Обзор Информационные тенологии в
банках и страховых компаниях 2006
подготовлен
CNewsAnalytics

Basel II в России 2006 и проблема операционных рисков

Выявить текущий уровень готовности отечественных банков к выполнению положений Basel II по управлению операционными рисками, а также определить влияние данного нормативного акта на конкурентоспособность российского банковского сектора и отдельно взятых финансовых компаний ставит своей целью исследование, проведенное InfoWatch.

Соглашение BaselII («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») предъявляет требования к минимальному размеру банковского капитала. Организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. К 2009 году Россия планирует присоединиться к данному соглашению, в результате чего требования BaselII станут обязательными для отечественных кредитных организаций.

Как показало исследование, проведенное компанией InfoWatch совместно с Национальным Банковским Журналом, национальный банковский сектор в целом (73 %) воспринимает соглашение BaselII позитивно, хотя и не без некоторого страха. Подавляющее большинство российских банков (79 %) уверено, что совместимость с BaselII будет способствовать повышению их конкурентоспособности. Однако, несмотря на столь положительное восприятие, ни один банк (из 34 опрошенных) пока не имеет комплексной системы управления рисками, требуемой соглашением BaselII.

Наибольшую трудность для банков представляют операционные риски. Половина всех опрошенных банков (50 %) вообще ими не управляет, а другая половина (50 %) управляет лишь частично и, следовательно, неэффективно. Наиболее опасными операционными рисками считаются угрозы, связанные с неадекватными или ошибочными действиями персонала (91 %) и внутренними процессами (62 %). Таким образом, наибольшую угрозу представляют собой инсайдеры. Подавляющее большинство российских банков (86 %) практически не управляет рисками, связанными с репутацией. В результате банки становятся вдвойне уязвимыми к инсайдерским угрозам.

Почти три четверти респондентов (73 %) планирует внедрить информационные продукты для управления операционными рисками в течение ближайших четырех лет. Причем 29 % собирается сделать это уже в 2006 и 2007 гг. Таким образом, рынок решений, позволяющих минимизировать операционные риски, ждет стремительный рост уже в ближайшие два года.

Влияние Basel II на конкурентоспособность банков

Подавляющее большинство респондентов (73 %) считает, что вступление в силу соглашения BaselII в России и реализация его положений приведут к повышению конкурентоспособности национального банковского сектора в целом. Однако это большинство неоднородно: лишь одна четверть всех организаций (26 %) абсолютно уверена в столь позитивном влиянии BaselII, в то время как почти половина респондентов (47 %) выбрала ответ «скорее да, чем нет». Таким образом, российские финансовые компании в подавляющем большинстве воспринимают соглашение BaselII в качестве «оздоровительного» нормативного регулирования, полезного для всего банковского сектора.

По мнению аналитического центра InfoWatch, высокий процент респондентов, выбравших вариант «скорее да, чем нет», объясняется огромной ресурсоемкостью, которая требуется кредитным организациям для полноценной реализации требований BaselII. Другими словами, банки понимают, что в краткосрочной перспективе они будут вынуждены отвлекать ресурсы с важных направлений, чтобы обеспечить совместимость с соглашением. Это, безусловно, отрицательный фактор. Однако в долгосрочной перспективе построенные в результате таких проектов системы управления рисками, сыграют на руку всему банковскому сектору и положительно скажутся на его конкурентоспособности.

Источник: InfoWatch, 2006

Следует отметить, только 9 % респондентов полагает, что соглашение BaselII отрицательно скажется на конкурентоспособности банковского сектора. Существенная доля анкетируемых (18 %) уверена, что преимущество в результате реализации положений нового стандарта получат лишь крупные организации. По мнению экспертов Национального Банковского Журнала, такая точка зрения может быть мотивирована убеждением, что крупные банки в состоянии применять более сложные методы оценки рисков и, следовательно, смогут убедить регулирующие органы в том, что им достаточно резервировать меньшие объемы капитала, чем того требует стандартная методика. Однако такая аргументация не имеет под собой научных обоснований и продиктована в первую очередь страхом небольших банков перед ресурсоемкостью проектов по реализации положений BaselII.

