Аналитика и комментарии

06 октября 2022

Кирилл ЧЕКУДАЕВ, эксперт NBJ: Риск-ориентированный подход как основной вектор развития безопасности банковского сектора

Банковский сектор является ключевым элементом любой экономики и обеспечивает непрерывность её функционирования. И его устойчивость – необходимое условие функционирования экономики и экономической безопасности. Что может угрожать банковской системе? Риски – кредитные, рыночные, процентные, операционные, валютные, фондовые, страновые и риски ликвидности. Рассказывает Кирилл Чекудаев, ведущий эксперт по управлению рисками в RTM Group.

НЕОБХОДИМОСТЬ И АКТУАЛЬНОСТЬ ПРИМЕНЕНИЯ РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА

В эпоху глобализации финансовых услуг банковская система подвержена значительному числу рисков, как внешних, так и внутренних, которые непосредственно связаны с её деятельностью. Об их влиянии можно судить по показателям на 1 января 2022 года крупнейших банков РФ, занимающих с 1 по 30 места по размеру активов. Например, значение кредитного риска для данной категории банков составило 6,5 трлн рублей (в январе 2020 года – 5,5 трлн руб.), процентного риска – более 200 млрд рублей (в январе 2020 года 170 млрд рублей), фондового и валютного риска совокупно 100 млрд рублей (январь 2020 года 70 млрд рублей). Если сравнить цифры с доковидными показателями, мы увидим, что относительно января 2020 года оцененный уровень риска вырос на 30%. В целом же, совокупный оценённый уровень банковских рисков составляет более 15 трлн рублей в год.

В письме Центрального банка РФ от 23.06.2004 № 70-Т даётся следующая оценка: «Банковские риски – присущая банковской деятельности возможность (вероятность) понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления неблагоприятных событий, связанных с внутренними факторами (сложность организационной структуры, уровень квалификации служащих, организационные изменения и т.д.) и (или) внешними факторами (изменение экономических условий деятельности кредитной организации, применяемые технологии и т. д.)».

ВНЕДРЕНИЕ СИСТЕМ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ В БАНКОВСКОМ СЕКТОРЕ

Один из основных инструментов управления банковскими рисками – применение закреплённых в национальном законодательстве требований к капиталу банков. Вот уже несколько лет международное сообщество работает над выработкой единых требований к банковскому капиталу, технических аспектов его расчёта, а также принципов надзорной деятельности государственных регуляторов за исполнением данных требований. В частности, в целях методической унификации по управлению банковскими рисками была проведена работа Базельским комитетом по банковскому надзору (БКБН). Разработанные стандарты Базель I, II, III на основе опыта и изучения рисков предполагают следующие требования для банковской сферы:

1. активы банков группировать на основе кредитного риска;

2. уровень капитала должен соответствовать значению не менее 8% от суммы активов, взвешенных с учётом риска;

3. оценить достаточность капитала, ликвидности, левериджа;

4. обеспечить надзор регуляторных органов за достаточностью капитала;

5. поддерживать рыночную дисциплину;

6. управлять рисками, в т.ч. операционными.

Требования к системе управления рисками, бизнес-процессами и необходимость надзора за ними должны в идеале повысить эффективность и устойчивость банковской системы.

В России внедрение международных стандартов управления банковскими рисками происходит с учётом особенностей национальной банковской системы, включая достаточно высокие требования к капиталу (выше международных стандартов на 1–3%) с учётом относительно высоких рисков.

В области регулирования операционными рисками основным документом является Положение 716-П Банка России. Если для кредитных и рыночных рисков у российских банков есть отработанные механизмы и эффективные методики, которые позволяют регулировать уровень риска, включая его в банковскую процентную ставку, то в области управления операционными рисками – очевидный пробел. Это в основном связано с тем, что внедрение Базеля II не было достаточно полностью осуществлено в данном направлении, а переход на Базель III в области
операционных рисков происходит динамично, и банки не успевают перестраивать свои системы управления рисками.

Исходя из показателей деятельности российских банков за последние 3 года, уровень операционного риска в соответствии с методикой расчета 716-П ориентировочно составляет 12 трлн рублей в год. Можно взять для примера ПАО «Сбербанк». В официальном отчёте уровень операционного риска рассчитан в размере 3,6 трлн рублей по состоянию на 1 января 2021 года, при общем уровне риска 32 трлн рублей.

Все существующие показатели свидетельствуют, что банковскому сектору требуется повысить устойчивость к влиянию операционных рисков. Введение требований ЦБ РФ направлено на то, чтобы банки уделяли им повышенное внимание, фокусируясь, прежде всего, на информационных системах и информационной безопасности.

ТРЕБОВАНИЯ К СИСТЕМАМ УПРАВЛЕНИЯ РИСКАМИ

Кредитным организациям необходимо выделять отдельный капитал для покрытия возможных убытков от реализации рисков, который может быть рассчитан (в соответствии с 716-П) на основе нормативных показателей (регулятивный подход), либо на основе оценки величин потерь, возникающих в результате наступления риска (продвинутый подход). Расчёт выделяемого капитала оценивается, исходя из накопленных данных по рискам информационной безопасности и операционных рисков на период от 3 до 10 лет.

Продвинутый подход выглядит предпочтительнее, поскольку позволяет банковским кредитным организациям выделять необходимый уровень капитала на покрытие рисков с его ежегодной корректировкой. Регулятивный подход основывается на относительно высоком уровне выделении капитала на покрытие возможных операционных рисков, причём отдельно рассчитываются величины компенсаций на операционные риски и информационную безопасность, определяемых, в том числе, и на сценарном методе.

716-П под операционным риском понимает риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.

