следует определить дату реализации события операционного риска 01.09.2021, а датой учета потерь по счетам бухгалтерского учета считать дату создания резерва в связи с выходом кредитного договора на просрочку.
В то же время для отнесения данной потери к потерям от события операционного риска, связанного с кредитным риском, необходимо убедиться, что несвоевременное погашение клиентом ссудной задолженности обусловлено источниками операционного риска, указанными в пункте 3.3 Положения N 716-П (например, мошенническими действиями клиента или ошибкой работника кредитной организации). В случае если причиной просроченной задолженности не являются вышеуказанные источники риска, ее следует рассматривать как событие исключительно кредитного риска, которое не подлежит регистрации в базе событий.
Комментарии Банка России относительно порядка учета потерь от событий кредитного риска, связанных с операционным риском, размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «N 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О событиях операционного риска, связанных с кредитным риском», вопросы N 1, 3.
Обзор документа
Отвечая на вопросы о событиях операционного риска, связанных с кредитным риском, ЦБ разъяснил:
— что является датой реализации события операционного риска и датой учета потерь по данному событию;
— каким образом определять потери от реализации события операционного риска в случаях, когда кредитная организация подает иск о взыскании просроченной задолженности по кредитному договору.
Новые требования Банка России к системе управления операционными рисками (Положение № 716-П)
1 октября вступают в силу новые требования Банка России по управлению операционными рисками в кредитных организациях. Призванные повысить эффективность управления рисками и, как следствие, укрепить защищённость финансовой отрасли в целом, данные требования предусматривают большой объём работ в области информационной безопасности — в том числе и в части автоматизации процессов управления рисками (risk management).
Введение
С учётом того, что кредитно-финансовые организации, в первую очередь банки, находятся «на передовой» борьбы с киберпреступностью и являются для злоумышленников мишенью номер один, включение операционных рисков в сферу контроля и регулирования ЦБ является весьма своевременным шагом, отвечающим тем вызовам, которые стоят сейчас перед финансовой отраслью. Вышедшее Положение задаёт структуру управления, направленного на выявление существенных факторов риска и оперативное принятие решений по ним в целях снижения риска и возможных потерь, и, что важно, делает такое управление обязательным.
Заметным плюсом Положения наряду со своевременностью является и его максимальная конкретизация: чёткое и детализированное описание всех элементов и процедур системы управления операционными рисками (СУОР) занимает 132 страницы и может рассматриваться, по сути, как дорожная карта. Побочным, но тем не менее весьма важным результатом столь глубокой детализации требований станет приведение всех кредитных организаций к унификации процедур, классификаторов и показателей в области управления операционными рисками.
Положение № 716-П было разработано Банком России на основе методологии, предложенной в Basel III — пакете реформ банковского регулирования, которого придерживаются передовые страны мира при организации и совершенствовании сферы управления рисками в банковской отрасли.
Особенности создания комплексной СУОР, предусмотренные Положением
Как и многие другие документы регуляторов, Положение № 716-П предусматривает дифференцированный подход к реализации тех или иных требований в зависимости от лицензии и размера активов кредитной организации. Сфокусируемся на тех особенностях и новациях в части создания комплексной СУОР, которые согласно Положению № 716-П являются общими для всех кредитно-финансовых организаций.
Операционный риск рассматривается Положением № 716-П как совокупность множества рисков, куда входят:
Таким образом, теперь риски для информационной безопасности и риски для информационных систем входят в состав управления операционными рисками и, что важно, напрямую влияют на размеры достаточности капитала. Безусловно, этот шаг, продиктованный современными реалиями, повышает значимость обеспечения информационной безопасности в кредитно-финансовой сфере. То есть чем ниже будет уровень обеспечения информационной безопасности организации, тем чаще в ней будут происходить рисковые события, приносящие финансовые потери и влияющие на коэффициенты, связанные с расчётом резервного капитала, выделяемого на покрытие рисков.
Документ предусматривает два варианта ведения учёта событий рисков ИБ и ИТ. Первый вариант — когда в кредитной организации ведётся общая единая база событий операционных рисков всех видов. Второй вариант — когда учёт рисковых событий ИБ и ИТ происходит в отдельных базах подразделений, но здесь подразделениям ИБ и ИТ в любом случае необходимо соблюдать общие требования к классификации и ведению базы событий. Должно быть обеспечено взаимодействие между ИТ- и ИБ-департаментами с одной стороны и службой управления рисками — с другой, и отчёты ИБ- и ИТ-департаментов по рисковым событиям должны оперативно передаваться в службу управления рисками.
