Риск-ориентированный подход как основной вектор развития безопасности банковского сектора

Банковский сектор является ключевым элементом любой экономики и обеспечивает непрерывность её функционирования. И его устойчивость – необходимое условие функционирования экономики и экономической безопасности. Что может угрожать банковской системе? Риски – кредитные, рыночные, процентные, операционные, валютные, фондовые, страновые и риски ликвидности.

В эпоху глобализации финансовых услуг банковская система подвержена значительному числу рисков, как внешних, так и внутренних, которые непосредственно связаны с её деятельностью. Об их влиянии можно судить по показателям на 1 января 2022 года крупнейших банков РФ, занимающих с 1 по 30 места по размеру активов. Например, значение кредитного риска для данной категории банков составило 6,5 трлн рублей (в январе 2020 года – 5,5 трлн руб.), процентного риска – более 200 млрд рублей (в январе 2020 года 170 млрд рублей), фондового и валютного риска совокупно 100 млрд рублей (январь 2020 года 70 млрд рублей). Если сравнить цифры с доковидными показателями, мы увидим, что относительно января 2020 года оцененный уровень риска вырос на 30%. В целом же, совокупный оценённый уровень банковских рисков составляет более 15 трлн рублей в год.

В письме Центрального банка РФ от 23.06.2004 № 70-Т даётся следующая оценка: «Банковские риски – присущая банковской деятельности возможность (вероятность) понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления неблагоприятных событий, связанных с внутренними факторами (сложность организационной структуры, уровень квалификации служащих, организационные изменения и т.д.) и (или) внешними факторами (изменение экономических условий деятельности кредитной организации, применяемые технологии и т. д.)».

Один из основных инструментов управления банковскими рисками – применение закреплённых в национальном законодательстве требований к капиталу банков. Вот уже несколько лет международное сообщество работает над выработкой единых требований к банковскому капиталу, технических аспектов его расчёта, а также принципов надзорной деятельности государственных регуляторов за исполнением данных требований. В частности, в целях методической унификации по управлению банковскими рисками была проведена работа Базельским комитетом по банковскому надзору (БКБН). Разработанные стандарты Базель I, II, III на основе опыта и изучения рисков предполагают следующие требования для банковской сферы:

Требования к системе управления рисками, бизнес-процессами и необходимость надзора за ними должны в идеале повысить эффективность и устойчивость банковской системы.

В области регулирования операционными рисками основным документом является Положение 716-П Банка России. Если для кредитных и рыночных рисков у российских банков есть отработанные механизмы и эффективные методики, которые позволяют регулировать уровень риска, включая его в банковскую процентную ставку, то в области управления операционными рисками – очевидный пробел. Это в основном связано с тем, что внедрение Базеля II не было достаточно полностью осуществлено в данном направлении, а переход на Базель III в областиоперационных рисков происходит динамично, и банки не успевают перестраивать свои системы управления рисками.

Исходя из показателей деятельности российских банков за последние 3 года, уровень операционного риска в соответствии с методикой расчета 716-П ориентировочно составляет 12 трлн рублей в год. Можно взять для примера ПАО «Сбербанк». В официальном отчёте уровень операционного риска рассчитан в размере 3,6 трлн рублей по состоянию на 1 января 2021 года, при общем уровне риска 32 трлн рублей.

Все существующие показатели свидетельствуют, что банковскому сектору требуется повысить устойчивость к влиянию операционных рисков. Введение требований ЦБ РФ направлено на то, чтобы банки уделяли им повышенное внимание, фокусируясь, прежде всего, на информационных системах и информационной безопасности.

Кредитным организациям необходимо выделять отдельный капитал для покрытия возможных убытков от реализации рисков, который может быть рассчитан (в соответствии с 716-П) на основе нормативных показателей (регулятивный подход), либо на основе оценки величин потерь, возникающих в результате наступления риска (продвинутый подход). Расчёт выделяемого капитала оценивается, исходя из накопленных данных по рискам информационной безопасности и операционных рисков на период от 3 до 10 лет.

