Мудрый Экономист

Операционные риски и угрозы системам финансовых структур

"Расчеты и операционная работа в коммерческом банке", 2005, N 10

Проблемы операционных рисков в последнее время оказывают заметное влияние на деятельность кредитных организаций в связи с глобализацией финансовых рисков, бурным развитием информационных технологий в банковской сфере (совершенствованием систем электронных расчетов, дистанционного обслуживания клиентов и внутрибанковских информационных технологий). Операционные риски непосредственно относятся к операционной работе внутри банка. Объектами операционного риска могут выступать РКО юридических и физических лиц, процессинг пластиковых карт, инкассация, платежи через системы электронных платежей и через корреспондентские счета и т.д. и т.п. В статье рассматриваются виды, причины и последствия операционных рисков на примерах из международной практики. Автор приводит конкретные случаи ущерба, вызванного последствиями операционных рисков, и освещает источники операционных рисков.

Операционные риски и Базель II

В последние годы во всем мире обострилась ситуация с операционными рисками в финансовых организациях. Если следовать определению, данному в Базельском соглашении о достаточности капитала (Базель II), операционным считается риск нанесения ущерба в результате неадекватных или ошибочных внутренних процессов, действий персонала и технических систем, а также внешних событий. Необходимо заметить, что само Соглашение не расписывает операционные риски и не описывает, как бороться с ними, - оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Также Базель II предполагает внедрение в организации эффективной системы управления операционными рисками. Учитывая, что Базельское соглашение, утвержденное летом 2004 г., планируется активно применять и в России, именно исходя из данного в нем определения, мы рассмотрим основные операционные риски в современных банках и других типах финансовых структур.

Но прежде отметим очень интересное и важное требование, прописанное в Соглашении. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления операционными рисками. В том числе им должна регулярно предоставляться отчетность о текущих операционных рисках и суммах ущерба. Это требование идет вразрез с отечественной практикой, согласно которой руководители предприятий не желают заниматься вопросами сбоев в информационных системах, низкой квалификации персонала и другими "мелкими" проблемами, приводящими к большим потерям. Остается надеяться, что активное внедрение Базель II в России позволит изменить мнение многих руководителей в лучшую сторону.

Об отдельных видах операционных рисков

Операционные риски, в свою очередь, можно разделить на несколько подвидов.

Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).

Причины возникновения операционных рисков

К главным причинам возникновения операционных рисков можно отнести:

Последствия операционных рисков

В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:

Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.

Ущерб от операционных рисков

Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете "Electronic Security: Risk Mitigation in Financial Transactions" <1> приведены следующие примерные суммы потерь от атак "отказ в обслуживании" для различных типов финансовых структур:

<1> Glaessner Т., Kellermann Т., McNevin M. Electronic Security: Risk Mitigation in Financial Transactions // The World Bank, June 2002.

Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 г. и до начала 2002 г. один из западных валютных трейдеров "играл" на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около 600 млн долл. США.

Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.

В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 г. и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.

Источники операционных рисков

И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 г. Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги-Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.

Снижение операционных рисков

Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:

А.Лукацкий

Менеджер по развитию бизнеса

Cisco Systems