Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 797 |
Глава 7
Соглашение Basel II Основные положения Три столпа Basel II Структура операционных рисков в рамках Basel II Связь Basel II со стандартом Банка России по ИБ Методология измерения операционных рисков Влияние Basel II на конкурентоспособность банка Репутационные риски в рамках Basel II Итоги {оглашение Basel II («Международная конвергенция измерения капитала и стан* Мартов капитала: новые подходы») является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Basel II предъявляет требования н минимальному размеру банковского капитала: организации обязаны оценивать one-рационные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и І іидии. В 2009 г. к соглашению планирует присоединиться Россия. Ніорая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Однако, исходя из неоднократных исследований российского кредитно финансового сектора и опыта стран «Большой десятки», именно управление операционными рисками представляет для банков наибольшую сложность. Кроме того, низкая эффективность приуправлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять. Для полноценной реализации принципов Basel II требуется реализовать комплексную систему управления операционными рисками, внедрить соответствующие информационные и аналитические системы, провести ряд организационных мероприятий и многое другое. Попытка решить все эти задачи собственными силами обходится слишком дорого. Более того, построенная в результате система управления операционными и репутационными рисками далеко не всегда будет досіаточно эффективной, чтобы позволить банку применять продвинутые методики оценки рисков. Как следствие, банку придется резервировать большее количество капитала под эти риски, что отрицательно скажется на его конкурентоспособности. Между тем привлечение внешнего партнера, специализирующегося на мы под нении подобного рода проектов и обладающего соответствующей кадровой и іехпической базой, позволяет существенно снизить объемы инвестирования и іараптировать высокую эффективность результата.
Основные положения Первое соглашение (Basel Capital Accord, далее Basel I) было опубликовано Ба-іедьеким комитетом по банковскому надзору в 1988 г., что существенно повлияло на развитие глобальной банковской системы. Положения Basel I легли в основу Панковского регулирования и надзора практически во всем мире, включая Россию. Дальнейшее развитие эти принципы получили в соглашении Basel II. < ( ередииы 1990-х гг. Базельский комитет активно занимался совершспстиоиапи • м принципов регулирования. Эта работа была завершена к 2004 г., что озпамепо n.i'iocii публикацией следующей итерации соглашения - Basel II. Фупдамепіаль їм.їм характер основных требований нового стандарта вызвал горячие дискуссии и мировом банковском сообществе, в первую очередь іі странах <*Ьочыпой десяі ні« Ие/іпкобрп танин, США, Франции, Германии, 111 иеіщарпи, Нидерландах, 1кж< ембуріе, Японии, Бельгии и Канаде, Более mm, Ііа.іелі.скиіі компіеі при.шал и нре/іпелоппн ко иіороп версии сої лишении, чю реализации положенні! лою нормативного акта может не являться основным приоритетом для стран, не входящих в «Большую десятку», по крайней мере, в краткосрочном плане. Тем не менее очевидно, что всем странам придется рано или поздно считаться с требованиями Basel II, а некоторые положения будет необходимо реализовать уже в ближайшем будущем. В противном случае государство и его национальная банковская система рискуют оказаться на периферии мировой финансовой системы. Таким образом, уже в 2009 г. российским банкам придется удовлетворить требованиям Basel II.
Три столпа Basel II Три столпа (pillars) соглашения Basel II — это требования к минимальному размеру банковского капитала, банковский надзор и рыночная дисциплина (рис. 7.1). Само соглашение состоит из четырех частей: первая определяет область применения стандарта, вторая посвящена минимальным требованиям к достаточности капитала, третья описывает банковский надзор и порядок взаимодействия банков с регулирующими органами, четвертая рассматривает рыночную дисциплину.
