Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 7

Соглашение Basel II

Основные положения

Три столпа Basel II

Структура операционных рисков в рамках Basel II

Связь Basel II со стандартом Банка России по ИБ

Методология измерения операционных рисков

Влияние Basel II на конкурентоспособность банка

Репутационные риски в рамках Basel II

Итоги

{оглашение Basel II («Международная конвергенция измерения капитала и стан* Мартов капитала: новые подходы») является одним из наиболее актуальных норма­тивных актов, регулирующих банковский сектор. Basel II предъявляет требования н минимальному размеру банковского капитала: организации обязаны оценивать one-рационные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и І іидии. В 2009 г. к соглашению планирует присоединиться Россия.

Ніорая итерация соглашения (в отличие от первой) требует учитывать при ре­зервировании капитала не только рыночные и кредитные, но еще и операцион­ные риски. Однако, исходя из неоднократных исследований российского кредит­но финансового сектора и опыта стран «Большой десятки», именно управление операционными рисками представляет для банков наибольшую сложность. Кро­ме того, низкая эффективность приуправлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми бан­ки также обязаны управлять.

Для полноценной реализации принципов Basel II требуется реализовать комплекс­ную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, провести ряд организационных ме­роприятий и многое другое. Попытка решить все эти задачи собственными сила­ми обходится слишком дорого. Более того, построенная в результате система управления операционными и репутационными рисками далеко не всегда будет досіаточно эффективной, чтобы позволить банку применять продвинутые мето­дики оценки рисков. Как следствие, банку придется резервировать большее коли­чество капитала под эти риски, что отрицательно скажется на его конкурентоспо­собности. Между тем привлечение внешнего партнера, специализирующегося на мы под нении подобного рода проектов и обладающего соответствующей кадровой и іехпической базой, позволяет существенно снизить объемы инвестирования и іараптировать высокую эффективность результата.

Основные положения

Первое соглашение (Basel Capital Accord, далее Basel I) было опубликовано Ба-іедьеким комитетом по банковскому надзору в 1988 г., что существенно повлияло на развитие глобальной банковской системы. Положения Basel I легли в основу Панковского регулирования и надзора практически во всем мире, включая Россию. Дальнейшее развитие эти принципы получили в соглашении Basel II.

< ( ередииы 1990-х гг. Базельский комитет активно занимался совершспстиоиапи • м принципов регулирования. Эта работа была завершена к 2004 г., что озпамепо n.i'iocii публикацией следующей итерации соглашения - Basel II. Фупдамепіаль їм.їм характер основных требований нового стандарта вызвал горячие дискуссии и мировом банковском сообществе, в первую очередь іі странах <*Ьочыпой десяі ні« Ие/іпкобрп танин, США, Франции, Германии, 111 иеіщарпи, Нидерландах, 1кж< ембуріе, Японии, Бельгии и Канаде, Более mm, Ііа.іелі.скиіі компіеі при.шал и нре/іпелоппн ко иіороп версии сої лишении, чю реализации положенні! лою

нормативного акта может не являться основным приоритетом для стран, не входя­щих в «Большую десятку», по крайней мере, в краткосрочном плане. Тем не менее очевидно, что всем странам придется рано или поздно считаться с требованиями Basel II, а некоторые положения будет необходимо реализовать уже в ближай­шем будущем. В противном случае государство и его национальная банковская система рискуют оказаться на периферии мировой финансовой системы. Таким образом, уже в 2009 г. российским банкам придется удовлетворить требованиям Basel II.

Три столпа Basel II

Три столпа (pillars) соглашения Basel II — это требования к минимальному раз­меру банковского капитала, банковский надзор и рыночная дисциплина (рис. 7.1). Само соглашение состоит из четырех частей: первая определяет область при­менения стандарта, вторая посвящена минимальным требованиям к достаточ­ности капитала, третья описывает банковский надзор и порядок взаимодействия банков с регулирующими органами, четвертая рассматривает рыночную дис­циплину.