В качестве основных элементов СУОР документ описывает процедуры, классификаторы, базу событий, контрольные показатели, подразделения, автоматизированную информационную систему и прочие дополнительные элементы (перечень процессов кредитной организации, политики, внутренние документы, мероприятия, отчёты). К процедурам Положение относит:
Все семь процедур описаны в документе достаточно подробно. Для идентификации ОР перечислен ряд источников, некоторые из которых могут предоставлять очень ценную информацию. В процедуре сбора и регистрации событий ОР предусмотрены три способа: автоматизированный, неавтоматизированный (экспертное мнение), ввод информации по алгоритмизированным правилам. Далее происходит отсылка к процедурам определения потерь, возмещений и последующего проведения количественной оценки уровня ОР.
В процедуре качественной оценки также предусмотрен сценарный анализ. В сущности, это — процесс, основной принцип действия которого заключается в моделировании возможных ситуаций и последующей оценке рисков на основе выводов, сделанных по результатам. Точную методологию документ не предоставляет и предписывает разработку методов кредитной организацией самостоятельно, с фиксацией во внутренних документах. При этом требуется проводить сценарный анализ в отношении выявленных ОР, а также источников ОР, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь.
В части процедуры реагирования на ОР предусмотрены следующие способы: уклонение от риска, передача риска, принятие риска, а также принятие мер, рекомендуемый перечень которых представлен в приложении 3 Положения № 716-П.
Результирующей процедурой является мониторинг операционных рисков. Здесь кредитной организацией устанавливаются ключевые индикаторы риска (КИР) и контролируется их уровень, проводится анализ статистики событий ОР, контролируется выполнение мероприятий и мер. Кроме того, в рамках данной процедуры предусмотрено проведение общей оценки эффективности управления операционным риском, а также формирование ежеквартальных и годовых отчётов.
Выводы
Очевидно, что для соблюдения требований Положения многие финансовые организации должны будут повысить уровень автоматизации своих систем управления рисками, особенно в части процессов сбора данных о рисках, их оценки, накопления, формирования отчётности. Тем же игрокам финансового рынка, чей риск-менеджмент находится на высоком уровне автоматизации, предстоит существенно актуализировать имеющиеся процессы. Учитывая, что СУОР в редакции 716-П предполагает участие большей части функциональных подразделений кредитной организации и унифицированный подход, в обоих вышеупомянутых случаях целесообразно применять одну единую комплексную автоматизированную систему, в которой будут выстроены все процессы управления операционными рисками.
Программная платформа Security Vision успешно применяется в крупнейших банках, в том числе и для регистрации и обработки операционных рисков. Мы проводим работы по дополнению модуля в соответствии с новым Положением Банка России в информационных структурах наших заказчиков. Благодаря гибкости Security Vision задача носит штатный характер, и адаптация у заказчиков будет завершена к концу года.
Что такое операционный риск банка россии
Качественная оценка уровня операционного риска предусматривает возможность анализировать вероятность и влияние не реализовавшихся рисков, но которые могут реализоваться.
Отличие профессиональной оценки уровня операционного риска от самооценки операционного риска заключается в том, что участники профессиональной оценки оценивают операционные риски, которые могут реализоваться в других подразделениях и процессах кредитной организации или присущи всем процессам кредитной организации в целом, и могут осуществлять оценку без разработанных анкет, применяемых для самооценки операционного риска.
Рекомендуем профессиональную оценку уровня операционного риска проводить в дополнение к самооценке операционного риска в случаях, когда применение разработанных для самооценки анкет может быть неприменимо или требуется участие в оценке внешних экспертов (например, внешних консультантов).
В отношении сценарного анализа как способа проведения качественной оценки уровня операционного риска сообщаем следующее.
Сценарный анализ операционного риска осуществляется для целей идентификации угроз и негативных последствий реализации операционного риска на уровне процессов кредитной организации, включая выявление недостатков и пробелов в них, разработку мероприятий по их устранению и предотвращению реализации угроз, оценку эффективности (результативности) данных мероприятий, а также качественную оценку уровня операционного риска до и после реализации этих мероприятий путем определения уровня остаточного риска.
Рекомендации Банка России по порядку проведения кредитной организацией сценарного анализа для целей соблюдения требований Положения N 716-П представлены в приложении к настоящему разъяснению.