БАНК
шШШШкШ
надзор
Минимальный капитал Рыночная дисциплина
Рис. 7.1. Три столпа соглашения Basel I При анализе достаточности капитала соглашение Basel II предлагает применять разнообразные, в том числе достаточно сложные, методы оценки рискованности активов (первый столп). Большое внимание также уделяется рыночной дисциплине, раскрытию информации и непосредственно процессу надзора (второй и трстми столпы). Авторитетные международные исследования1 показывают, что стра-ісгии регулирования, включающие в себя все три аспекта, должны повысить эффективность банковского регулирования (см. рис. 7.1). II соглашении Basel I основным регулируемым показателем выступает коэффицист достаточности капитала, известный как коэффициент Кука. Он представляет собой отношение суммы основного и дополнительного капитала к величине актинон, взвешенных с учетом риска. Этот подход был почти без изменений перенесен и Basel II, а единственное новшество коснулось того, каким образом определяются веса (уровни рисков) в портфеле активов банка. Дело в том, что соглашение Basel II рассматривает не два, как ранее, а три вида рисков, под которые осуществ-чяется резервирование капитала. К рыночным и кредитным рискам были добавлены еще и операционные риски, которые теперь входят в знаменатель коэффициента Кука и играют существенную роль в измерении достаточности капитала. І Іомимо этого, в соглашении Basel II сделан акцент на взаимодействии банков и ре-i у .пирующих органов, которое должно осуществляться не только в форме формальных проверок, но и в форме диалога. Например, банк должен разработать процедуру оценки достаточности капитала по отношению к общему уровню рисков, а также мы работать стратегию по поддержанию капитала на достаточном уровне. Более того, .ідесь имеется в виду более широкий набор рисков, чем просто кредитные, рыночные и операционные. К этому списку добавляются стратегические, репутационные и некоторые другие виды рисков. В свою очередь, регулирующий орган должен убедиться в адекватности оценки банком достаточности капитала и в эффективности принятой стратегии по поддержанию капитала на необходимом уровне. При этом пыясняется, действительно ли учтены все существенные риски, соответствует ли с і ру ктура капитала условиям, сложившимся в экономике, отслеживает ли руковод-сі по банка показатели обеспеченности собственным капиталом и пр.
Структура операционных рисков в рамках Basel II Согласно п. 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сої рудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Легко видеть, чю и определение операционных рисков попадают прежде всего действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и бе іл/ілберпость). Лучше разобраться в структуре операционных рисков позволяют ре.іу/їьтатьі исследования «Соглашение Basel II в России — 2006: операционные риски основная проблема банков». Компания InfoWatch и «І Іациоиллі.пьіМ Сит конский журнал» опросили более 30 российских банков и установили наиболее пиленые компоненты операционного риска (рис. 7.2). Заметим, что варианты Стіш
Ih'iumpsJ. I The Гінеє Pillarsol Basel II ()|>tііиі/іііц the Mix/J IV І )еспшрч,J. (', Кін lie!, И К оце і //Journal ol ГіпапсіаІ Intel iuedi.it inn 2ІЮА Vol. Ill, issue 2 V Ш lf№ составлены точно в соответствии со структурой операционного риска в п. 644 соглашения Basel II.
Риски убытков в результате неадекватных или ошибочных действий персонала Риски убытков в результате неадекватных или ошибочных процессов Риски убытков в результате неадекватных или ошибочных действий систем
91 \%
Риски убытков в результате внешних событий
12\%
0 \% 20 \% Рис. 7.2. Наиболее опасные операционные риски
40 \%
60 \%
80 \%
100 \%
Таким образом, наиболее опасными являются риски, вызываемые действиями персонала (91 \%) и внутренними процессами (62 \%). С большим отставанием следуют риски убытка в результате действий систем (35 \%) или внешних событий (12 \%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно не защищены именно от внутренних угроз. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. Это же относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35 \%) и персоналом (который представляет основную угрозу — так считает 91 \% респондентов). Можно резюмировать: именно угрозы ИТ-безопасности, в особенности действия инсайдеров, представляют собой наиболее весомый компонент операционных рисков.
Связь Basel II со стандартом Банка России поИБ 26 января 2006 г. Банк России ввел в действие вторую версию своего стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2006)1. Данный стандарт предъявляет жесткие требования к системе И Б кредитно-финансовых организаций для повышения эффективности управления операционными рисками.
Ознакомиться со стандартом можно в «Вестнике Банка России» № () (870) от О'Л 02 2006: http://www.cbr.ru/vestnik/ves060203006.zip Исследование «Соглашение Basel II в России — 2006: операционные риски — основная проблема банков» показало, что именно операционные риски представляют для банков наибольшую проблему (рис. 7.3). Организация частично готова. Элементы комплексной системы используются на практике, но операционные риски неупраї
38 \%
50
Организация не готова. Управление, ориентированное на риски, не применяется в организации
Организация частично готова/" Элементы комплексной системы используются на практике, но управление операционными рисками осуществляется неэффективно Рис. 7.3. Степень готовности российских банков к введению системы управления оморационными рисками Так, ни один опрошенный банк не готов к внедрению системы управления операционными рисками. При этом ровно половина респондентов (50 \%) практически ие использует риск-менеджмент вовсе, а более одной трети (38 \%) применяют лишь элементы комплексной системы управления рисками, но уверены, что управление операционными рисками осуществляется неэффективно. Таким образом, именно операционные угрозы сегодня являются одним из наиболее серьезных препятствий на пути к созданию эффективной системы управления рисками. Понимая важность этой проблемы, Банк России выпустил свой стандарт но ИВ. Реализация положений этого стандарта позволяет адресовать самые опасные операционные риски — утечку конфиденциальной информации, искажение чувствительных отчетов и другие инсайдерские действия. Так, п. 5.4 стандарта Центробанка указывает: «Наибольшими возможностями для нанесения ущерба орі апизации... обладает ее собственный персонал...». Таким образом, главная задача, которую авторы ставят перед организациями, — это именно защита от иисай-леров. При этом выполнение всех требований стандарта позволяет построить :»ф-фек шиную систему управления операционными рисками.
Методология измерения операционных рисков ( о| ласно н. (ИГ), соглашение Basel II представляет три метода расчета требований К КМ шпалу под операционным риск с учпом воарасіаніпі сложности и чуиспіиіелммміи риска: базовый индикативный подход, стандартизованный подход и продвинутые подходы (AMА). Предполагается, что банки будут перемещаться вдоль цепочки возможных подходов но мерс разработки более продвинутых систем и практики измерения операционной» риска. 11ри этом выбор конкретной методики не всегда является прерогативой самот банка. В случае если банк является международным или имеет значительные операционные риски (например, если это специализированный процессинго-вый институт), реіулирующий орган, согласно п. 647, обязывает его использовать более продвинутую методику по сравнению с базовым подходом. Следует также отметить, что после получения банком разрешения на использование продвинутой методики ему уже і іе будет і юзволено по своему усмотрению (без разрешения органа надзора) возвращаться к более простому подходу. Самой простой методикой является базовый индикативный подход. Согласно п. 649, в рамках этой методологии банки должны поддерживать капитал под операционный риск, равный среднему показателю за предыдущие три года, выраженному в фиксированных процентах положительного ежегодного валового дохода. Показатели за любой год, в котором ежегодный валовой доход был отрицательным или нулевым, должны исключаться как из знаменателя, так и из числителя при расчете среднего значения. Базельский комитет не указывает никаких конкретных исходных условий использования базового индикативного подхода для расчета капитала. Тем не менее банки, использующие данный подход, должны удовлетворять нормативу «Надежная практика управления и надзора за операционными рисками» от февраля 2003 г. Чтобы перейти к стандартизованному подходу, банк, согласно п. 660, должен доказать органам надзора, что он удовлетворяет трем основным условиям. Во-первых, совет директоров и старший менеджмент банка активно участвуют в надзоре за механизмом управления операционными рисками. Во-вторых, банк имеет концептуально надежную и адекватно реализованную систему управления операционными рисками. В-третьих, банк имеет достаточные ресурсы для использования подхода в основных бизнес-линиях1, а также в области контроля и аудита. Формальные требования для усовершенствованной методики (АМА) отличаются от перечисленных выше условий тем, что система управления операционными