В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков, связанных с основными направлениями деятельности банковских кредитных организаций. Речь идёт о рисках ИТ-сферы (информационной системы и безопасности), управленческих (управление проектами, процессами, персоналом и т.д.), нефинансовых (включая правовой, а также нарушение кодексов профэтики, практик и правил поведения), плюс отдельно – риски платёжной системы и модельный (оценка уровня рисков).

Особыми пунктами выделяются риски информационной системы и информационной безопасности, что говорит о росте важности данных рисков для деятельности банковских коммерческих организаций.

Перед кредитными организациями ставятся задачи в короткие сроки привести свои бизнес-процессы под регламенты, которые позволят вести учёт, оценку и управление рисками. При эффективно выстроенной системе управления операционными рисками возможно её самосовершенствование по мере «проработки» систематических рисков и снижения их негативного влияния на показатели деятельности.

Требования ЦБ РФ по управлению операционными рисками отличаются для разных кредитных организаций. Более полными являются те, что предназначены для банковских кредитных организаций с универсальной лицензией с активами более 500 млрд рублей. Существуют некоторые «послабления» для банков с размером активов менее 500 млрд, с базовой лицензией, а также для небанковских кредитных организаций, в том числе платёжных. Тем не менее, у всех кредитных организаций должна быть проработана политика и процедуры управления операционными рисками, которая позволят повысить эффективность и систематизировать риск-менеджмент всей банковской системы страны.

Отдельно стоит сказать о введении Положения 744П ЦБ РФ, которое определяет порядок расчёта размера и формы отчётности кредитных организаций по уровню операционного риска. Разработанная методика отчётности основывается на корректном и полном ведении базы событий операционных рисков.

Документами, направленными на повышение эффективности системы управления операционными рисками, являются также 787П для банковских кредитных организаций и 779П для некредитных финансовых организаций. Их основные требования направлены на обеспечение бесперебойной работы технологических процессов. И выполнить их можно через создание технологических процессов и информационной инфраструктуры, планомерное тестирование её защищённости и конфигурации, а также посредством предотвращения возможных сценариев остановки и деградации технологических процессов.

Активность властей в данном направлении свидетельствует о том, что государство заинтересовано в надёжной и бесперебойной работе финансовой системы, а также в том, чтобы решения, принимаемые на всех уровнях управления в кредитных организациях, были бы риск-ориентированы. Это способствует тому, чтобы банковское сообщество в целом ориентировалось не только на доходность принимаемых решений, но и на потенциальные риски. И в перспективе позволит банковскому сектору не переходить из зоны допустимого и приемлемого уровня рисков взоны катастрофического риска, когда потенциально рентабельные решения могут привести к потерям прямым и косвенным выше ожидаемой прибыли.

ТЕКУЩЕЕ СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ УПРАВЛЕНИЯ РИСКАМИ

На сайте ЦБ РФ ведутся разъяснения требований в области рисков в формате вопросов-ответов. Регулятор совместно с банковским сектором выработал Указания 6103-У, опубликованные 30 августа 2022 года, вносящие изменения в 716-П, в которых учтён опыт выполнения требований к управлению операционными рисками, а также систематизированы документы и требования к ним, доработана методология оценки операционных рисков. Ещё больше внимания уделяется рискам ИС и ИБ, а также взаимодействию с третьими лицами, участвующими в обеспечении процессов кредитных организаций.

Для того, чтобы система управления операционными рисками работала и отвечала требованиям ЦБ РФ, необходимо сделать следующее:

1. выделить сотрудника или создать подразделение, ответственное за управление операционными рисками;

2. определить систему управления операционными рисками;

3. разработать и принять Политику управления операционными рисками и соответствующие внутренние документы;

4. систематизировать бизнес-процессы с учётом потенциальных факторов риска для каждого из них;

5. определить центры компетенций в соответствии с бизнес-процессами;

6. определить информационную инфраструктуру, задействованную в бизнес-процессах, с последующим выделением технологических процессов;

7. вести базу событий операционных рисков;

8. внедрить автоматизированную информационную систему управления операционными рисками;

9. проводить идентификацию и оценку (количественную и качественную) рисков;

10. определить пороговые, сигнальные, контрольные значения и ключевые индикаторы операционного риска по направлениям деятельности в разрезе бизнес-процессов;

11. определить выбор и применение способа реагирования на операционный риск;

12. разработать и применять процедуры управления операционными рисками, в т.ч. ресурсное обеспечение процедур;

13. производить мониторинг операционных рисков;

14. формировать и предоставлять отчёты по операционным рискам;

15. проводить оценку эффективности функционирования системы управления операционными рисками;

16. постоянно проводить мероприятия, направленные на повышение качества системы управления операционными рисками.

Безусловно, важным является вопрос стоимости разработки и внедрения СУОР для банковских кредитных организаций. Для крупных банков ориентировочная стоимость задействованных ресурсов на создание СУОР оценивается 20–100 млн рублей, для относительно небольших – от 2 до 30 млн рублей.

Наибольшие расходы идут на ИС и ИБ. Подразделениям, ответственным за данные направления, требуется провести комплексную работу по определению угроз и разработке механизмов обеспечения бесперебойной работы организации. Из-за того, что в период санкций часть вендоров ИБ и ИС решений ушла, могут возникать задержки и сложности.

Однако можно не сомневаться, что в краткосрочной и долгосрочной перспективе инвестиции в управление рисками окупятся за счёт снижения уровня угроз и обеспечения бесперебойного функционирования. И постепенное развитие инициатив в данной сфере приведёт к повышению эффективности и безопасности банковской системы страны в соответствии с мировыми стандартами.

Текст: Кирилл Чекудаев, ведущий эксперт по управлению рисками в RTM Group

Материал также опубликован в печатной версии Национального банковского журнала (сентябрь 2022)

Поделиться:
 

Возврат к списку