Содержание к диссертации
Введение
Глава 1. Значение и место операционных рисков в деятельности компании 14
1.1 Понятие и содержание операционных рисков 14
1.2 Классификация операционных рисков
1.2.1 Подходы к классификации 22
1.2.2 Подвиды операционных рисков и их значение 33
1.3 Операционные риски в корпоративной системе управления рисками 38
Глава 2. Этапы и способы управления операционными рисками 43
2.1. Особенности идентификации 43
2.2. Оценка операционных рисков в различных предпринимательских структурах
2.2.1. Банковский сектор 47
2.2.2. Страховой сектор 57
2.2.3. Нефинансовые организации 61
2.3. Процедуры и инструменты снижения операционных рисков 69
2.3.1. Организация процессного управления 69
2.3.2. Регламентация и стандартизация деятельности 71
2.3.3. Противодействие мошенничеству 74
2.3.4. Страхование 78
2.4. Мониторинг 80
Глава 3. Реализация управления операционными рисками в страховой компании 82
3.1. Создание условий для построения системы управления операционными рисками со стороны страховой компании 84
3.2. Процесс управления операционными рисками
3.2.1. Идентификация 90
3.2.2. Оценка 98
3.2.3. Меры воздействия на риск 107
3.2.4. Оценка результатов, мониторинг, контроль, отчетность 121
Заключение 123
Библиографический список
- Классификация операционных рисков
- Оценка операционных рисков в различных предпринимательских структурах
- Регламентация и стандартизация деятельности
- Процесс управления операционными рисками
Введение к работе
Актуальность темы исследования. Различные нефинансовые риски, связанные с организацией бизнес-процессов, работой информационных систем и влиянием человеческого фактора, в т.ч. мошеннические действия или неадекватные ситуации решения, принято относить к операционным рискам. Актуальность темы исследования обусловлена несколькими факторами.
Во-первых, это возможные огромные убытки в случае их реализации в любой отрасли экономики, приводящие к разорению крупнейших организаций или к человеческим жертвам. Ключевую роль при этом играет такой операционный риск, как человеческий фактор. Помимо широкоизвестных примеров операционных рисков в банковской отрасли, можно также выделить аварию на АЭС «Фукусима-1» (Япония, 2011 г.) вследствие халатности и технических ошибок (ущерб 74 млрд. долл. США, несколько пострадавших, 140 тыс.человек эвакуированы), потерю трех спутников «Глонасс-М» (Россия, 2010 г.) из-за ошибок в конструкторской документации (ущерб 2,5 млрд.руб.), банкротства телекоммуникационной компании WorldCom, Inc. и энергетической Enron Corp. (США, 2002 и 2001 гг. соответственно) в результате мошенничества руководства с многомиллиардными потерями и массовыми сокращениями, аварию на Саяно-Шушенской ГЭС (Россия, 2009), приведшую к гибели 75 человек и огромному ущербу, из-за низкого уровня контроля и злоупотребления руководством служебным положением.
Во-вторых, наблюдается постоянный рост числа случаев реализации и выявления операционных рисков. Только ассоциацией The Operational Riskdate eXchange Association (ORX), изучающей операционные риски в финансовой сфере, за период с 2002 г. по сентябрь 2012 г. были накоплены сведения о 286 347 случаях реализации операционных рисков, приведших к убыткам более чем на 136 млрд. долл. США. В целом, анализируя отчеты о накопленных данных других международных баз (ORIC, SAS OpRisk Global Data, Algo OpData), можно отметить, что в последние годы наблюдается четкая тенденция увеличения общего и среднего ущерба от реализации операционных рисков, а также количества событий.
Особенно актуально это для рисков, вызванных внешним и внутренним мошенничеством и работой информационных систем. По данным глобального обзора экономических преступлений, проведенного компанией PricewaterhouseCoopers (PwC) среди практически 4000 компаний в 2011 г., 34% респондентов пострадало от экономических преступлений, что на 13% больше по сравнению с 2009 г., каждый десятый оценивает ущерб более чем в 5 млн. долл. США. При этом 56% респондентов считают основным источником экономических преступлений внутреннее мошенничество сотрудников. Абсолютное большинство экспертов склоняется к тому, что в ближайшие годы количество экономических преступлений и ущерб от них будут возрастать.
В-третьих, в силу своей специфики, причин возникновения и способов проявления операционные риски крайне сложно оценить количественно, рассчитать вероятность возникновения и математически смоделировать величину возможного ущерба. Это обусловлено характером основных причин большинства операционных рисков – человеческим фактором, способом принятия решений, процессом построения организационной структуры, что носит индивидуальный характер и с трудом поддается моделированию. Затрудняет количественную оценку и отсутствие статистических данных. Специализированные базы данных начали формироваться лишь в начале 2000-х гг. и учитывают только потери финансового сектора, главным образом в банковской сфере. В России подобных баз данных нет, в международных ассоциациях российские организации также не представлены. Большинство компаний аналогичную внутреннюю статистику не ведут, исключение в последнее время составляют кредитные организации.
Также данная тема представляется особо актуальной для некредитных организаций, где основные риски сконцентрированы внутри самой компании и связаны в большей степени с человеческим фактором и организацией бизнес-процессов, а не с внешней средой. В частности к страховым компаниям регулирующие органы предъявляют требования по оценке и управлению операционными рисками. Так, в 2014 г. вступит в силу стандарт регулирования деятельности страховых компаний Европейского Союза Solvency II, который в т.ч. обязывает компании выделять капитал для покрытия операционных рисков и включать управление ими в общую систему риск-менеджмента. Российские надзорные и регулирующие органы пока не предъявляют подобных требований, но аналогичный банковский опыт, тенденция сближения с европейскими нормами оценки и управления рисками и вступление в ВТО дают основания предполагать, что в ближайшем будущем требования по оценке и управлению рисками будут предъявляться и к страховому сектору.