рисками должна быть не просто «адекватно реализованной», а «полностью внедренной» (п. 664). При этом банк должен иметь независимое подразделение (функцию), отвечающее за разработку и внедрение механизма управления операционными рисками. Помимо этого внутрибанковская система оценки операционных рисков должна быть тесно интегрирована с текущими процессами управления рисками в банке, а ее результаты — составлять неотъемлемую часть процесса мониторинга и контроля структуры операционных рисков банка. Например, эта информация должна играть существенную роль при составлении отчетов о рисках, управленческих отчетов, внутреннем распределении капитала и анализе рисков. 1 Принципы распределения видов деятельности банка по бизнес-линиям изложены в приложении 6 соглашения Basel П. Использование продвинутой методики (АМА) также предполагает регулярное представление отчетности об операционных рисках и убытках менеджменту бизнесподразделений, старшему менеджменту и совету директоров. Банк должен иметь процедуру принятия мер в соответствии с информацией, содержащейся в управленческих отчетах. Следовательно, банковская система управления операционными рисками должна быть хорошо документирована, а сам банк должен иметь механизм соблюдения документированных внутренних стратегий, процедур контроля и управления операционными рисками, включая меры на случай их несоблюдения. Особую роль Базельский комитет отводит внутренним или внешним аудиторам, коюрые должны регулярно проверять процессы управления и системы оценок операционных рисков. При этом проверяется деятельность как бизнес-подразделений, пік и самостоятельного подразделения по управлению операционным риском. И целом соглашение Basel II признает, что методика AM А обеспечивает банкам значительную гибкость в развитии систем оценки и управления операционным риском. При разработке данных систем банки должны иметь надежные процедуры разработки и независимой прове-рки модели операционных рисков.
Влияние Basel II на конкурентоспособность банка (Невидно, что реализация положений Basel II в сфере управления рисками требует со стороны банка серьезных инвестиций. Тем не менее эти расходы не следует рассматривать в качестве бесполезных издержек. В самом деле, существенную часть ин-вестиций каждому банку все равно пришлось бы вложить в повышение эффективно-сіп своей внутренней инфраструктуры. Кроме того, принципы управления рисками, проповедуемые соглашением Basel II, призваны существенно повысить конкуренти юсобность как всего финансового сектора, так и каждого банка в отдельности. 11о крайней мере, именно так российские банки воспринимают соглашение Basel II. Исследование «Соглашение Basel II в России — 2006: операционные риски — основная проблема банков» показало, что отечественные банки в целом (73 \%) воспринимают соглашение Basel II с энтузиазмом. Респонденты уверены, что введение Basel II приведет к повышению конкурентоспособности всего российского финансового сектора (рис. 7.4). Ьолее того, подавляющее большинство опрошенных банков (79 \%) считает, что ( оиместимость с Basel II будет способствовать повышению их конкурентоспособное! и по сравнению с теми банками, которые не реализовали принципы Basel II пл практике (рис. 7.5). I ем не менее формальная совместимость с Basel II вряд ли приведет к скачкообразно мv повышению конкурентоспособности банка. Например, применение базовой ипди кл іннной методики расчета операционного риска не потребует от банка внедрении комплексной системы управления этим риском, но приведет к увеличению объемов ре котируемого капитала. Более того, на фоне других бзиков, которые построй/ш сие іемv управления операционным риском и поэтому могут воспользоваться более гоч пой методикой оценки риска (стандартизованным или продвинутым подходом), при мепеппе базовой схемы можеі даже огрпца іс/імю сказа і вен па репу гацип банки
Нет, аб(
Скорее нет, чем да ІІЇЯ ,гг,
Скорее да, чем нет \% Ж1 I
1
, Только крупные банки повысят свою конкурентоспособность
Рис. 7.4. Влияние Basel II на конкурентоспособность банковского сектора в целом
Затруднились отвеїить щ Скорее нет» 1 І ■
Нет, абсолютно уверен Да, абсолютно уверен
I
Скоре да» 1
Рис. 7.5. Влияние Basel II на конкурентоспособность каждого конкретного банка Следует также отметить, что использование более сложных методик расчета операционных рисков, например АМА, позволяет существенно снизить требования к достаточности капитала и, следовательно, сэкономить на объемах резервируемого капитала. Таким образом, повышение конкурентоспособности банка в связи с принятием соглашения Basel II следует связывать только с использованием стандартизованных или продвинутых (АМА) подходов к оценке операционных рисков. Хотя для этого требуется создание всесторонней и эффективной системы управления рисками, инвестиции в нее легко окупятся за счет снижения требований к достаточности капитала. Репутационные риски в рамках Basel II ( огласно п. 644 соглашения Basel II, репутационные риски не входят в состав операционных. Следовательно, эти риски не влияют на коэффициент Кука и требования к достаточности капитала. Далее, в п. 732 Базельский комитет указывает, что «н процессе оценки достаточности капитала должны учитываться все существенные риски, с которыми сталкивается банк». Согласно п. 742, в состав этих «существенных рисков» обязательно должны входить репутационные риски. Хотя Базельский комитет признает, что этот вид рисков «нелегко поддается измерению», он все же рекомендует разработать способы управления репутационным риском. Таким обра-.юм, от банков требуется приложить все усилия, чтобы обеспечить максимально аффективное управление, в том числе репутационными рисками. ( ./іедует отметить связь операционных и репутационных рисков. Например, успешная реализация многих инсайдерских угроз, которые напрямую относятся к операционным (согласно п. 644), может привести к дополнительным отрица-іедьньїм последствиям в виде ущерба имиджу и потери репутации. Если произойдет утечка конфиденциальной информации, инсайдеры ограбят клиентов банка н і д., то об этом может стать известно широкой общественности. В результате имидж компании будет испорчен, что приведет к сокращению клиентской базы и снижению прибылей. Другими словами, репутационные риски могут быть прямым след-(I вием реализации операционных угроз. Однако, как показало исследование «Со-I /кипение Basel II в России — 2006», если операционными рисками отечественные блики хотя бы пытаются управлять, то с репутационными — дело обстоит намно-ю хуже (рис. 7.6).
Да» включает 3 \% )ее да, чем нет Скорее нет, чек 11 і І
Нет, не включает Иис. 7.6. Управление репутационными рисками в российских банках ()|ппы показали, что управление репутационными рисками практически не осу щг< пишется Подавляющее большинство респондентов (8()°п) вообще не учи Mil пліч vi розы своей репутации. 11о мнению аналитического цет pa InloWaleli, і икс н* пгшшмаппс к угрозам для сік хм і рему гацпп вызвано прежде всего іем, ч ю < еі одни па и к н не обязаны оновеїца і ь общее і венное і в о реализации операционных VI рт Например, если финансовая компания выявит инсайдера, пытавшегося совершить мошенничество или продававшего приватные данные пользователей, то она не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответа, однако и банки берегут свою репутацию. Тем не менее развитие российской законодательной базы рано или поздно приведет к тому, что все подобные инциденты станут полностью прозрачными, как для правоохранительных органов, так и для прессы. При этом опыт использования такого законодательства в Европе и США говорит о том, что это случится скорее рано, чем поздно. Таким образом, хотя Базельский комитет по банковскому надзору не предоставляет конкретных методик расчета репутационных рисков и не включает их в коэффициент достаточности капитала, он все-таки требует обеспечить максимально эффективное управление этим видом рисков. С учетом полной неготовности российских банков удовлетворить это требование, репутационные риски способны привести к значительным потерям, например, в результате успешной реализации операционных угроз.
Итоги Требования по управлению рисками и резервированию капитала соглашения Basel II довольно объемны и сложны в реализации. Особенные проблемы могут возникнуть у кредитно-финансовых организаций при попытке взять под контроль операционные риски, в которые входят угрозы И Б. Более того, в рамках операционного риска особенно выделяются внутренние угрозы И Б, так как они способны нанести максимальный вред организации. Чтобы управлять внутренними рисками ИБ, банку следует внедрить стандарт ЦБ по ИБ. По сути, Банк России специально предложил свой стандарт в качестве дорожной карты, с помощью которой банки могут наиболее эффективно войти в Basel II и взять под контроль операционный риск. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения