Оценка операционных рисков и вызванных их реализацией убытков — важный элемент деятельности и бизнес-планирования компаний финансового сектора.
Самый актуальный тип операционного риска — это сбой ИТ-систем, в результате чего, например, банк может ошибочно перевести деньги не тому адресату либо отправить неправильную сумму.
Возможны и иные варианты, потенциально более неприятные для финансовых компаний и их клиентов, к примеру неисполнение поручений на сделки с биржевыми контрактами.
На втором месте — мошенничество: внешнее, а также внутреннее — с участием сотрудников. Причем в большинстве случаев речь идет не о каких-то изощренных схемах, а о банальной подделке справок о доходах и иных документов при получении потребительских кредитов.
Третий тип риска — неправильные процессы и методики финансовых организаций, которые могут привести, например, к обоснованным претензиям со стороны клиентов. Типичные примеры — мисселинг и некорректное риск-профилирование клиентов. Это практики, с которыми в последние годы активно борется Банк России. И, наконец, человеческий фактор — ошибки персонала, скажем, при выдаче наличных в кассе.
Главный вопрос — размер потерь от реализации этих рисков. По России соответствующей статистики нет, но в топ-100 мировых банков такие убытки в среднем составляют 1–1,5% от операционной выручки. Цифра, на первый взгляд, не особо большая, и можно просто списать эти потери на «непредвиденные расходы».
Но такой подход на самом деле неприемлем, и вот почему. Во-первых, когда мы говорим про ошибки операционистов, суммы потерь обычно действительно невелики. Но операционный риск тем и коварен, что могут произойти и крупные инциденты: при нынешнем развитии технологий нажатие лишней клавиши на компьютере может привести к значительной ошибке в сумме. Аналогичная ситуация и с мошенничествами.
Во-вторых, есть маркетинговая составляющая. Если банк рассматривает новый проект, допустим некую промоакцию для привлечения клиентов, он должен рассчитать экономический эффект. Часто этот эффект совсем небольшой, те же 1–2%. При этом операционные риски проекта могут быть высокими. Например, бывали случаи, когда из-за агрессивных акций регулирующие органы накладывали штрафы или клиенты предъявляли претензии. В результате проект становится убыточным, поэтому о митигации рисков нужно подумать заранее, в противном случае целесообразнее отказаться от идеи.
В-третьих, очевидно, что избежать абсолютно всех рисков невозможно, однако многие из них можно снизить. При этом нужно четко оценивать те затраты, которые для этого необходимы, и насколько они окупятся. То есть важна цена вопроса.
Наконец, есть требования Банка России, которые детально регламентируют, как в банке должен быть выстроен процесс управления операционными рисками и их оценки. При этом регулятор допускает два подхода: оценку операционных рисков по жесткой формальной методике, либо по внутренней методике банка. Первый, по сути, означает оценку рисков «по верхней планке» (SMA, Standardised Measurement Approach). Второй (AMA, Advanced Measurement Approaches) дает более точные и низкие значения, и это позволяет снизить нагрузку на капитал, поскольку размер операционного риска учитывается при расчете нормативов. Оба подхода требуют наличия у банка качественной системы мониторинга и оценки рисков.
А здесь как раз есть определенные сложности. Дело в том, что одним из важных элементов этой оценки является сравнительный анализ: оценивать операционный риск нужно, ориентируясь не только на внутренние данные, но и сопоставляя их с рыночным уровнем риска в целом. Такой подход позволяет понять, насколько эффективна система контроля рисков.
Банк России в своих рекомендациях прямо говорит, что нужно использовать внешние по отношению к банку данные.
Есть проблема в получении этих данных. До февраля 2022 года некоторые банки имели доступ, например, к внешним базам международных вендоров. Однако теперь они не ведут деятельность в России.
При этом напрямую делиться друг с другом (читай — с конкурентами) банки подобной информацией не могут: это все-таки служебные данные, чувствительная информация.
Решение было найдено в этом году, причем инициировано оно было профильными банковскими специалистами в области риск-менеджмента. Триггером послужило решение регулятора ввести обязательную ежеквартальную отчетность по операционному риску с 1 января 2023 года.
Риск-менеджеры крупнейших российских банков решили, что рынку нужна система, которая в режиме анонимности будет собирать данные по банковским операционным рискам и обобщать их.
За разработку взялась наша компания — группа «Иннотех» (Холдинг Т1), сотрудничающая с некоторыми из этих банков. Риск-менеджеры банков активно участвовали в процессе: формулировали пожелания к будущему продукту, обсуждали варианты разработки.
Продукт — сервис сравнительной аналитики по операционному риску ОРИКС — был готов к сентябрю 2023 года.
С одной стороны, продукт реализован в соответствии с актуальным ИТ-стандартом — cloud-native-решение, микросервисная архитектура, импортонезависимый стек. С другой стороны, к продукту предъявлялось главное требование рынка — обеспечить анонимизацию данных, и эту задачу удалось решить. Сейчас ОРИКС работает следующим образом. Банки как пользователи сервиса предоставляют системе обезличенные данные — они зашифрованы через индивидуальный ключ, который хранится у банка; платформа консолидирует и анализирует полученные от банков данные и выводит средние показатели рынка по каждому индикатору; банк получает возможность сравнить свои показатели со средними, а также получить набор рекомендаций для адаптации собственной методологии и стратегии управления операционным риском. Сравнить собственную статистику потерь от операционного риска можно как с обобщенными показателями по всему банковскому сектору, так и по группам со схожими банками, например по объему активов или размеру филиальной сети.
Кроме того, решение масштабируемо и может быть распространено на разные сегменты финансового рынка: инвестиционные и страховые компании, пенсионные фонды.
Чем известна группа «Иннотех»
Группа «Иннотех» — высокотехнологичная быстроразвивающаяся ИТ-компания (входит в Холдинг Т1). С 2020 года разрабатывает инновационные решения для цифровизации бизнеса и финтеха. Выстраивает партнерские отношения с ведущими компаниями, предлагая им комплексные решения для фронт— и бэк-офисов, современные финтех-продукты, системы работы с большими данными.