БАНК

шШШШкШ

надзор

Минимальный капитал

Рыночная дисциплина

Рис. 7.1. Три столпа соглашения Basel I

При анализе достаточности капитала соглашение Basel II предлагает применять разнообразные, в том числе достаточно сложные, методы оценки рискованности активов (первый столп). Большое внимание также уделяется рыночной дисцип­лине, раскрытию информации и непосредственно процессу надзора (второй и трс­тми столпы). Авторитетные международные исследования1 показывают, что стра-ісгии регулирования, включающие в себя все три аспекта, должны повысить эф­фективность банковского регулирования (см. рис. 7.1).

II соглашении Basel I основным регулируемым показателем выступает коэффици­ст достаточности капитала, известный как коэффициент Кука. Он представляет собой отношение суммы основного и дополнительного капитала к величине акти­нон, взвешенных с учетом риска. Этот подход был почти без изменений перенесен и Basel II, а единственное новшество коснулось того, каким образом определяют­ся веса (уровни рисков) в портфеле активов банка. Дело в том, что соглашение Basel II рассматривает не два, как ранее, а три вида рисков, под которые осуществ-чяется резервирование капитала. К рыночным и кредитным рискам были добав­лены еще и операционные риски, которые теперь входят в знаменатель коэффи­циента Кука и играют существенную роль в измерении достаточности капитала.

І Іомимо этого, в соглашении Basel II сделан акцент на взаимодействии банков и ре-i у .пирующих органов, которое должно осуществляться не только в форме формаль­ных проверок, но и в форме диалога. Например, банк должен разработать процеду­ру оценки достаточности капитала по отношению к общему уровню рисков, а также мы работать стратегию по поддержанию капитала на достаточном уровне. Более того, .ідесь имеется в виду более широкий набор рисков, чем просто кредитные, рыноч­ные и операционные. К этому списку добавляются стратегические, репутационные и некоторые другие виды рисков. В свою очередь, регулирующий орган должен убе­диться в адекватности оценки банком достаточности капитала и в эффективности принятой стратегии по поддержанию капитала на необходимом уровне. При этом пыясняется, действительно ли учтены все существенные риски, соответствует ли с і ру ктура капитала условиям, сложившимся в экономике, отслеживает ли руковод-сі по банка показатели обеспеченности собственным капиталом и пр.

Структура операционных рисков в рамках Basel II

Согласно п. 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сої рудников и систем или внешних событий». Это определение включает юриди­ческий риск, но исключает стратегический и репутационный риски. Легко видеть, чю и определение операционных рисков попадают прежде всего действия инсай­деров (кража конфиденциальной информации, мошенничество, халатность и бе іл/ілберпость). Лучше разобраться в структуре операционных рисков позволяют ре.іу/їьтатьі исследования «Соглашение Basel II в России — 2006: операционные риски основная проблема банков». Компания InfoWatch и «І Іациоиллі.пьіМ Сит конский журнал» опросили более 30 российских банков и установили наиболее пиленые компоненты операционного риска (рис. 7.2). Заметим, что варианты Стіш

Ih'iumpsJ. I The Гінеє Pillarsol Basel II ()|>tііиі/іііц the Mix/J IV І )еспшрч,J. (', Кін lie!, И К оце і //Journal ol ГіпапсіаІ Intel iuedi.it inn     2ІЮА     Vol. Ill, issue 2     V Ш lf№ составлены точно в соответствии со структурой операционного риска в п. 644 со­глашения Basel II.

Риски убытков в результате неадекватных или ошибочных действий персонала

Риски убытков в результате неадекватных или ошибочных процессов

Риски убытков в результате неадекватных или ошибочных действий систем

91 \%

Риски убытков в результате внешних событий

12\%

0 \%       20 \%

Рис. 7.2. Наиболее опасные операционные риски

40 \%

60 \%

80 \%

100 \%

Таким образом, наиболее опасными являются риски, вызываемые действиями пер­сонала (91 \%) и внутренними процессами (62 \%). С большим отставанием следуют риски убытка в результате действий систем (35 \%) или внешних событий (12 \%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно не защищены именно от внутренних угроз. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. Это же относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35 \%) и персоналом (который пред­ставляет основную угрозу — так считает 91 \% респондентов).

Можно резюмировать: именно угрозы ИТ-безопасности, в особенности действия ин­сайдеров, представляют собой наиболее весомый компонент операционных рисков.