Степень разработанности проблемы. Проблема управления операционными рисками пока недостаточно разработана, и в части оценки возможного ущерба и вероятности реализации, и особенно с точки зрения мер воздействия на риск. Наиболее обширные исследования приводятся в работах К. Александер, Дж. Пикфорда, П. Местчиана, А. Самад-Хана. Анализ методов оценки и финансирования операционных рисков, а также способов создания статистических баз данных по операционным потерям, приводят в своих работах и другие зарубежные авторы – Дж.Л. Кинг (J.L. King), А. Джобст (A. Jobst), Дж. Пезьер (J. Pezier), М. Москаделли (M. Moscadelli), Г. Бенедек (G. Benedek), Дж. Роуланд (J. Rowland), Р. Ауманн (R. Aumann), М. Финлэй (M. Finlay), Дж. Кайе (J. Kaye), Х. Панжер (H. Panjer), А. Макнейл (A. McNeil), С. Эбнозер (S. Ebnother) и др. Однако, все эти работы посвящены операционным рискам в банковском секторе, при этом операционные риски некредитных организаций практически не рассматриваются. Многие авторы приводят эмпирические доказательства выгоды от диверсификации операционных убытков по различным категориям в процессе оценки рисков: Ауэ (Aue), Калькбэннер (Kalkbenner), Шавэ-Дэмулан (Chavez-Demoulin), Эмбрехтс (Embrechts), Неслехова (Neslehova), Фантаззини (Fantazzini), Гиудичи (Giudici), Фрашо (Frachot), Резетар (Reshetar). Влияние убытков от реализации операционных рисков на стоимость акций и на состояние отрасли в целом подробно анализируется на основе эмпирических данных в работах Р. Вэй (R. Wei), Дж.Л. Кинг (J.L. King), Н.А. Доэрти (N.A. Doehrty), Дж. Ламм-Таннан (J. Lamm-Tennant), Л.Т. Старкс (L.T. Starks), М.Г. Круз (M.G. Cruz), С.Х. Шевчик (S.H. Szewczyk), М.Р. Томас (M.R. Thomas), Г.П. Цецекос (G.P. Tsetsekos), М. Финлэй (M. Finlay), Дж. Кайе (J. Kaye).
Если говорить об одной из главных составляющих операционных рисков – оппортунистическом поведении, то в первую очередь стоит обратиться к работам нобелевского лауреата О. Уильямсона, предложившего теорию контрактов как один из способов предотвращения оппортунизма.
Непосредственно управление операционными рисками в страховой отрасли рассматривают в своих работах Р. Вэй (R.Wey), С. Брэндтс (S. Brandts), М.Х. Трип (M.H. Tripp), Х.Л. Брэндли (H.L. Bradley), Р. Девит (R. Devitt), Г, Оррос (G. Orros), Г. Овертон (G. Overton), Л. Приор (L. Pryor), Р. Шоу (R. Shaw) и др.
В отечественной литературе основы оценки и управления операционными рисками рассматриваются в «Энциклопедии финансового риск-менеджмента» под общей редакцией А.А. Лобанова, А.В. Чугунова, а также в работах П.В. Буркова, Д. Гончарова, Б.В. Сазыкина, О.И. Лаврушина, Н.И. Валенцевой и др. В частности, Б.В. Сазыкиным подробно рассмотрено управление операционным риском в коммерческом банке с использованием процессно-ориентированного подхода.
Стоит отметить, что работы большинства авторов, а также основные стандарты по управлению операционными рисками (Basel II, Solvency II) охватывают только оценку рисков и расчет резервируемого на покрытие капитала, при этом отсутствуют стандарты и методики по способам воздействия на данный риск и практическим мерам минимизации.
Цель исследования. Определить условия и разработать инструментарий построения системы управления операционными рисками страховой компании, базирующейся на процедурах внутреннего контроля и интегрированной в единую процессно-ориентированную организационную структуру компании.
Для достижения указанной цели в работе поставлены и решены следующие основные задачи:
исследованы содержание, природа и ключевые характеристики операционного риска, а также наиболее распространенные определения и классификации событий и факторов возникновения данных рисков с целью разработки определения и сводной классификации с учетом специфики деятельности некредитных организаций;
проанализированы возможные способы идентификации операционных рисков, в т.ч. способы из лучшей банковской практики, с целью предложения наиболее приемлемого метода выявления и контроля операционных рисков в страховых компаниях;
выбраны и обоснованы наиболее доступные и эффективные способы оценки операционных рисков в страховых компаниях в условиях недостатка внутренних и отсутствия внешних статистических данных по операционным потерям и случаям реализации операционных рисков, проведена апробация предложенного способа оценки в реальных условиях;
выявлены особенности и необходимые условия построения системы управления операционными рисками в страховых компаниях, а также предложены и успешно внедрены меры воздействия на наиболее опасные операционные риски;
исследованы тенденции развития и уровня управления операционными рисками в кредитных и некредитных организациях, выявлены факторы, препятствующие подобному развитию, и предложены возможные пути решения с целью разработки рекомендаций для внесения изменений в соответствующие российские законодательные акты.
Объект исследования – процесс управления операционными рисками, возникающими в процессе предпринимательской деятельности различных субъектов экономики.