Рекомендации
по методике и порядку проведения сценарного анализа операционного риска в соответствии с требованиями Положения N 716-П
1. Сценарный анализ является одним из способов процедуры качественной оценки операционного риска и проводится кредитной организацией в соответствии с планом проведения качественной оценки, разрабатываемым в соответствии с абзацем пятым подпункта 2.1.5 пункта 2.1 Положения N 716-П.
по результатам самооценки операционного риска, проведенной в отношении идентифицированного операционного риска кредитной организации, уровень существенности риска оценен как «Очень высокий» как минимум в рамках одного критически важного процесса;
операционный риск может реализоваться более чем в двух критически важных процессах кредитной организации;
4. В целях проведения процедуры сценарного анализа подразделение ОР совместно с владельцами процессов и центрами компетенций разрабатывают сценарии реализации операционного риска, которые могут повлечь существенные потери или иное существенное негативное влияние на критически важные процессы кредитной организации, и направляют данные сценарии на рассмотрение участникам сценарного анализа.
В рамках проведения процедуры сценарного анализа участники анализируют:
возможный источник (источники) операционного риска, которые могут повлечь реализацию сценария;
недостатки процессов или систем кредитной организации, которые усиливают воздействие реализации сценария, а также отдельные особенности и сильные стороны процессов и систем кредитной организации, которые будут нейтрализовать (снижать) влияние данных недостатков.
При анализе сценариев реализации и источников операционного риска участники принимают во внимание внутренние и внешние данные о событиях операционного риска, данные специализированных подразделений, которые могут свидетельствовать об уровне рассматриваемого операционного риска, иную информацию.
5. По результатам сценарного анализа подразделение ОР совместно с участниками сценарного анализа:
определяют наиболее негативный сценарий реализации операционного риска;
идентифицируют потенциальные события операционного риска и классифицируют их в соответствии с единым классификатором операционного риска, утвержденным во внутренних документах кредитной организации;
определяют сильные и слабые стороны организации процессов, информационных систем, контрольной среды, на которые может повлиять реализация сценария;
определяют меры, направленные на уменьшение негативного влияния операционного риска;
определяют ключевые индикаторы операционного риска, которые смогут отслеживать операционный риск, в отношении которого был проведен сценарный анализ.
6. Рекомендованный порядок проведения сценарного анализа:
6.1. В рамках подготовительного этапа подразделение ОР:
разрабатывает анкету и вспомогательные материалы для проведения сценарного анализа;
определяет состав участников сценарного анализа;
отправляет анкеты со сценариями реализации участникам сценарного анализа.
6.2. Участники сценарного анализа рассматривают анкеты и вспомогательные материалы, заполняют обязательные поля анкеты, включая оценку значимости сценариев реализации. Критерии оценки значимости должны быть определены в методике проведения сценарного анализа.
6.3. Подразделение ОР собирает заполненные анкеты, проводит агрегацию оценок сценариев реализации операционного риска, рассылает участникам сценарного анализа сводные оценки.
6.4. Подразделение ОР совместно с участниками сценарного анализа определяет:
наиболее негативный сценарий реализации, который может привести кредитную организацию к наибольшим потерям от реализации анализируемого операционного риска;
текущие меры, направленные на уменьшение негативного влияния операционного риска, в отношении которого проводится сценарный анализ, и необходимость разработки новых мер;
эффективность текущих ключевых индикаторов риска, а также потенциальных новых ключевых индикаторов риска.
6.5. Подразделение ОР на основе сводных оценок, указанных в пункте 5.4 настоящего приложения, формирует отчет о результатах проведенной процедуры сценарного анализа.
7. Владельцы процессов совместно с центром компетенций и подразделения, в которых реализация риска может привести к наибольшим негативным последствиям, при участии подразделения ОР, разрабатывают план дополнительных мероприятий, направленных на снижение уровня операционного риска и уменьшение его негативного влияния, согласовывают его с заинтересованными участниками и включает его в состав отчета о результатах сценарного анализа, который подразделение ОР направляет на рассмотрение коллегиального исполнительного органа.
1 В соответствии с подпунктом 2.1.1 пункта 2.1 Положения N 716-П.
Обзор документа
Кредитная организация в дополнение к количественной оценке операционного риска должна проводить процедуру качественной оценки. В ее ходе анализируются вероятность и влияние нереализовавшихся рисков, которые могут реализоваться.
Профессиональную оценку уровня операционного риска ЦБ рекомендует проводить в дополнение к самооценке в случаях, когда применение разработанных для самооценки анкет может быть неприменимо или требуется участие в оценке внешних экспертов.
Приведены рекомендации по проведению сценарного анализа как способа проведения качественной оценки уровня операционного риска.