Связь Basel II со стандартом Банка России поИБ

26 января 2006 г. Банк России ввел в действие вторую версию своего стандар­та «Обеспечение информационной безопасности организаций банковской сис­темы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006)1. Данный стандарт предъявляет жесткие требования к системе И Б кредитно-фи­нансовых организаций для повышения эффективности управления операцион­ными рисками.

Ознакомиться со стандартом можно в «Вестнике Банка России» № () (870) от О'Л 02 2006: http://www.cbr.ru/vestnik/ves060203006.zip

Исследование «Соглашение Basel II в России — 2006: операционные риски — ос­новная проблема банков» показало, что именно операционные риски представля­ют для банков наибольшую проблему (рис. 7.3).

Организация частично готова.

Элементы комплексной системы используются на практике, но операционные риски неупраї

38 \%

50

Организация не готова.

Управление, ориентированное на риски, не применяется в организации

Организация частично готова/"

Элементы комплексной системы используются на практике, но управление операционными рисками осуществляется неэффективно

Рис. 7.3. Степень готовности российских банков к введению системы управления оморационными рисками

Так, ни один опрошенный банк не готов к внедрению системы управления опера­ционными рисками. При этом ровно половина респондентов (50 \%) практически ие использует риск-менеджмент вовсе, а более одной трети (38 \%) применяют лишь элементы комплексной системы управления рисками, но уверены, что управление операционными рисками осуществляется неэффективно.

Таким образом, именно операционные угрозы сегодня являются одним из наибо­лее серьезных препятствий на пути к созданию эффективной системы управления рисками. Понимая важность этой проблемы, Банк России выпустил свой стандарт но ИВ. Реализация положений этого стандарта позволяет адресовать самые опас­ные операционные риски — утечку конфиденциальной информации, искажение чувствительных отчетов и другие инсайдерские действия. Так, п. 5.4 стандарта Центробанка указывает: «Наибольшими возможностями для нанесения ущерба орі апизации... обладает ее собственный персонал...». Таким образом, главная зада­ча, которую авторы ставят перед организациями, — это именно защита от иисай-леров. При этом выполнение всех требований стандарта позволяет построить :»ф-фек шиную систему управления операционными рисками.

Методология измерения операционных рисков

( о| ласно н. (ИГ), соглашение Basel II представляет три метода расчета требований К КМ шпалу под операционным риск с учпом воарасіаніпі сложности и чуиспіиіелммміи риска: базовый индикативный подход, стандартизованный подход и продвинутые под­ходы (AMА). Предполагается, что банки будут перемещаться вдоль цепочки возмож­ных подходов но мерс разработки более продвинутых систем и практики измерения операционной» риска. 11ри этом выбор конкретной методики не всегда является преро­гативой самот банка. В случае если банк является международным или имеет значи­тельные операционные риски (например, если это специализированный процессинго-вый институт), реіулирующий орган, согласно п. 647, обязывает его использовать более продвинутую методику по сравнению с базовым подходом. Следует также отметить, что после получения банком разрешения на использование продвинутой методики ему уже і іе будет і юзволено по своему усмотрению (без разрешения органа надзора) возвращать­ся к более простому подходу.

Самой простой методикой является базовый индикативный подход. Согласно п. 649, в рамках этой методологии банки должны поддерживать капитал под опе­рационный риск, равный среднему показателю за предыдущие три года, выражен­ному в фиксированных процентах положительного ежегодного валового дохода. Показатели за любой год, в котором ежегодный валовой доход был отрицательным или нулевым, должны исключаться как из знаменателя, так и из числителя при расчете среднего значения.

Базельский комитет не указывает никаких конкретных исходных условий исполь­зования базового индикативного подхода для расчета капитала. Тем не менее бан­ки, использующие данный подход, должны удовлетворять нормативу «Надежная практика управления и надзора за операционными рисками» от февраля 2003 г.

Чтобы перейти к стандартизованному подходу, банк, согласно п. 660, должен до­казать органам надзора, что он удовлетворяет трем основным условиям. Во-пер­вых, совет директоров и старший менеджмент банка активно участвуют в надзоре за механизмом управления операционными рисками. Во-вторых, банк имеет кон­цептуально надежную и адекватно реализованную систему управления операци­онными рисками. В-третьих, банк имеет достаточные ресурсы для использования подхода в основных бизнес-линиях1, а также в области контроля и аудита.