Предмет исследования – принципы и методы построения системы управления операционными рисками, интегрированной в корпоративную систему управления рисками, в некредитной организации.
Теоретическая и методологическая основа исследования. Теоретической основой послужили концепции и взгляды зарубежных и отечественных исследователей как в области управления рисками, так и в области статистики, эконометрики, институциональной экономики, управления персоналом, информационной безопасности, финансового менеджмента и управленческого учета. Методологическую основу исследования составили системный, сравнительный, ситуационный и экспертный анализ, проведен анализ статистических данных, применены методы обобщений, синтеза и классификации, широко использованы принципы риск-менеджмента.
Информационно-статистической базой исследования являются нормативно-правовые акты, рекомендации Базельского комитета, директивы Европейской комиссии, положения ЦБ РФ, статистические данные государственных и коммерческих организаций, обзоры и данные различных ассоциаций по управлению рисками, рейтинговых агентств, материалы научных конференций, результаты проведенных авторских исследований.
Научная новизна работы заключается в разработке комплексного подхода к построению и внедрению системы управления операционными рисками в некредитных предпринимательских структурах, в частности в страховой компании, с учетом диверсификации различных видов операционного риска при оценке и расчете величины рискового капитала на их покрытие. На защиту выносятся следующие положения и результаты, полученные в ходе исследования и содержащие элементы научной новизны:
-
На основании проведенного анализа содержания, природы и ключевых характеристик, а также наиболее распространенных на данный момент определений и классификаций операционного риска сформулировано и обосновано определение операционных рисков, отличающиеся от большинства ранее принятых. В частности, исключены риски, вызванные внешними причинами, что лучше отражает специфику операционных рисков и позволяет упростить оценку для страховых компаний и нефинансовых организаций ввиду отсутствия накопленных статистических данных для данных отраслей и сужения рассматриваемой области плотности распределения возможных потерь. Исходя из предложенного определения, разработана классификация, основанная на источнике возникновения операционных рисков и содержащая ключевые операционные риски, возникающие у компании в процессе предпринимательской деятельности независимо от сферы деятельности компании. Также подобная классификация упрощает дальнейший процесс управления, т.к. изначально идет четкое разграничение рисков по источнику возникновения, что позволяет предотвращать и контролировать возможные риски до момента их реализации.
-
Разработан и апробирован способ идентификации операционных рисков на основе анализа в разрезе «Причина – Событие - Последствие», что упрощает дальнейшую оценку и определение мер воздействия на наиболее опасные риски. Для более эффективного применения внедрять подобный способ лучше при организации в компании процессного управления, в связи с чем предварительно в деятельности страховой компании были выделены основные бизнес-процессы, наиболее подверженные операционным рискам. На основании проведенной идентификации по причинам, событиям и последствиям был разработан перечень ключевых индикаторов операционного риска именно для страховых компаний. Применение подобных индикаторов с учетом установленных лимитов и критических значений, а также регулярный мониторинг динамики выделенных показателей позволяют оптимизировать процесс идентификации и контроля операционных рисков;
-
Предложен и апробирован способ оценки операционных рисков страховых компаний, основанный на применении сценарного моделирования и экспертных оценок, позволяющий диверсифицировать капитал по видам операционных рисков, что позволяет уменьшить расчетную величину требуемого рискового капитала по сравнению со стандартной формулой Solvency II;
-
Выявлен и обоснован подход к построению системы управления операционными рисками в страховой компании в условиях отсутствия накопленной внутренней статистики по убыткам и доступа к внешним базам данных, основанный на синтезе теории риск-менеджмента, институциональной экономики и теории управления персоналом. В отличие от большинства имеющихся стандартов и исследований, предложен не только способ оценки рискового капитала, но и конкретные меры воздействия на различные виды операционных рисков. В качестве одного из инструментов оценки, контроля и минимизации рисков, вызванных действиями персонала, разработана и апробирована система контроля рабочего времени и объема работ, выполняемых сотрудниками call-центра;
-
Предложены рекомендации по совершенствованию нормативно-правового регулирования в области управления операционными рисками страховых компаний. В частности, определены положительные эффекты от разработки и принятия единого стандарта по определению понятия операционных рисков, их классификации и способов оценки, а также от создания национальных баз данных по операционным убыткам. Предложен ряд возможных изменений страхового и уголовного законодательства для борьбы с мошенничеством в страховой отрасли, как со стороны сотрудников страховых компаний, так и со стороны клиентов и третьих лиц.
Обоснованность и достоверность результатов исследования основывается на предварительном изучении теоретической базы по теме исследования, эмпирических данных, отражающих уровень потерь от операционных рисков, анализе мирового опыта построения систем управления операционными рисками, а также практическом применении полученных научных результатов в рамках построения системы управления операционными рисками с нуля в европейской страховой компании.
Теоретическая и практическая значимость исследования заключается в разработке системы управления операционными рисками, интегрированной в общую систему корпоративного управления компании и позволяющей снизить возможный ущерб от реализации операционных рисков. Экономическим эффектом от реализации предложенных мер и моделей является обоснованное уменьшение расчетной величины рискового капитала страховой компании, что позволяет в целом уменьшить нагрузку на капитал компании и особенно актуально в кризисный и посткризисный периоды. Ряд предложенных мер по управлению различными видами операционных рисков может также использоваться в предпринимательской деятельности компаний различных секторов экономики с целью снижения операционных расходов, оптимизации бизнес-процессов, повышения инвестиционной привлекательности и стоимости компании.
Отдельные положения работы могут быть рекомендованы регулирующим и надзорным органам для совершенствования нормативно-правовой базы и разработке методических рекомендаций по управлению операционными рисками.
Результаты исследования могут быть использованы в рамках преподавания дисциплин по управлению рисками в предпринимательской деятельности и страхованию.
Теоретическая значимость исследования состоит в развитии существующей концепции управления операционными рисками в предпринимательской деятельности, базируясь на имеющемся опыте риск-менеджмента финансовых институтов.
Соответствие диссертации Паспорту научной специальности. Содержание диссертационного исследования соответствует пунктам 8.9. Хозяйственные риски в предпринимательской деятельности (сущность, виды, риск-менеджмент); основные направления формирования системы риск-менеджмента в сфере предпринимательства и 8.11. Технология процесса разработки и принятия управленческих решений в предпринимательских структурах Паспорта специальности 08.00.05 - экономика и управление народным хозяйством: экономика предпринимательства.
Апробация результатов. Основные положения и результаты исследования обсуждались на IV Международной научной конференции «Инновационное развитие экономики России: институциональная среда», секция экономика, МГУ им.М.В. Ломоносова, 2011 г. и V Международной научной конференции «Инновационное развитие экономики России: сценарии и стратегии», секция экономика, МГУ им.М.В. Ломоносова, 2012 г. Методические и практические результаты исследования были успешно внедрены в деятельность страховой компании East-WestAssekuranz AG (EWA) (Германия), что подтверждается соответствующими документами.
По теме диссертационного исследования опубликовано 6 научных работ общим объемом 4,11 п.л. (лично автора - 3,16 п.л.), в том числе 4 работы объемом 3,21 п.л. (лично автора - 2,26 п.л.) в изданиях, входящих в перечень ведущих рецензируемых научных журналов и изданий, рекомендованных ВАК.
Структура диссертации. Диссертационная работа имеет следующую структуру: введение, три главы, заключение, библиографический список литературы и приложения. Объем работы 166 страниц, включая 8 рисунков, 18 таблиц, 11 приложений и библиографический список из 142 наименований.
Введение
Классификация операционных рисков
Понятие «операционные риски» ассоциируется в первую очередь с банковской деятельностью, соглашениями Международного Базельского комитета по банковскому надзору «Базель-1» (1988 год), «Базель-2» (2004 год) и основанной на них директивой ООН. В частности управление операционными рисками начало активно развиваться в 1999 году, когда Базельский комитет по банковскому надзору начал обсуждение Нового соглашения по капиталу, где была определена методология расчета резерва для покрытия операционных рисков [37].
Существует множество различных определений понятия операционного риска не только в зависимости от сферы деятельности, но и от страны, и национальных стандартов, и даже от цели работы. Тем не менее, несмотря на различия, существуют схожие и общие подходы.
В первую очередь стоит отметить некоторые особенности перевода данного понятия, так как основную или производственную деятельность в западной транскрипции называют операционной. Отсюда можно сделать вывод, что операционные и производственные риски - синонимы и идентичные понятия. Однако, на самом деле это не так, и понятие операционных рисков гораздо шире, хотя включает в себя и риски, связанные с производственным процессом. В то же время производственные риски имеют самостоятельное значение и свои способы измерения и инструменты управления. Таким образом, стоит отметить разницу схожих на первый взгляд понятий operational risk и operating risk. Тем не менее, различие в этих понятиях имеется. Можно сказать, что operational risk - риск, связанный с недостатками в системах и процедурах управления, поддержки и контроля, небрежными или некомпетентными действиями, в результате которых может быть причинен материальный ущерб, a operating risk - производственный риск, связанный непосредственно с эффективностью технологий и процессов производства [112].
Необходимо отметить и другие сложности, связанные с определением операционного риска. Например, изначально к данному виду рисков относили «прочие виды финансовых рисков, отличающиеся от рыночных и кредитных» [92]. Это определение является очень широким и включает в себя бизнес-риск. Однако, это отдельный вид риска, включающий в себя риски, связанные с выбором стратегии развития, позиционирования на рынке, использованием ноу-хау, возможностью реализации конкурентных преимуществ и т.д. Также стоит отметить, что данное определение строится по принципу от противного, что придает определению большую неопределенность и неясность, и становится сложно классифицировать и оценить подобные риски.
Подобный подход использовал и Банк международных расчетов (BIS), определяя операционный риск как любой риск, отличный от рыночного или кредитного, и риск возникновения убытков от различных типов человеческих и технических ошибок [46]. Уточняя затем область возникновения операционных рисков, BIS предложил новое определение, указав, что это риск убытков в результате ошибочных внутренних процессов, неправильных действий персонала или систем, а также внешних событий.
Другой подход к определению операционных рисков основывается на том, что они возникают при осуществлении финансовых операций, и его источниками являются ошибки при обработке данных, выполнении операций, сбои информационных систем, технические неполадки оборудования [92]. Преимущества этого подхода заключаются в том, что охватываются риски при исполнении операций на всех стадиях деятельности организации, но исключаются риски, связанные с мошенничеством и неправильным использованием моделей для оценки финансовых инструментов.
Этот же автор приводит в качестве альтернативы и более широкий подход к определению операционных рисков по степени контроля над ними со стороны организации. В данном случае это риски, возникающие из-за неэффективности внутренней системы контроля в организации.
Рассмотрим некоторые определения операционного риска, предлагаемые различными зарубежными и отечественными организациями и компаниями: риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск (штрафы, пени, взыскания со стороны надзорных органов и судебные иски), но исключает стратегический и репутационный риски [37]; риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий [2]; риск убытков, происходящих от нарушения контроля внутри компании, включая превышение установленных лимитов, совершение несанкционированных сделок, мошенничества при совершении торговых или внутренних операций, непрофессиональный персонал, нестабильные или слабо защищенные компьютерные системы [35]; возможность понести убытки из-за специфических рисков, присущих данной организации и связанных с особенностями ведения бизнеса. Специфические виды операционных рисков включают финансовые и кредитные риски, риски потери репутации, а также риски опасности [32]; риск прямых или косвенных убытков в результате неверного построения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, несанкционированных действий персонала или внешнего воздействия [18. С. 490]; риск возникновения непредвиденных убытков внутреннего (из-за неадекватности бизнес-процессов, квалификации персонала и надежности применяемых технических средств масштабам деятельности организации) и внешнего характера (в результате негативного воздействия неконтролируемых организацией факторов - катастрофы, стихийные бедствия, преступность, коррупция и проч.) [9. С. 21]; риск прямых или косвенных потерь, вызванных ошибками или несовершенством процессов, систем в организации, ошибками или недостаточной квалификацией персонала организации или неблагоприятными внешними событиями нефинансовой природы (например, мошенничество или стихийное бедствие) (определение GARP (Global Association of Risk Professionals)) [107]; риск наступления убытков в результате несоответствующих требованиям или ошибочных внутренних процессов, людей и систем, или внешних событий [101]; риск наступления финансовых убытков в результате несоответствующих требованиям или ошибочных внутренних систем, действий людей, процессов или управления. Операционный риск также включает в себя риск несоблюдения законодательства [114].
Наиболее часто используемое в России определение, данное ЦБ РФ, включает в понятие операционного риска не только риски, вызванные внутренними процессами, но и внешними событиями. Подобный подход используют и другие международные и национальные комитеты и контрольно - надзорные органы, например, Управление по финансовым услугам Великобритании (FCA), которые относят к операционным рискам и политический риск, нарушение безопасности, природные катастрофы и т.д.
Видно, что рассмотренные определения схожи между собой по сути, и основными характеристиками операционного риска являются возможность непредвиденных потерь в процессе внутренней деятельности компании вследствие умышленных и неумышленных действий персонала, технических ошибок, аварийных ситуаций, отсутствие контроля за обработкой операций.
Проведенный анализ показал, что абсолютное большинство организаций определяет операционный риск как риск возникновения убытков, т.е. относит к категории чистых рисков, которые характеризуются исключительно отрицательными последствиями в случае реализации. Однако, возможно рассматривать операционный риск не как чистый, а как спекулятивный. Согласно определению спекулятивных рисков их реализация может приводить не только к убыткам, но и к получению дополнительной прибыли. Главным источником этой дополнительной прибыли принято считать внешние причины -изменение конъюнктуры рынка, снижение пошлин, колебание курсов валют или котировок акций и т.д. В связи с этим операционные риски, вызванные в первую очередь процессами, происходящими внутри организации, обычно относят к чистым рискам. Тем не менее, названные выше причины спекулятивных рисков являются типичными, но не единственно возможными и верными. Поэтому рассмотрим операционные риски как источники получения дополнительных доходов, а не только ущерба. Например, ненадлежащее исполнение должностных инструкций, внутренних регламентов, отступление от принятого в компании алгоритма выполнения бизнес-процессов являются примерами типичных операционных рисков. При этом они могут привести не только к ущербу, хищениям, сбоям и потерям, но и повлиять на деятельность компании положительно, если данные отступления были совершены не с целью мошенничества или вследствие халатности, а для испытания новых подходов, внедрения нестандартных идей. В результате следствием изначальных нарушений внутреннего распорядка, регламента и инструкций может стать появление более эффективных технологий, продуктов, услуг, управленческих решений, что в итоге приведет к получению дополнительного дохода.
Оценка операционных рисков в различных предпринимательских структурах
В общем виде существующие подходы к идентификации и оценке специалисты часто делят на модели top-down («сверху вниз») и bottom-up («снизу вверх»),
1. "Сверху вниз" - при данном подходе оцениваются последствия реализации риска (т.е. прямые и косвенные затраты), осуществляется он на уровне руководства, но может включать не только уровень высшего руководства, но и отдельные подразделения, имеющие полную информацию о деятельности организации. Данный подход соответствует рассмотренному ранее современному подходу классификации последствий рисков. Количественные методы используются для оценки итогового влияния рисков, для чего создается система индикаторов, по которой можно судить о динамике влияния рисков и вести постоянный мониторинг.
2. "Снизу вверх" - при данном подходе оцениваются причины возникновения риска. Осуществляется на уровне отдельных подразделений. Идентификация рисков при таком подходе происходит в процессе взаимодействия путем оценки реакции работников, процессов, технологий на внутренние или внешние воздействия. Сложность подхода состоит в том, что между причинами возникновения риска существует тесное взаимодействие. Таким образом, основой идентификации рисков является разделение деятельности на конечные бизнес-процессы, что позволяет создать иерархическую структуру процессов, на основании которой можно определить ключевые места контроля. Модели top-down разрабатывают подходы к анализу риска на основе данных компании в целом, которые идут «сверху вниз» до уровня отдельных подразделений, операций, факторов риска. Модели bottom-up разрабатываются для конкретного подразделения или события, а затем результаты агрегируются для принятия решений на уровне компании. При этом основное внимание уделяется причинам операционных рисков.