Продвинутый подход выглядит предпочтительнее, поскольку позволяет банковским кредитным организациям выделять необходимый уровень капитала на покрытие рисков с его ежегодной корректировкой. Регулятивный подход основывается на относительно высоком уровне выделении капитала на покрытие возможных операционных рисков, причём отдельно рассчитываются величины компенсаций на операционные риски и информационную безопасность, определяемых, в том числе, и на сценарном методе.

716-П под операционным риском понимает риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.

В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков, связанных с основными направлениями деятельности банковских кредитных организаций. Речь идёт о рисках ИТ-сферы (информационной системы и безопасности), управленческих (управление проектами, процессами, персоналом и т.д.), нефинансовых (включая правовой, а также нарушение кодексов профэтики, практик и правил поведения), плюс отдельно – риски платёжной системы и модельный (оценка уровня рисков).

Особыми пунктами выделяются риски информационной системы и информационной безопасности, что говорит о росте важности данных рисков для деятельности банковских коммерческих организаций.

Требования ЦБ РФ по управлению операционными рисками отличаются для разных кредитных организаций. Более полными являются те, что предназначены для банковских кредитных организаций с универсальной лицензией с активами более 500 млрд рублей. Существуют некоторые «послабления» для банков с размером активов менее 500 млрд, с базовой лицензией, а также для небанковских кредитных организаций, в том числе платёжных. Тем не менее, у всех кредитных организаций должна быть проработана политика и процедуры управления операционными рисками, которая позволят повысить эффективность и систематизировать риск-менеджмент всей банковской системы страны.

Отдельно стоит сказать о введении Положения 744П ЦБ РФ, которое определяет порядок расчёта размера и формы отчётности кредитных организаций по уровню операционного риска. Разработанная методика отчётности основывается на корректном и полном ведении базы событий операционных рисков.

Документами, направленными на повышение эффективности системы управления операционными рисками, являются также 787П для банковских кредитных организаций и 779П для некредитных финансовых организаций. Их основные требования направлены на обеспечение бесперебойной работы технологических процессов. И выполнить их можно через создание технологических процессов и информационной инфраструктуры, планомерное тестирование её защищённости и конфигурации, а также посредством предотвращения возможных сценариев остановки и деградации технологических процессов.

Активность властей в данном направлении свидетельствует о том, что государство заинтересовано в надёжной и бесперебойной работе финансовой системы, а также в том, чтобы решения, принимаемые на всех уровнях управления в кредитных организациях, были бы риск-ориентированы. Это способствует тому, чтобы банковское сообщество в целом ориентировалось не только на доходность принимаемых решений, но и на потенциальные риски. И в перспективе позволит банковскому сектору не переходить из зоны допустимого и приемлемого уровня рисков взоны катастрофического риска, когда потенциально рентабельные решения могут привести к потерям прямым и косвенным выше ожидаемой прибыли.

На сайте ЦБ РФ ведутся разъяснения требований в области рисков в формате вопросов-ответов. Регулятор совместно с банковским сектором выработал Указания 6103-У, опубликованные 30 августа 2022 года, вносящие изменения в 716-П, в которых учтён опыт выполнения требований к управлению операционными рисками, а также систематизированы документы и требования к ним, доработана методология оценки операционных рисков. Ещё больше внимания уделяется рискам ИС и ИБ, а также взаимодействию с третьими лицами, участвующими в обеспечении процессов кредитных организаций.

Для того, чтобы система управления операционными рисками работала и отвечала требованиям ЦБ РФ, необходимо сделать следующее:

Безусловно, важным является вопрос стоимости разработки и внедрения СУОР для банковских кредитных организаций. Для крупных банков ориентировочная стоимость задействованных ресурсов на создание СУОР оценивается 20–100 млн рублей, для относительно небольших – от 2 до 30 млн рублей.

Однако можно не сомневаться, что в краткосрочной и долгосрочной перспективе инвестиции в управление рисками окупятся за счёт снижения уровня угроз и обеспечения бесперебойного функционирования. И постепенное развитие инициатив в данной сфере приведёт к повышению эффективности и безопасности банковской системы страны в соответствии с мировыми стандартами.