Соглашение Basel II в России 2006: операционные риски – основная проблема банков

InfoWatch и Национальный банковский журнал представляют первое российское исследование «Соглашение Basel II в России 2006: операционные риски – основная проблема банков» о текущем уровне готовности банков к выполнению положений Basel II.
Компания InfoWatch, разработчик систем защиты от инсайдеров, участник Ассоциации российских банков (АРБ), и Национальный банковский журнал опросили более 30 российских кредитно-финансовых организаций с целью изучить природу операционных рисков в рамках Basel II и влияние данного нормативного акта на конкурентоспособность отдельно взятых финансовых компаний и российского банковского сектора в целом. С портретом респондентов, методологией исследования и полной версией отчета можно ознакомиться на сайте InfoWatch (http://www.infowatch.ru/threats?chapter=147151396&id=187702037). Далее приведены основные результаты исследования.

Исследование «Соглашение Basel II в России 2006: операционные риски – основная проблема банков» показало, что национальный банковский сектор в целом (73%) воспринимает соглашение Basel II позитивно. Более того, подавляющее большинство российских банков (79%) уверено, что совместимость с Basel II будет способствовать повышению их конкурентоспособности.

Несмотря на столь положительное восприятие, ни один банк не имеет комплексной системы управления рисками, требуемой соглашением Basel II. Наибольшую трудность для банков представляют операционные риски. Половина всех банков (50%) вообще не управляет ими, а другая половина (50%) управляет лишь частично и, следовательно, неэффективно.
Отметим, что соглашение Basel II в отличие от Basel I требует учитывать не только кредитные и рыночные, но еще и операционные риски. Кредитно-финансовые организации должны управлять этими рисками и резервировать под них капитал. Однако российские банки пока не готовы удовлетворить этому важному требованию. Между тем, те компании, которые будут в состоянии наиболее точно оценить свои операционные риски и продемонстрировать свою уверенность регулирующему органу, смогут резервировать меньшие объемы капитала под эти риски. Это в свою очередь позволит данным банкам существенно повысить свою конкурентоспособность относительно менее продвинутых компаний.

Следующая часть исследования была посвящена структуре операционных рисков. Согласно пункту 644 соглашения Basel II, они определяются как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический риск и риск, связанный с репутацией. Чтобы определить наиболее опасные компоненты операционного риска, респондентам был предложен следующий многовариантный вопрос (сумма ответов превышает 100%). Каждая организация могла выбрать два наиболее опасных, на ее взгляд, вида операционных риска. При этом варианты ответы были составлены точно в соответствии со структурой риска в пункте 644 соглашения Basel II.

Таким образом, наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами – на них пришлось 35%) и персоналом (который представляет основную угрозу – так считает 91% респондентов).

Заметим, что стандарт Центробанка по ИТ-безопасности (СТО БР ИББС-1.0–2006), принятый и введенный в действие 26 января 2006 года, явно указывает на то, что основная угроза для финансовых компаний исходит именно изнутри. Так, пункт 5.4 гласит: «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Более подробная информация по стандарту Банка России доступна в исследовании компании InfoWatch и проекта Банкир.Ру «Стандарт Центробанка по информационной безопасности 2006: регулятор воспитывает банки» (http://www.infowatch.ru/threats?chapter=147151396&id=186432593).
Как уже было сказано выше, в состав операционных рисков не входят риски, связанные с репутацией. Тем не менее, успешная реализация многих угроз, явно относящихся к составу операционных (согласно пункту 644), может привести к дополнительным отрицательным последствиям в виде ущерба имиджу и потери репутации. Например, если инсайдеры ограбят клиентов банка (самая опасная операционная угроза), то об этом, наверняка, станет известно широкой общественности. В результате репутация компании может сильно испортиться, что приведет к сокращению клиентской базы и снижению прибылей. Таким образом, репутационные риски могут быть прямым следствием реализации операционных угроз. Именно поэтому следующий вопрос исследования был посвящен рискам для репутации.

Структура ответов показывает, что управление рисками, связанными с репутацией, находится на такой же стадии зрелости, что и управление операционными рисками. Так, более половины респондентов (65%) вообще не учитывает угрозы своей репутации. По мнению аналитического центра InfoWatch, такое невнимание к угрозам для своей репутации вызвано, прежде всего, тем, что сегодня банки не обязаны оповещать общественность о реализации операционных угроз. Например, если финансовая компания выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные пользователей, то она не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответа, однако и банки берегут свою репутацию. Тем не менее, развитие российской законодательной базы рано или поздно приведет к тому, что все подобные инциденты станут полностью прозрачными, как для правоохранительных органов, так и для прессы. При этом опыт использования такого законодательства в Европе и США говорит о том, что это случится скорее рано, чем поздно.
Очевидно, что финансовые компании не могут игнорировать проблему операционных рисков в течение долгого времени. Так, Банк России планирует уже в 2008 году потребовать от банковского сектора выполнения положений по управлению операционными рисками. Таким образом, организациям нужны как методики оценки этих рисков, так и соответствующие информационные и аналитические системы для их минимизации. Следующий вопрос ставил своей целью выяснить планы российских банков по внедрению информационных продуктов, позволяющих управлять операционными рисками. Как оказалось, почти одна треть респондентов (29%) собирается внедрять такие решения в течение ближайших двух лет (2006 и 2007 годы), а чуть меньше половины компаний (44%) – в ближайшие четыре года (2006-2009 годы). Отметим, что ни один респондент не выбрал вариант «Все необходимые продукты уже внедрены и используются».

Можно сделать вывод, что рынок информационных продуктов, позволяющих минимизировать операционные риски и управлять ими, ожидает стремительный рост уже в ближайшие четыре года. Причем основным драйвером этого развития выступает нормативное регулирование (Basel II), отдельные положения которого банкам придется выполнять уже в 2008 году. Именно к этой дате передовые банки должны внедрить комплексную систему управления операционными рисками и соответствующие продукты, позволяющие минимизировать наиболее опасные операционные угрозы: ущерб в результате действий персонала и внутренних процессов. Как указывают эксперты аналитического центра InfoWatch, банкам выгодно внедрить всестороннюю систему управления рисками, так как это поможет снизить размеры капитала, резервируемого под эти риски, и, следовательно, повысить конкурентоспособность организации. Более того, разумная минимизация операционных рисков значительно уменьшит вероятность успешной реализации угроз для репутации компании. Это даст передовым банкам дополнительное преимущество перед теми, кто только собирается обеспечить свою совместимость с Basel II.
10:21
712
RSS
Нет комментариев. Ваш будет первым!
Загрузка...
X
X