Обе модели строятся на основе накопленной статистики, но большинство исследователей сходятся во мнение, что модель bottom-up более предпочтительна и преобладает на практике [64]. Связано это с меньшей долей субъективности при разделении деятельности на процессы, а не оценке бизнеса в целом, с большими возможностями оценки работы подразделений. Тем не менее, недостатки есть и у этой модели, т.к. порой она может показать ложные результаты. Например, это может происходить, если компания начинает внедрять управление операционными рисками, переходить к процессному управлению, что вызывает увеличение затрат. В связи с этим в результате модель будет показывать увеличение показателей риска, т.к. будет наблюдаться резкий рост затрат, хотя в действительности убыток снизится, если система управления рисками эффективна [47]. Также, используя данную модель и анализируя риски отдельных процессов, нельзя забывать о деятельности компании в целом, и рисках, которые могут возникать на корпоративном уровне. По этой причине модели top-down могут быть более эффективными при оценке необходимого для отчисления капитала для покрытия рисков. Таким образом, оптимальным будет сочетание данных подходов при оценке операционного риска.
Выделим основные методы для идентификации и оценки операционных рисков:
1. Проверочные процедуры. Например, аудиторские проверки позволяют провести оценку бизнес-процессов независимыми внешними экспертами. Аудиторы могут выявить наиболее слабые места с точки зрения контроля путем сравнения текущих процессов в компании с наилучшим опытом в других фирмах. Не менее важным, а в большинстве случаев и более эффективным, является внутренний аудит. Выявление и анализ могут проводить все подразделения компании с целью определения возможных рисков в текущих бизнес-процессах для создания эффективных процедур контроля. Система внутреннего аудита является в настоящее время важной частью современной системы корпоративного управления и в частности построения системы управления рисками.
2. Ключевые индикаторы рисков (КИРы) компании - объективные критерии, по которым можно судить о деятельности компании и выявлять сигналы риска. Одно из главных преимуществ КИРов заключается в том, что они могут измеряться как угодно часто (еженедельно, ежедневно) в отличие от аудиторских проверок. К КИРам относятся, например, время обслуживания одного клиента, степень укомплектованности штата, ежедневные объемы операций, уровень текучести кадров, время простоя систем, уменьшение объема продаж, увеличение случаев возврата продукции, понижение уровня обслуживания клиентов, замедление вывода нового продукта на рынок, увеличение затрат и т.д. На каждый выявленный индикатор обычно устанавливается пороговое значение, превышение которого означает повышение опасности реализации конкретного риска.
Как показало исследование, проведенное компанией Ernst & Young [70], большинство банков активно используют КИРы для выявления операционных рисков, проводя внутренний сбор данных о потерях и сценарный анализ.
Несмотря на многочисленные преимущества, данный метод также имеет ряд сложностей и недостатков. Главным образом сложность заключается в определении того, какие именно показатели деятельности можно считать индикаторами потенциальных угроз, и какие виды рисков они способны выявить. Крупные организации используют в процессе анализа до нескольких сотен различных индикаторов, что требует значительных временных и финансовых затрат, а также человеческих ресурсов. Средние и мелкие компании не могут себе этого позволить, в связи с чем точное выявление необходимых КИРов для них является наиболее важным.
В теоретических исследованиях КИРы обычно делят на предикативные, т.е. предсказывающие возможные потери, и исторические, свидетельствующие уже о реализовавшемся риске. В реальной деятельности компании практически все КИРы являются историческими и отражают уже реализовавшиеся риски. В связи с этим при наличии большого количества накопленных данных средние значения исторических потерь используются в качестве базы для прогнозирования уровня ожидаемых потерь.
3. Финансовые показатели. Так как уровень доходов организации подвержен влиянию различных рисков, то, исключив факторы кредитного и рыночного риска, возможно определить влияние операционного риска на изменение доходов. Подход основан на использовании данных о доходах за определенный период времени и расчете величины стандартного отклонения его изменений. Данный показатель удобен, но имеет ряд недостатков - на основе полученных данных невозможно предотвратить негативные последствия, т.к. метод не устанавливает их причину, а свидетельствует об общем результате. Тем не менее, данный метод может быть полезен для расчета необходимого размера капитала под возможные потери. Наиболее приемлем подобный подход для банковского сектора, где хорошо развита оценка кредитного и рыночного риска, что позволяет по остаточному принципу определить влияние операционного риска.
Регламентация и стандартизация деятельности
Основные виды операционных рисков - риски, связанные с персоналом, и риски, обусловленные неэффективной организационной структурой. Влияние данных рисков может снизить четкая регламентация и стандартизация основных бизнес-процессов и функциональных обязанностей сотрудников и взаимоотношений с контрагентами. Данный метод подходит для всех организаций, независимо от сектора экономики.
В первую очередь предлагаемые меры позволят снизить риски, вызванные человеческим фактором - мошенничество, отлынивание, халатность и т.п., так называемые риски оппортунистического поведения. Использование контрактного подхода как способа борьбы с оппортунизмом впервые было предложено О. Уильямсоном [26, 27]. При успешном применении данного подхода могут быть снижены и трансакционные издержки, что в конечном итоге повышает эффективность деятельности компании и увеличивает ее стоимость.
В теории О.Уильямсона оппортунизм есть как на этапе заключения контракта (ех ante), так и на этапе реализации контракта (ex post). Предлагается не только рассмотреть с этой позиции оппортунистическое поведение, но и выделить основные трансакционные издержки на предконтрактном и постконтрактном этапах, вызываемые также рисками, связанными с организационной структурой. Начнем с рисков, вызванных действиями персонала.
Предконтрактный оппортунизм может проявляться в нескольких формах, например, в ухудшающем отборе (adverse selection), возникающем из-за асимметрии информации, которая приводит к выбору, наименее желательному для рассматриваемого субъекта. Например, если работодатель предлагает заработную плату на уровне средней производительности работника, характерной для данной специальности, то наиболее опытные и умелые работники откажутся заключать контракт, т.к. оценивают свои способности выше. В результате будут наняты сотрудники со средней или низкой производительностью труда.
Другая проблема может быть связана с предоставлением ложной информации. Для страховой компании очень ценны сотрудники, уже имеющие свою клиентскую базу. Подобную базу данных стоит проверить, обзвонить часть клиентов и выяснить, каким образом строилось общение с этим кандидатом, велась ли работа честно. Если человек сам наработал эту базу, то проблем не возникнет, а если он скачал ее из общей системы у других менеджеров, то это выяснится, и от такого сотрудника лучше отказаться.
Прием сотрудников на работу должен проводиться очень тщательно. Для снижения потерь от оппортунистического поведения могут служить определенные сигналы и гарантии. В качестве сигналов может выступать информация об образовании соискателя, данные об учебном заведении, рекомендации с предыдущих мест работы, результаты проведенных собеседований, анкетирования, тестов. Также используют систему самоотбора, предлагая кандидату вариант контракта, подходящего его межвременным предпочтениям и способностям. Гарантии могут выражаться в системе стимулов, материальной и нематериальной мотивации сотрудников добросовестно исполнять условия контракта. Другой вид гарантий - обеспечение санкций в виде уплаты неустоек или штрафов за нарушение или досрочное прекращение контракта.
Один из наиболее эффективных способ снижения подобных издержек - создание стандартной формы контракта. Особенно это приемлемо для страховых агентов и брокеров, когда взаимные обязательства сторон являются достаточно типовыми, что позволяет составить стандартную форму договора.
С одной стороны контрактный подход позволяет снизить операционные риски путем снижения оппортунизма и формирования четкой, эффективной организационной структуры. Но с другой - создание контракта, его согласование и контроль за исполнением также требует расходов, как временных, так и материальных, зачастую достаточно высоких.
Постконтрактный оппортунизм возникает из-за неполноты контракта, т.к. все возможные ситуации обговорить невозможно, а также из-за сложности измерения производимой работы. Одним из проявлений подобного оппортунизма является отлынивание - работа с меньшей производительностью, чем предусматривает заключенный контракт. Эффективным средством контроля рабочего времени и борьбы с имитацией работы является организация процессного управления и оценка деятельности по достигнутым результатам, о чем говорилось в предыдущем разделе. В страховой компании это осуществить не сложно, так, работа страховых агентов оценивается, исходя непосредственно из количества заключенных договоров и собранной страховой премии. Аналогично и работу менеджмента можно увязать с экономическими результатами деятельности компании - с уровнем продаж, полученной прибылью, стоимостью акций.
Возможен такой вариант организации работы (в небольших компаниях), где каждый сотрудник совместно с руководством (или, если речь идет о менеджменте, с другими членами руководства) разрабатывает план собственной деятельности на месяц, квартал или на год. Эффективность работы тогда оценивается по результатам выполнения этого плана. Любой план при этом должен быть привязан к стратегическим целям организации, но сотрудник лично участвует в выработке тех критериев, по которым будет оцениваться его труд.
Другой вид постконтрактного оппортунизма - вымогательство, возможно, если сотрудник обладает какими-то специфичными активами. Например, обширной клиентской базой, личными связями с крупными клиентами либо возможностью лоббирования интересов компании. Подобную проблему можно решить путем создания взаимных инвестиций либо созданием максимально полного контракта, содержащего подробную информацию о правах и обязанностях сторон, а также предусматривающего значительные санкции при расторжении контракта.
Также страховая компания может столкнуться с такой формой оппортунизма как моральный риск. Он возникает при мошенничестве персонала, сговоре с клиентами, сокрытии части собранной страховой премии, присвоении средств компании, заключении договоров страхования на основании заведомо ложных данных. Для предотвращения подобных рисков необходимо усилить службу внутреннего контроля и проверять действия сотрудников боле полно и часто, о чем более подробно будет сказано в следующем разделе.
То же самое можно сказать и об оптимизации организационной структуры компании. Здесь роль контракта выполняет регламент бизнес-процессов, в котором четко обозначены должностные права и обязанности, как каждого структурного подразделения, так и отдельных сотрудников, что позволит организовать процессное управление в компании, приводящее к снижению трансакционных издержек при осуществлении внутренней деятельности компании.
Также снижению мошенничеств и более качественному и бесперебойному осуществлению бизнес-процессов способствует регламентированное разделение полномочий и функций между исполнителями сделок и операций и сотрудниками, производящими учет и контроль результатов от этих сделок и операций. Т.е. в компании на всех уровнях и для всех бизнес-направлений должно выполняться четкое разделение контрольных и исполнительных функций, что также является своего рода внутренними контрактами компании.
Процесс управления операционными рисками
О роли, задачах и функциях службы внутреннего контроля, службы безопасности и их взаимодействии с отделом по работе с персоналом в целях предотвращения и выявления случаев мошенничества говорилось в п. 2.3.3 Главы II данной работы. В рассматриваемой компании на данном этапе развития функции службы безопасности частично распределены между сотрудниками службы внутреннего контроля, отдела по работе с персоналом, информационным отделом и отделом урегулирования убытков, что, безусловно, затрудняет полноценное и эффективное противодействие мошенничеству. В связи с этим можно рекомендовать в качестве одной из действенных мер по снижению данного вида операционного риска расширение числа сотрудников службы безопасности с расширением их обязанностей, прав и полномочий для более быстрого и эффективного выявления противоправных действий сотрудников компании, тщательной проверки клиентов, кандидатов на работу и фактов реализации страховых случаев.
Согласно проведенной оценке особое внимание стоит уделять соблюдению норм и повышению уровня информационной безопасности. Основными способами достижения информационной безопасности, а соответственно и минимизации рисков неограниченного доступа сотрудников к информационным ресурсам и утечки ценных данных, являются парольная защита, биометрическая аутентификация и обеспечение замкнутости программной среды компании. Далее данные способы рассмотрены более подробно.
Замкнутость программной среды достигается различными способами. Например, системный администратор может задавать папки (каталоги Windows (для разрешения запуска системных процессов), Program Files и другие), из которых разрешен запуск программ, и которые запрещено модифицировать. В этом случае какая-либо несанкционированная модификация этих папок будет невозможна даже при наличии у недобросовестного сотрудника системных прав. В результате предотвращается сама возможность запуска любой деструктивной программы как удаленно, так и локально (вируса, шпионской программы, программы-взломщика средства защиты и др.), даже при наличии вредоносных программ запустить их будет невозможно.
Также замкнутость программной среды может быть достигнута с помощью механизма управления подключением/ монтированием к системе устройств, подключение которых разрешается к системе. Только при реализации подобного механизма можно однозначно описать характеристики объекта защиты. Помимо этого к устройствам, которые разрешено монтировать к системе, следует разграничить права доступа, в противном случае возникнет необходимость разграничить доступ ко всем устройствам.
Основными угрозами конфиденциальности данных компании можно считать угрозу перехвата данных, доступность резервных носителей данных, кражу оборудования, злоупотребления полномочиями (получение конфиденциальной информации системными администраторами), нанесения ущерба при сервисном обслуживании (получение доступа к информации сервисным инженером в обход программных защитных механизмов). Помимо этого стоит уделять внимание хранению паролей и иной конфиденциальной информации в недоступном для посторонних лиц месте.
Наиболее распространенными средствами обеспечения информационной безопасности являются пароли. Принцип работы парольной защиты заключается в идентификации и аутентификации пользователя путем запроса данных, доступных только ему, и сверке предоставленной информации с имеющимся образцом. В случае совпадения информации подтверждается подлинность субъекта, и по процедуре авторизации сотрудник получает полагающиеся ему полномочия.
Такой способ требует наличия образца на самом устройстве либо локально на ресурсе, к которому будет возможность обратиться при необходимости сверки. Хранение самого пароля, образца на защищаемом ресурсе или же на сервере недопустимо, так как это создаст серьезную уязвимость в системе безопасности и может препятствовать сохранению конфиденциальности информации. Поэтому для хранения паролей часто используется hash-функция (хеш-функция), позволяющая создать некий образ пароля, который не позволяет произвести обратное преобразование. Значение хеш-функций возможно хранить на защищаемом объекте или сервере, так как знание хеш-функции не дает знание исходного пароля.
В случае использования клавиатурного способа ввода пароля и наличия большого количества программного обеспечения и сервисов, требующих аутентификацию, данный способ приводит к тому, что у пользователя накапливается множество паролей, которые необходимо помнить. Такая ситуация приводит к нежелательным последствиям для конфиденциальности уникальных данных, т.к. пароли могут быть утеряны либо храниться в доступном посторонним лицам месте, что создает возможность получения конфиденциальной информации третьими лицами.
В связи с этим работниками информационного департамента регулярно рассылаются памятки сотрудникам и проводятся соответствующие беседы о способах парольной защиты, методах и важности ее соблюдения.
В качестве альтернативной парольной защиты могут использоваться внешние носители, предполагающие подключение специализированного оборудования для считывания информации. При использовании такой системы на носителях записывается пароль, который считывается устройством при аутентификации пользователя, при этом длина пароля может быть достаточно большой, без угрозы визуального съема. Стандартный и специальный носители информации практически равносильны, и решение о их выборе зависит от стоимости, долговечности и удобством хранения. Использование внешних носителей дает большую область применению цифровым сертификатам. Сертификат может быть помещен на любом аппаратном устройстве, к примеру: смарт-карты, USB-ключи. Такая система позволяет значительно снизить риск получения несанкционированного доступа к информации.
В настоящий момент внедрение внешних носителей в качестве альтернативной парольной защиты в компании признано экономически нецелесообразным, однако, в дальнейшем с развитием бизнеса, возможно, данный вариант будет рассмотрен и принят.
Помимо данных видов идентификации и аутентификации в компании широко используются методы авторизации, разграничивающие доступ сотрудников к различной внутренней информации.
Также для обеспечения информационной безопасности необходимо тесно сотрудничать со службой внутреннего контроля и отделом по работе с персоналом, т.к. большая часть утечек данных связана не с техническими сбоями или слабостями системы, а с мошенничеством сотрудников. Так, например, по мнению Ф. де Суза, старшего вице-президента группы безопасности крупнейшей корпорации Symantec, лидера по производству защитного программного обеспечения, большая часть информационных утечек связана с «раздраженным состоянием офисных сотрудников в связи с экономической нестабильностью» [133].
В связи с этим качественная система мотивации сотрудников, о которой говорилось ранее, может способствовать повышению лояльности сотрудников и снижению уровня внутреннего мошенничества. Аналогично применение ключевых идей контрактного подхода в виде обозначения в трудовых договорах санкций за различные нарушения и несанкционированные действия поможет снизить количество неправомерных действий сотрудников.
