|
|
Basel II в России: Операционные риски — основная проблема банковРеализация базовых принципов Basel II, одного из ключевых нормативных актов, регулирующих банковский сектор, требует коренного пересмотра применяемых подходов в области корпоративного управления, использования информационных и аналитических систем, распределения капиталов в финансовых компаниях и активности государства в сфере регулирования. Особую трудность для кредитно-финансовых организаций России представляет проблема управления операционными рисками, которые требуется учитывать при резервировании капитала, а также в качестве интегральной части системы всестороннего управления рисками. Соглашение Basel II (« Международная конвергенция измерения капитала и стандартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия. Basel II предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Первое соглашение (Basel Capital Accord, далее Basel I) было опубликовано Базельским комитетом по банковскому надзору в 1988 году, что существенно повлияло на развитие глобальной банковской системы. Положения Basel I легли в основу банковского регулирования и надзора практически во всем мире, включая Россию. Дальнейшее развитие эти принципы получили в соглашении Basel II. С середины 90-х годов Базельский комитет активно занимался совершенствованием принципов регулирования. Эта работа была завершена к 2004 году, что ознаменовалось публикацией следующей итерации соглашения — Basel II. Фундаментальный характер основных требований нового стандарта вызвал горячие дискуссии в мировом банковском сообществе. Прежде всего, они затронули страны « большой десятки»: Великобританию, США, Францию, Германию, Швейцарию, Нидерланды, Люксембург, Японию, Бельгию и Канаду. Более того, Базельский комитет признал в предисловии ко второй версии соглашения, что реализация положений этого нормативного акта может не являться основным приоритетом для стран, не входящих в « большую десятку», по крайней мере, в краткосрочном плане. Тем не менее, очевидно, что всем странам придется рано или поздно считаться с требованиями Basel II, а некоторые положения будет необходимо реализовать уже в ближайшем будущем. В противном случае государство и его национальная банковская система рискуют оказаться на периферии мировой финансовой системы. Реализация базовых принципов Basel II требует коренного пересмотра применяемых сегодня подходов в области корпоративного управления (ориентированного на риски), использования информационных и аналитических систем, распределения капиталов в финансовых компаниях и активности государства в сфере регулирования. В этой связи встают вопросы о готовности российского банковского сектора к реализации основных положений нового нормативного документа и отношению российских организаций к подобному законодательному регулированию. Особую трудность для кредитно-финансовых организаций представляет проблема управления операционными рисками, которые соглашение Basel II (в отличие от Basel I) требует учитывать при резервировании капитала, а также в качестве интегральной части системы всестороннего управления рисками. Настоящее исследование является первым российским проектом, нацеленным на изучение операционных рисков в рамках соглашения Basel II, а также влиянии данного нормативного акта на конкурентоспособность отдельно взятых финансовых компаний и российского банковского сектора в целом. Исследование имеет своей целью обозначить текущий уровень готовности национальных банков к выполнению положений Basel II по управлению операционными рисками. Портрет респондента В процессе сбора первичных статистических данных участвовали представители 34 российских кредитно-финансовых организаций, заполнивших онлайн-анкеты на сайтах InfoWatch и Национального Банковского Журнала. Ровно половина (50%) респондентов представляли небольшие банки, количество компьютеризированных рабочих мест в которых не превышает 1 тыс. На долю средних организаций (1001-5000 мест) пришлось более одной трети (38%) респондентов. Наконец, каждый восьмой анкетируемый (12%) представлял крупный банк с числом компьютеризированных мест более 5 тыс. Заметим, что построение портрета респондентов именно по числу компьютеризированных рабочих мест представляется более целесообразным с точки зрения операционных рисков, чем использование чисто финансовых параметров (прибыль, размер уставного капитала и т.д.) или каких-либо других (штатная численность и т.д.). Это связано, прежде всего, с природой операционных рисков, о которой пойдет речь далее. Приведенные ниже данные являются округленными до целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов. Влияние Basel II на конкурентоспособность банков Подавляющее большинство респондентов (73%) считает, что вступление в силу соглашения Basel II в России и реализация его положений приведут к повышению конкурентоспособности национального банковского сектора в целом. Однако это большинство неоднородно: лишь одна четверть всех организаций (26%) абсолютно уверено в столь позитивном влиянии Basel II, в то время как почти половина респондентов (47%) выбрала ответ « скорее да, чем нет». Таким образом, российские финансовые компании в подавляющем большинстве воспринимают соглашение Basel II в качестве « оздоровительного» нормативного регулирования, полезного для всего банковского сектора. По мнению аналитического центра InfoWatch, высокий процент респондентов, выбравших вариант « скорее да, чем нет», объясняется огромной ресурсоемкостью, которая требуется кредитным организациям для полноценной реализации требований Basel II. Другими словами, банки понимают, что в краткосрочной перспективе они будут вынуждены отвлекать ресурсы с важных направлений, чтобы обеспечить совместимость с соглашением. Это, безусловно, отрицательный фактор. Однако в долгосрочной перспективе построенные в результате таких проектов системы управления рисками, сыграют на руку всему банковскому сектору и положительно скажутся на его конкурентоспособности. Способствует ли реализация Basel II в России повышению конкурентоспособности национального банковского сектора в целом? Следует отметить, только 9% респондентов полагает, что соглашение Basel II отрицательно скажется на конкурентоспособности банковского сектора, но существенная доля анкетируемых (18%) уверена, что преимущество в результате реализации положений нового стандарта получат лишь крупные организации. По мнению экспертов Национального Банковского Журнала, такая точка зрения может мотивироваться убеждением, что крупные банки в состоянии применять более сложные методы оценки рисков и, следовательно, смогут убедить регулирующие органы в том, что им достаточно резервировать меньшие объемы капитала, чем того требует стандартная методика. Однако такая аргументация не имеет под собой научных обоснований и продиктована в первую очередь страхом небольших банков перед ресурсоемкостью проектов по реализации положений Basel II. Как показывает углубленный анализ, действительно, существует корреляция между малым размером организации и убеждением, что новое соглашение преследует интересы крупного бизнеса. Так, подавляющее большинство респондентов (80%), выбравших вариант « только крупные банки повысят свою конкурентоспособность», относятся к категории небольших финансовых организаций (число компьютеризированных рабочих мест менее 1 тыс.). Однако общий анализ портрета анкетируемых позволяет утверждать, что точка зрения этих организаций не сильно распространена в секторе малых банков. Ее придерживается всего одна треть банков (30%) с числом компьютеризированных рабочих мест менее 1 тыс. Далее респондентам было предложено сравнить конкурентоспособность организаций, реализовавших положения Basel II и не сделавших этого. Анкетируемые однозначно указали, что совместимые с Basel II банки имеют преимущество перед несовместимыми компаниями. В пользу этой точки зрения высказались 79% респондентов, причем в отличие от предыдущего вопроса структура ответов оказалась довольно однородной: 35% абсолютно уверено в своем ответе, а 44% выбрали вариант « скорее да, чем нет». Будет ли способствовать реализация Basel II в вашей организации повышению ее конкурентоспособности относительно других компаний, не реализовавших положения соглашения? Противоположной точки зрения придерживаются 18% респондентов, из которых лишь 3% уверены в своем ответе, а 15% остановились на варианте « скорее нет, чем да». Отдельно стоит отметить 3%-ую категорию организаций, затруднившихся с ответом. По мнению аналитического центра InfoWatch, наиболее существенным фактором, заставляющим анкетируемые компании сомневаться в целесообразности Basel II, снова является его ресурсоемкость. Точно так же как и при оценке конкурентоспособности всего банковского сектора в целом, на одной чаше весов оказывается риск-менеджмент со всеми своими преимуществами, а на другой - ресурсы, затраченные на модернизацию системы управления. Таким образом, первая чаша стабильно перевешивает вторую, однако для 3% респондентов плюсы и минусы продвигаемого стандарта оказались равны. Следует отметить, что доля организаций (79%), считающих, что они выиграют от совместимости с Basel II, несколько превышает долю респондентов (73%), полагающих, что выиграет весь банковский сектор в целом. Эксперты Национального Банковского Журнала объясняют эту диспропорцию тем, что, отвечая на вопрос обо всем финансовом секторе, компании помнят о тех банках, для которых объемы ресурсов, потраченных на соглашение Basel II, могут оказаться критическими. Таким образом, анкетируемые отчетливо понимают, что их собственное преимущество не выливается автоматически в высокую конкурентоспособность всего сектора. Тем не менее, высокий процент респондентов, позитивно воспринявших Basel II в двух первых вопросах, однозначно указывает, что российские банки собираются выйти из продвигаемой реформы еще более крепкими, чем раньше. Управление операционными рисками в российских банках На данном этапе исследователи ставили своей целью выяснить степень готовности банковского сектора к максимально эффективному управлению операционными рисками, а также выявить структуру наиболее опасных угроз этой категории. Таким образом, респондентам был предложен вопрос о наличии комплексной системы управления рисками, включающей не только рыночные и кредитные риски (как того требует соглашение Basel I), но еще и операционные риски (как того требует соглашение Basel II). Как оказалось, ровно половина организаций (50%) практически не используют управление, ориентированное на эти риски, и фактически не готовы к внедрению соответствующей комплексной системы. Существенная доля респондентов (38%) сообщила, что элементы всесторонней системы управления рисками используются на практике, но управление операционными рисками осуществляется неэффективно. Другими словами, 38% компаний готово к введению комплексной системы лишь частично. Степень готовности организации к введению комплексной системы управления рисками, включающей как рыночные и кредитные риски, так и операционные риски Наконец, 12% банков указали, что элементы комплексной системы используются на практике, но операционные риски являются неуправляемыми. То есть, эти респонденты также готовы к введению комплексной системы управления рисками лишь частично. Таким образом, все участвовавшие в опросе организации разделились на две равные группы (по 50%): первые вообще не используют управление, ориентированное на риски, а вторые используют его лишь частично, причем существенной проблемой являются именно операционные риски. Заметим, что ни один банк не указал, что он полностью готов к введению комплексной системы управления рисками или что соответствующая система для управления всеми тремя видами рисков уже внедрена и используется на практике. По мнению аналитического центра InfoWatch, именно операционные угрозы сегодня являются одним из наиболее серьезных препятствий на пути к созданию эффективной системы управления рисками. Между тем, соглашение Basel II в отличие от Basel I требует учитывать этот вид угроз и резервировать под него капитал. При этом российские банки не готовы удовлетворить этому важному требованию. Такое внимание к управлению рисками в целом и операционными рисками в частности продиктовано, прежде всего, тем, что та организация, которая будет в состоянии наиболее точно оценить свои операционные риски и продемонстрировать свою уверенность регулирующему органу, сможет резервировать меньшие объемы капитала под эти риски. Это в свою очередь позволит данному банку существенно повысить свою конкурентоспособность относительно менее продвинутых компаний. Обратимся к структуре операционных рисков. Согласно пункту 644 соглашения Basel II, они определяются как « риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический риск и риск, связанный с репутацией. Однако в состав операционных рисков попадают угрозы ИТ-безопасности, противоправные действия служащих банка, утечка конфиденциальных данных, уничтожение или искажение информационных активов компании и т.д. Чтобы определить наиболее опасные компоненты операционного риска, респондентам был предложен следующий многовариантный вопрос (сумма ответов превышает 100%). Каждая организация могла выбрать два наиболее опасных, на ее взгляд, вида операционных риска. При этом варианты ответы были составлены точно в соответствии со структурой риска в пункте 644 соглашения Basel II. Наиболее опасные операционные риски Таким образом, наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов). Заметим, что стандарт Центробанка по ИТ-безопасности (СТО БР ИББС-1.0–2006), принятый и введенный в действие 26 января 2006 года, явно указывает на то, что основная угроза для финансовых компаний исходит именно изнутри. Так, пункт 5.4 гласит: « Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Ознакомиться со стандартом « Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» можно в Вестнике Банка России № 6 (876) от 03.02.06 (http://www.cbr.ru/vestnik/ves060203006.zip). Как уже было сказано выше, в состав операционных рисков не входят риски, связанные с репутацией. Тем не менее, успешная реализация многих угроз, явно относящихся к составу операционных (согласно пункту 644), может привести к дополнительным отрицательным последствиям в виде ущерба имиджу и потери репутации. Например, если инсайдеры ограбят клиентов банка (самая опасная операционная угроза), то об этом, наверняка, станет известно широкой общественности. В результате репутация компании может сильно испортиться, что приведет к сокращению клиентской базы и снижению прибылей. Таким образом, риски, связанные с репутацией, могут быть прямым следствием реализации операционных угроз. Чтобы определить место рисков, связанных с репутацией в системе управления рисками в анкетируемых организациях, респондентам был задан следующий вопрос. Включает ли система управления рисками вашей организации риски, связанные с репутацией? Структура ответов показывает, что управление рисками, связанными с репутацией, находится на той же стадии зрелости, что и управление операционными рисками. Так, более половины респондентов (65%) вообще не учитывает угрозы своей репутации, а каждый пятый банк (21%) остановился на варианте « скорее нет, чем да». Таким образом, подавляющее большинство (86%) пока игнорирует риски, связанные с репутацией. По мнению аналитического центра InfoWatch, такое невнимание к угрозам для своей репутации вызвано, прежде всего, тем, что сегодня банки не обязаны оповещать общественность о реализации операционных угроз. Например, если финансовая компания выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные пользователей, то она не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответа, однако и банки берегут свою репутацию. Тем не менее, развитие российской законодательной базы рано или поздно приведет к тому, что все подобные инциденты станут полностью прозрачными, как для правоохранительных органов, так и для прессы. При этом опыт использования такого законодательства в Европе и США говорит о том, что это случится скорее рано, чем поздно. Планы российских банков Очевидно, что финансовые компании не могут игнорировать проблему операционных рисков в течение долгого времени. Так, Банк России планирует уже в 2008 году потребовать от банковского сектора выполнения положений по управлению операционными рисками. Таким образом, организациям нужны как методики оценки этих рисков, так и соответствующие информационные и аналитические системы для их минимизации. Следующий вопрос ставил своей целью выяснить планы российских банков по внедрению информационных продуктов, позволяющих управлять операционными рисками. Как оказалось, почти одна треть респондентов (29%) собирается внедрять такие решения в течение ближайших двух лет (2006 и 2007 годы), а чуть меньше половины компаний (44%) — в ближайшие четыре года (2006-2009 годы). Существенная доля организаций (18%) считает, что продукты для управления операционными рисками ей понадобятся позже, чем через четыре года (начиная с 2010 года и далее), а 9% респондентов сообщили, что это вообще не является приоритетной задачей компании. Отметим, что ни один респондент не выбрал вариант « Все необходимые продукты уже внедрены и используются». Планирует ли ваша организация внедрять информационные продукты, позволяющие управлять информационными рисками? Можно сделать вывод, что рынок информационных продуктов, позволяющих минимизировать операционные риски и управлять ими, ожидает стремительный рост уже в ближайшие четыре года. Причем основным драйвером этого развития выступает нормативное регулирование (Basel II), отдельные положения которого банкам придется выполнять уже в 2008 году. Именно к этой дате передовые банки должны внедрить комплексную систему управления операционными рисками и соответствующие продукты, позволяющие минимизировать наиболее опасные операционные угрозы: ущерб в результате действий персонала и внутренних процессов. Как указывают эксперты аналитического центра InfoWatch, банкам выгодно внедрить всестороннюю систему управления рисками, так как это поможет снизить размеры капитала, резервируемого под эти риски, и, следовательно, повысить конкурентоспособность организации. Более того, разумная минимизация операционных рисков значительно уменьшит вероятность успешной реализации угроз для репутации компании. Это даст передовым банкам дополнительное преимущество перед теми, кто только собирается обеспечить свою совместимость с Basel II. Результаты исследования дают возможность утверждать, что национальный банковский сектор в целом (73%) воспринимает соглашение Basel II позитивно, хотя и не без некоторого страха. Основным фактором, заставляющим российские банки опасаться вступления Basel II в силу, является высокая ресурсоемкость данного нормативного акта. Наименее заинтересованными в Basel II являются малые банки (18%), которым предстоит провести наиболее серьезную модернизацию своей системы управления, чтобы ориентировать ее на риски. Тем не менее, несмотря на скрытые страхи, подавляющее большинство российских банков (79%) смело смотрит в будущее и надеется выйти из новой реформы регулирования и надзора более конкурентоспособными, чем раньше. Вместе с тем на пути совместимости с Basel II предстоит еще проделать очень много работы. Одна половина национального банковского сектора вообще не готова к введению комплексной системы управления рисками, а другая готова лишь частично. Основным препятствием на этом пути являются операционные риски, эффективное управление которыми не смогла обеспечить ни одна опрошенная организация. Наибольшую опасность для банков представляют такие операционные риски, как неадекватные или ошибочные действия персонала (91%) и внутренние процессы (62%). Для того чтобы помочь банкам эффективно управлять этими рисками, Центробанк выпустил специальный стандарт ИТ-безопасности (СТО БР ИББС-1.0–2006), который во главу угла ставит именно корпоративных инсайдеров. Последовательная реализация положений этого стандарта поможет российским банкам создать эффективную систему управления операционными рисками. Дополнительную проблему для национального кредитно-финансового сектора представляет неуправляемость рисков, связанных с репутацией. Подавляющее большинство банков (86%) не учитывают угрозы собственной репутации. Между тем, эти угрозы могут явиться прямым следствием успешной реализации операционных рисков, а особенно инсайдерских угроз. Несмотря на все выявленные недостатки, большая часть банков (73%) планирует внедрить информационные продукты, позволяющие управлять операционными рисками в ближайшие четыре года. Причем часть опрошенных (29%) собирается сделать это уже в ближайшие два года. Другими словами, к 2009 году финансовые компании планируют подойти во всеоружии. Таким образом, надежды выйти из новой реформы банковского регулирования и надзора более конкурентоспособными, чем раньше, согласуются с планами организаций по реализации наиболее трудоемких положений Basel II. Полученные результаты позволяют сделать вывод, что рынок информационных продуктов, позволяющих управлять операционными рисками в финансовых компаниях, ждет существенный рост уже в ближайшие два года. Еще более бурное развитие этот рынок получит к 2009 году, когда под действием нормативного регулирования практически каждому банку придется, так или иначе, решать проблему управления нормативными рисками. Можно резюмировать, что в ближайшие четыре года российские банки будут усиленно работать над проектами в сфере управления операционными рисками. Это станет наиболее приоритетной задачей, так как совместимость с соглашением Basel II гарантирует компании преимущество перед теми, кто еще не реализовал положения этого нормативного акта. Алексей Доля |