Далее респондентам было предложено сравнить конкурентоспособность организаций, реализовавших положения BaselII и не сделавших этого. Анкетируемые однозначно указали, что совместимые с BaselII банки имеют преимущество перед несовместимыми компаниями. В пользу этой точки зрения высказались 79 % респондентов, причем в отличие от предыдущего вопроса структура ответов оказалась довольно однородной: 35 % абсолютно уверено в своем ответе, а 44 % выбрали вариант «скорее да, чем нет».

Источник: InfoWatch, 2006

Противоположной точки зрения придерживаются 18 % респондентов, из которых лишь 3 % уверены в своем ответе, а 15 % остановились на варианте «скорее нет, чем да». Отдельно стоит отметить 3 %-ую категорию организаций, затруднившихся с ответом. По мнению аналитического центра InfoWatch, наиболее существенным фактором, заставляющим анкетируемые компании сомневаться в целесообразности BaselII, снова является его ресурсоемкость. Точно так же как и при оценке конкурентоспособности всего банковского сектора в целом, на одной чаше весов оказывается риск-менеджмент со всеми своими преимуществами, а на другой — ресурсы, затраченные на модернизацию системы управления. Таким образом, первая чаша стабильно перевешивает вторую, однако для 3 % респондентов плюсы и минусы продвигаемого стандарта оказались равны.

Следует отметить, что доля организаций (79 %), считающих, что они выиграют от совместимости с BaselII, несколько превышает долю респондентов (73 %), полагающих, что выиграет весь банковский сектор в целом. Эксперты Национального Банковского Журнала объясняют эту диспропорцию тем, что, отвечая на вопрос обо всем финансовом секторе, компании помнят о тех банках, для которых объемы ресурсов, потраченных на соглашение BaselII, могут оказаться критическими. Таким образом, анкетируемые отчетливо понимают, что их собственное преимущество не выливается автоматически в высокую конкурентоспособность всего сектора. Тем не менее, высокий процент респондентов, позитивно воспринявших BaselII в двух первых вопросах, однозначно указывает, что российские банки собираются выйти из продвигаемой реформы еще более крепкими, чем раньше.

Управление операционными рисками в российских банках

На данном этапе исследователи ставили своей целью выяснить степень готовности банковского сектора к максимально эффективному управлению операционными рисками, а также выявить структуру наиболее опасных угроз этой категории. Таким образом, респондентам был предложен вопрос о наличии комплексной системы управления рисками, включающей не только рыночные и кредитные риски (как того требует соглашение BaselI), но еще и операционные риски (как того требует соглашение BaselII).

Как оказалось, ровно половина организаций (50 %) практически не используют управление, ориентированное на эти риски, и фактически не готовы к внедрению соответствующей комплексной системы. Существенная доля респондентов (38 %) сообщила, что элементы всесторонней системы управления рисками используются на практике, но управление операционными рисками осуществляется неэффективно. Другими словами, 38 % компаний готово к введению комплексной системы лишь частично.

Источник: InfoWatch, 2006

Наконец, 12 % банков указали, что элементы комплексной системы используются на практике, но операционные риски являются неуправляемыми. То есть, эти респонденты также готовы к введению комплексной системы управления рисками лишь частично. Таким образом, все участвовавшие в опросе организации разделились на две равные группы (по 50 %): первые вообще не используют управление, ориентированное на риски, а вторые используют его лишь частично, причем существенной проблемой являются именно операционные риски. Заметим, что ни один банк не указал, что он полностью готов к введению комплексной системы управления рисками или что соответствующая система для управления всеми тремя видами рисков уже внедрена и используется на практике. По мнению аналитического центра InfoWatch, именно операционные угрозы сегодня являются одним из наиболее серьезных препятствий на пути к созданию эффективной системы управления рисками. Между тем, соглашение BaselII в отличие от BaselI требует учитывать этот вид угроз и резервировать под него капитал. При этом российские банки не готовы удовлетворить этому важному требованию.

Такое внимание к управлению рисками в целом и операционными рисками в частности продиктовано, прежде всего, тем, что та организация, которая будет в состоянии наиболее точно оценить свои операционные риски и продемонстрировать свою уверенность регулирующему органу, сможет резервировать меньшие объемы капитала под эти риски. Это в свою очередь позволит данному банку существенно повысить свою конкурентоспособность относительно менее продвинутых компаний.

Согласно пункту 644 соглашения Basel II, они определяются как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический риск и риск, связанный с репутацией. Однако в состав операционных рисков попадают угрозы ИТ-безопасности, противоправные действия служащих банка, утечка конфиденциальных данных, уничтожение или искажение информационных активов компании и т.д.

Чтобы определить наиболее опасные компоненты операционного риска, респондентам был предложен следующий многовариантный вопрос (сумма ответов превышает 100 %). Каждая организация могла выбрать два наиболее опасных, на ее взгляд, вида операционных риска. При этом варианты ответы были составлены точно в соответствии со структурой риска в пункте 644 соглашения BaselII.

Источник: InfoWatch, 2006

Таким образом, наиболее опасными являются риски, вызываемые действиями персонала (91 %) и внутренними процессами (62 %). Далее, с большим отставанием следуют риски убытка в результате действий систем (35 %) или внешних событий (12 %). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35 %) и персоналом (который представляет основную угрозу — так считает 91 % респондентов).

Как уже было сказано выше, в состав операционных рисков не входят риски, связанные с репутацией. Тем не менее, успешная реализация многих угроз, явно относящихся к составу операционных (согласно пункту 644), может привести к дополнительным отрицательным последствиям в виде ущерба имиджу и потери репутации. Например, если инсайдеры ограбят клиентов банка (самая опасная операционная угроза), то об этом, наверняка, станет известно широкой общественности. В результате репутация компании может сильно испортиться, что приведет к сокращению клиентской базы и снижению прибылей. Таким образом, риски, связанные с репутацией, могут быть прямым следствием реализации операционных угроз.

Источник: InfoWatch, 2006

Управление репутационными рисками находится на такой же стадии зрелости, что и управление операционными рисками. Так, более половины респондентов (65 %) вообще не учитывает угрозы своей репутации, а каждый пятый банк (21 %) остановился на варианте «скорее нет, чем да». Таким образом, подавляющее большинство (86 %) пока игнорирует риски, связанные с репутацией.

По мнению аналитического центра InfoWatch, такое невнимание к угрозам для своей репутации вызвано, прежде всего, тем, что сегодня банки не обязаны оповещать общественность о реализации операционных угроз. Например, если финансовая компания выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные пользователей, то она не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответа, однако и банки берегут свою репутацию. Тем не менее, развитие российской законодательной базы рано или поздно приведет к тому, что все подобные инциденты станут полностью прозрачными, как для правоохранительных органов, так и для прессы. При этом опыт использования такого законодательства в Европе и США говорит о том, что это случится скорее рано, чем поздно.

Планы российских банков

Очевидно, что финансовые компании не могут игнорировать проблему операционных рисков в течение долгого времени. Так, Банк России планирует уже в 2008 году потребовать от банковского сектора выполнения положений по управлению операционными рисками. Таким образом, организациям нужны как методики оценки этих рисков, так и соответствующие информационные и аналитические системы для их минимизации.

Как показал опрос, почти одна треть респондентов (29 %) собирается внедрять такие решения в течение ближайших двух лет (2006 и 2007 годы), а чуть меньше половины компаний (44 %) — в ближайшие четыре года (2006-2009 годы). Существенная доля организаций (18 %) считает, что продукты для управления операционными рисками ей понадобятся позже, чем через четыре года (начиная с 2010 года и далее), а 9 % респондентов сообщили, что это вообще не является приоритетной задачей компании. Отметим, что ни один респондент не выбрал вариант «Все необходимые продукты уже внедрены и используются».

Источник: InfoWatch, 2006

Можно сделать вывод, что рынок информационных продуктов, позволяющих минимизировать операционные риски и управлять ими, ожидает стремительный рост уже в ближайшие четыре года. Причем основным драйвером этого развития выступает нормативное регулирование (BaselII), отдельные положения которого банкам придется выполнять уже в 2008 году. Именно к этой дате передовые банки должны внедрить комплексную систему управления операционными рисками и соответствующие продукты, позволяющие минимизировать наиболее опасные операционные угрозы: ущерб в результате действий персонала и внутренних процессов.

Как указывают эксперты аналитического центра InfoWatch, банкам выгодно внедрить всестороннюю систему управления рисками, так как это поможет снизить размеры капитала, резервируемого под эти риски, и, следовательно, повысить конкурентоспособность организации. Более того, разумная минимизация операционных рисков значительно уменьшит вероятность успешной реализации угроз для репутации компании. Это даст передовым банкам дополнительное преимущество перед теми, кто только собирается обеспечить свою совместимость с BaselII.

* * *

Результаты исследования дают возможность утверждать, что национальный банковский сектор в целом (73 %) воспринимает соглашение BaselII позитивно, хотя и не без некоторого страха. Основным фактором, заставляющим российские банки опасаться вступления BaselII в силу, является высокая ресурсоемкость данного нормативного акта. Наименее заинтересованными в BaselII являются малые банки (18 %), которым предстоит провести наиболее серьезную модернизацию своей системы управления, чтобы ориентировать ее на риски. Тем не менее, несмотря на скрытые страхи, подавляющее большинство российских банков (79 %) смело смотрит в будущее и надеется выйти из новой реформы регулирования и надзора более конкурентоспособными, чем раньше.

Вместе с тем на пути совместимости с BaselII предстоит еще проделать очень много работы. Одна половина национального банковского сектора вообще не готова к введению комплексной системы управления рисками, а другая готова лишь частично. Основным препятствием на этом пути являются операционные риски, эффективное управление которыми не смогла обеспечить ни одна опрошенная организация.

Наибольшую опасность для банков представляют такие операционные риски, как неадекватные или ошибочные действия персонала (91 %) и внутренние процессы (62 %). Для того чтобы помочь банкам эффективно управлять этими рисками, Центробанк выпустил специальный стандарт ИТ-безопасности (СТО БР ИББС-1.0–2006), который во главу угла ставит именно корпоративных инсайдеров. Последовательная реализация положений этого стандарта поможет российским банкам создать эффективную систему управления операционными рисками.

Дополнительную проблему для национального кредитно-финансового сектора представляет неуправляемость рисков, связанных с репутацией. Подавляющее большинство банков (86 %) не учитывают угрозы собственной репутации. Между тем, эти угрозы могут явиться прямым следствием успешной реализации операционных рисков, а особенно инсайдерских угроз.

Несмотря на все выявленные недостатки, большая часть банков (73 %) планирует внедрить информационные продукты, позволяющие управлять операционными рисками в ближайшие четыре года. Причем часть опрошенных (29 %) собирается сделать это уже в ближайшие два года. Другими словами, к 2009 году финансовые компании планируют подойти во всеоружии. Таким образом, надежды выйти из новой реформы банковского регулирования и надзора более конкурентоспособными, чем раньше, согласуются с планами организаций по реализации наиболее трудоемких положений BaselII.

Полученные результаты позволяют сделать вывод, что рынок информационных продуктов, позволяющих управлять операционными рисками в финансовых компаниях, ждет существенный рост уже в ближайшие два года. Еще более бурное развитие этот рынок получит к 2009 году, когда под действием нормативного регулирования практически каждому банку придется, так или иначе, решать проблему управления нормативными рисками.

Можно резюмировать, что в ближайшие четыре года российские банки будут усиленно работать над проектами в сфере управления операционными рисками. Это станет наиболее приоритетной задачей, так как совместимость с соглашением BaselII гарантирует компании преимущество перед теми, кто еще не реализовал положения этого нормативного акта.

Денис Зенкин / для CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS