Оценка операционного риска ОАО «Сбербанк России»

Анализ базовых видов операционных рисков коммерческого банка проводится по следующей методике:

1. Идентификация рисков.

Первый шаг в анализе рисков - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако, не забывая о возможности захвата террористами), но в пределах выбранных видов провести максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты.

2. Оценка вероятности осуществления.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

3. Оценка потенциальных (максимальных) потерь при наступлении события.

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

4. Оценка ожидаемых потерь (приемлемости риска).

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на потенциальный ущерб.

Если для вероятности и величины ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9.

Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале.

По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Проведем анализ базовых видов операционных рисковна примереодного из дополнительных офисов ОАО «Сбербанк России».

Рассмотрим группы операционных рисков применительно к анализируемому банку (табл. 7).

Таблица 7 – Основные операционные риски и последствия их реализации в дополнительном офисе Сбербанка

Группы операционных рисков	Угроза	Последствия реализации
Персонал банка	Недостаточная компетентность и отсутствие опыта	Ошибки в работе, занесение ошибочных данных
Внутреннее мошенничество	Хищение денег тем или иным способом
Процессы и внутренний контроль	Использование некорректных данных, проводок и расчетов по финансовым операциям	Ошибки в отчетности, ведущие к потерям банка
	Неадекватное распределение полномочий	Передача больших полномочий сотрудникам, к которым нет доверия, или тем, у которых нет большого опыта работы. Может привести к хищениям, ошибкам в работе, злоупотреблению должностным положением
Информационные системы и технологии	Сбои информационной системы и отказ оборудования	Остановка всей работы банка на неопределенный период. Ведет к потерям банка
	Неполное резервное копирование данных	Потеря данных без возможности восстановления
Незащищенная обработка данных	Хищение данных третьими лицами
Взлом информационной системы и заражение вирусом	Потеря данных, уничтожение, намеренное внесение некорректных ошибок и т.д.

 

После идентификации угроз оценим вероятность их осуществления в Сбербанке России, используя трехбалльную шкалу (табл. 8).

Таблица 8 – Оценка вероятности осуществления операционных рисков в дополнительном офисе Сбербанка

Группы операционных рисков	Угроза	Вероятность
низкая (1)	средняя (2)	высокая (3)
Персонал банка	Недостаточная компетентность и отсутствие опыта			+
Внутреннее мошенничество		+
Процессы и внутренний контроль	Использование некорректных данных, проводок и расчетов по финансовым операциям		+
Неадекватное распределение полномочий	+
Информационные системы и технологии	Сбои информационной системы и отказ оборудования		+
Неполное резервное копирование данных	+
Незащищенная обработка данных	+
Взлом информационной системы и заражение вирусом		+

 

Таким образом, три вида угроз характеризуются низкой вероятностью осуществления, четыре – средней, а одна угроза имеет высокий уровень вероятности реализации. При этом, ни одной угрозе не установлен нулевой уровень вероятности, что характеризовало бы ее невозможностью реализации.

Далее необходимо установить максимальные потери от возникновения риска, для чего составим табл. 9.

Таблица 9 – Оценка потенциального ущерба от реализации операционных рисков в дополнительном офисе Сбербанка

Группы операционных рисков	Угроза	Оценка возможного ущерба
В баллах	В тыс. руб.
Персонал банка	Недостаточная компетентность и отсутствие опыта		5 100
Внутреннее мошенничество		100 000
Процессы и внутренний контроль	Использование некорректных данных, проводок и расчетов по финансовым операциям		2 000
Неадекватное распределение полномочий		1 000
Информацион-ные системы и технологии	Сбои информационной системы и отказ оборудования		3 300
Неполное резервное копирование данных		1 000
Незащищенная обработка данных		6 000
Взлом информационной системы и заражение вирусом		50 000
	ИТОГО		168 400

 

Примерная оценка ущерба от реализации операционных рисков в одном из дополнительных офисов Сбербанка России показала, что при реализации всех рисков банк может потерять 168400 тыс. руб. или 168,4 млн. руб.

На основании приведенных выше данных оценим приемлемость риска для банка. Для этого составим табл. 10.

Таблица 10 – Оценка ожидаемого ущерба от реализации операционных рисков в дополнительном офисе Сбербанка

Угроза	Приемлемость риска (Вероятность × ущерб в баллах)	Общая оценка риска	Общая оценка риска (в баллах)	Скорректированная сумма ущерба (1 балл – 33 % от суммы)
Недостаточная компетентность и отсутствие опыта		Высокий
Внутреннее мошенничество		Высокий
Использование некорректных данных, проводок и расчетов по финансовым операциям		Низкий
Неадекватное распределение полномочий		Низкий
Сбои информационной системы и отказ оборудования		Средний
Неполное резервное копирование данных		Низкий
Незащищенная обработка данных		Низкий
Взлом информационной системы и заражение вирусом		Высокий
ИТОГО	-	-	-

 

Ожидаемые потери оценивались исходя из величины 1 балла – 33,3% (0,333):

5100 тыс. руб. × 1,0 = 5100 тыс. руб.

2000 тыс. руб. × 0,333 = 666 = 670 тыс. руб.

Ожидаемая величина ущерба может составить 160630 тыс. руб.

Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом. Рассмотрим основные причины, которые ведут к возникновению этих угроз в дополнительном офисе Сбербанка России (табл. 11).

Таблица 11 – Причины возникновения угрозы операционных рисков в дополнительном офисе Сбербанка

Угроза	Причины
1. Недостаточная компетентность и отсутствие опыта	- нехватка квалифицированных и опытных кадров на местном рынке; - банк не уделяет достаточного внимания обучению и повышению уровня квалификации сотрудников; - недостаточный период адаптации сотрудников перед вступлением в должность.
2. Внутреннее мошенничество	- непроработанная система отбора кадров, в результате чего на рабочие места попадают люди, склонные к мошенничеству; - слабая система внутренней безопасности, что способствует осуществлению незаконных операций.
3. Сбои информационной системы и отказ оборудования	- использование нелицензионных или несовместимых приложений; - неисправность сетевых кабелей и соединительных разъемов (обрывы кабеля, короткое замыкание и физическое повреждение соединительных устройств и т.д.); - слабые серверы.
4. Взлом информационной системы и заражение вирусом	- доступ к виртуальным ключам имеет несколько пользователей (к каждому); - Защита на сервере имеет только один уровень; - сотрудники вводят короткие пароли, которые легко подобрать внешним мошенникам; - подключение к сети неавторизованного оборудования.

 

На основании проведенного анализа угроз, вероятности их возникновения и возможного ущерба необходимо разработать мероприятия по снижению операционных рисков в анализируемом филиале Сбербанка России.

Таким образом, примерная оценка ущерба от реализации операционных рисков в дополнительном офисе Сбербанка России показала, что при реализации всех рисков банк может потерять 168,4 млн. руб. Реальная величина ущерба может составить 160,63 млн. руб. Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом.

Рекомендации по снижению операционных рисков в анализируемом офисе Сбербанка России:

1. Повышение квалификации специалистов банка за счет банка: разработка системы обучения и повышения квалификации; отправлять работников на специализированные семинары; стажировка молодых специалистов в других регионах системы Сбербанка РФ; разработка системы адаптации новых работников.

2. Для вновь нанятых работников целесообразно проводить «интервал-тренинг» (признанный в Европе наилучшей методикой безболезненного «врабатывания» нового работника в его обязанности). Он наиболее подходит для специалистов банка.

3. Для того, чтобы предотвратить или выявить внутреннее мошенничество в банке, рекомендуется, во-первых, проверить всех работающих банка, а, во-вторых, вновь поступающих на работу проверять на полиграфе.

4. Для предотвращения поломок и сбоев оборудования, рекомендуется приобрести сканеры сетевого кабеля, установки источников бесперебойного питания, системы дисковых массивов, архивные серверы.

5. Для предотвращения взломов информационной системы и заражения вирусом внедрить системы smart–использовать систему шифрования данных, ограничивать доступ в помещения посторонних лиц или сотрудников других подразделений, жёстко ограничивать круг лиц, имеющих доступ к каждому компьютеру, требовать, чтобы пользователи выбирали длинные пароли, задействовать программу генерации паролей.

6. Использовать автоматизированную систему управления операционными рисками, которая позволяет осуществлять: сбор данных о фактически понесенных потерях, вызванных влиянием операционного риска; мониторинг неблагоприятных событий операционного характера и вызванных ими потерь; генерацию отчетов, анализ и визуализация накопленной статистики; проведение опросов экспертов с целью оценки влияния факторов операционного риска на бизнес-процессы банка и построение на полученных данных карты рисков; расчет оценки требований на капитал для покрытия возможных потерь от операционных рисков и т.д.

7. Ввести отдел по управлению операционными рисками. В отдел будет входить два специалиста: начальник отдела и риск – менеджер.