Формальные требования для усовершенствованной методики (АМА) отличаются от перечисленных выше условий тем, что система управления операционными рисками должна быть не просто «адекватно реализованной», а «полностью вне­дренной» (п. 664). При этом банк должен иметь независимое подразделение (функ­цию), отвечающее за разработку и внедрение механизма управления операцион­ными рисками. Помимо этого внутрибанковская система оценки операционных рисков должна быть тесно интегрирована с текущими процессами управления рисками в банке, а ее результаты — составлять неотъемлемую часть процесса мо­ниторинга и контроля структуры операционных рисков банка. Например, эта ин­формация должна играть существенную роль при составлении отчетов о рисках, управленческих отчетов, внутреннем распределении капитала и анализе рисков.

1    Принципы распределения видов деятельности банка по бизнес-линиям изложены в при­ложении 6 соглашения Basel П.

Использование продвинутой методики (АМА) также предполагает регулярное представление отчетности об операционных рисках и убытках менеджменту бизнес­подразделений, старшему менеджменту и совету директоров. Банк должен иметь процедуру принятия мер в соответствии с информацией, содержащейся в управлен­ческих отчетах. Следовательно, банковская система управления операционными рисками должна быть хорошо документирована, а сам банк должен иметь механизм соблюдения документированных внутренних стратегий, процедур контроля и управ­ления операционными рисками, включая меры на случай их несоблюдения.

Особую роль Базельский комитет отводит внутренним или внешним аудиторам, коюрые должны регулярно проверять процессы управления и системы оценок опе­рационных рисков. При этом проверяется деятельность как бизнес-подразделений, пік и самостоятельного подразделения по управлению операционным риском.

И целом соглашение Basel II признает, что методика AM А обеспечивает банкам значительную гибкость в развитии систем оценки и управления операционным риском. При разработке данных систем банки должны иметь надежные процеду­ры разработки и независимой прове-рки модели операционных рисков.

Влияние Basel II на конкурентоспособность банка

(Невидно, что реализация положений Basel II в сфере управления рисками требует со стороны банка серьезных инвестиций. Тем не менее эти расходы не следует рас­сматривать в качестве бесполезных издержек. В самом деле, существенную часть ин-вестиций каждому банку все равно пришлось бы вложить в повышение эффективно-сіп своей внутренней инфраструктуры. Кроме того, принципы управления рисками, проповедуемые соглашением Basel II, призваны существенно повысить конкурен­ти юсобность как всего финансового сектора, так и каждого банка в отдельности. 11о крайней мере, именно так российские банки воспринимают соглашение Basel II.

Исследование «Соглашение Basel II в России — 2006: операционные риски — основная проблема банков» показало, что отечественные банки в целом (73 \%) воспринимают соглашение Basel II с энтузиазмом. Респонденты уверены, что вве­дение Basel II приведет к повышению конкурентоспособности всего российского финансового сектора (рис. 7.4).

Ьолее того, подавляющее большинство опрошенных банков (79 \%) считает, что ( оиместимость с Basel II будет способствовать повышению их конкурентоспособ­ное! и по сравнению с теми банками, которые не реализовали принципы Basel II пл практике (рис. 7.5).

I ем не менее формальная совместимость с Basel II вряд ли приведет к скачкообразно мv повышению конкурентоспособности банка. Например, применение базовой ипди кл іннной методики расчета операционного риска не потребует от банка внедрении комплексной системы управления этим риском, но приведет к увеличению объемов ре котируемого капитала. Более того, на фоне других бзиков, которые построй/ш сие іемv управления операционным риском и поэтому могут воспользоваться более гоч пой методикой оценки риска (стандартизованным или продвинутым подходом), при мепеппе базовой схемы можеі даже огрпца іс/імю сказа і вен па репу гацип банки

Нет, аб(

Скорее нет, чем да

ІІЇЯ ,гг,

Скорее да, чем нет \%

Ж1 I

1

,   Только крупные банки повысят свою конкурентоспособность

Рис. 7.4. Влияние Basel II на конкурентоспособность банковского сектора в целом

Затруднились отвеїить

щ

Скорее нет» 1

І ■

Нет, абсолютно

уверен

Да, абсолютно уверен

I

Скоре да» 1

Рис. 7.5. Влияние Basel II на конкурентоспособность каждого конкретного банка

Следует также отметить, что использование более сложных методик расчета опе­рационных рисков, например АМА, позволяет существенно снизить требования к достаточности капитала и, следовательно, сэкономить на объемах резервируемого капитала.

Таким образом, повышение конкурентоспособности банка в связи с принятием соглашения Basel II следует связывать только с использованием стандартизован­ных или продвинутых (АМА) подходов к оценке операционных рисков. Хотя для этого требуется создание всесторонней и эффективной системы управления рис­ками, инвестиции в нее легко окупятся за счет снижения требований к достаточ­ности капитала.

Репутационные риски в рамках Basel II

( огласно п. 644 соглашения Basel II, репутационные риски не входят в состав опе­рационных. Следовательно, эти риски не влияют на коэффициент Кука и требова­ния к достаточности капитала. Далее, в п. 732 Базельский комитет указывает, что «н процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк». Согласно п. 742, в состав этих «существен­ных рисков» обязательно должны входить репутационные риски. Хотя Базельский комитет признает, что этот вид рисков «нелегко поддается измерению», он все же рекомендует разработать способы управления репутационным риском. Таким обра-.юм, от банков требуется приложить все усилия, чтобы обеспечить максимально аффективное управление, в том числе репутационными рисками.

( ./іедует отметить связь операционных и репутационных рисков. Например, ус­пешная реализация многих инсайдерских угроз, которые напрямую относятся к операционным (согласно п. 644), может привести к дополнительным отрица-іедьньїм последствиям в виде ущерба имиджу и потери репутации. Если произой­дет утечка конфиденциальной информации, инсайдеры ограбят клиентов банка н і д., то об этом может стать известно широкой общественности. В результате имидж компании будет испорчен, что приведет к сокращению клиентской базы и сниже­нию прибылей. Другими словами, репутационные риски могут быть прямым след-(I вием реализации операционных угроз. Однако, как показало исследование «Со-I /кипение Basel II в России — 2006», если операционными рисками отечественные блики хотя бы пытаются управлять, то с репутационными — дело обстоит намно-ю хуже (рис. 7.6).

Да» включает 3 \%

)ее да, чем нет

Скорее нет, чек                                                                    11 і І

Нет, не включает

Иис. 7.6. Управление репутационными рисками в российских банках

()|ппы показали, что управление репутационными рисками практически не осу щг< пишется Подавляющее большинство респондентов (8()°п) вообще не учи Mil пліч vi розы своей репутации. 11о мнению аналитического цет pa InloWaleli, і икс н* пгшшмаппс к угрозам для сік хм і рему гацпп вызвано прежде всего іем, ч ю < еі одни па и к н не обязаны оновеїца і ь общее і венное і в о реализации операционных VI рт

Например, если финансовая компания выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные пользователей, то она не ста­нет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответа, однако и банки берегут свою ре­путацию. Тем не менее развитие российской законодательной базы рано или поздно приведет к тому, что все подобные инциденты станут полностью прозрачными, как для правоохранительных органов, так и для прессы. При этом опыт использования такого законодательства в Европе и США говорит о том, что это случится скорее рано, чем поздно.

Таким образом, хотя Базельский комитет по банковскому надзору не предостав­ляет конкретных методик расчета репутационных рисков и не включает их в ко­эффициент достаточности капитала, он все-таки требует обеспечить максимально эффективное управление этим видом рисков. С учетом полной неготовности рос­сийских банков удовлетворить это требование, репутационные риски способны привести к значительным потерям, например, в результате успешной реализации операционных угроз.

Итоги

Требования по управлению рисками и резервированию капитала соглашения Basel II довольно объемны и сложны в реализации. Особенные проблемы могут возникнуть у кредитно-финансовых организаций при попытке взять под контроль операционные риски, в которые входят угрозы И Б. Более того, в рамках операци­онного риска особенно выделяются внутренние угрозы И Б, так как они способны нанести максимальный вред организации.

Чтобы управлять внутренними рисками ИБ, банку следует внедрить стандарт ЦБ по ИБ. По сути, Банк России специально предложил свой стандарт в качестве дорожной карты, с помощью которой банки могут наиболее эффективно войти в Basel II и взять под контроль операционный риск.