Методика оценки косвенных потерь от операционных рисков
21 Июл 2023
Для предприятий финансового сектора, и не только при определении потерь от рисков, возникает вопрос методики оценки косвенных потерь от событий риска. У предприятий отработана методика расчёта прямых затрат, которая понесла организация, но при этом косвенные потери становятся вопросом компетенции и опыта ответственных подразделений за определения уровня риска и последствий.
Расчёт косвенных потерь следует также формулировать и учитывать те факторы, которые влияют на потери. Приведём методику и примеры для определения косвенных потерь от событий операционного риска и дадим рекомендации по управлению ими.
Основные понятия
Операционный риск (ОР) представляет собой риск, связанный с возможными убытками, возникающими в результате неправильных или некорректных внутренних процессов, ошибок, совершаемых сотрудниками, нарушений в работе системы или внешних событий.
Косвенные риски — это риски, которые возникают в результате воздействия других рисков или внешних факторов на организацию или проект. Эти риски могут быть неочевидными и не прямо связанными с основными целями или деятельностью организации, но могут оказать серьезные последствия, которые напрямую не связаны с прямыми потерями на возмещение последствий, а больше с дополнительными затратами.
Косвенные потери, связанные с событиями операционного риска, которые не учитываются в бухгалтерском учете, но имеют влияние на кредитную организацию, определяются расчетным методом в денежном выражении и классифицируются как непрямые потери.
Косвенные потери включают в себя:
- потери и недополучение дохода, связанные с невыполнением отдельных сделок и операций, возникшие как из-за приостановки или прекращения операций, вызванных событиями операционного риска (например, остановка работы систем), так и несвязанные с этим;
- увеличение затрат на заемные средства, таких как привлечение кредитов, из-за возникновения операционного риска, в том числе на покрытие разницы в ликвидности или нехватки денежных средств;
- уменьшение рыночной стоимости акций или капитала кредитной организации из-за реализации операционного риска;
- другие убытки, связанные с устранением последствий или сокращением убытков от реализации операционного риска.
Ключевые показатели косвенных потерь от операционных рисков
В соответствии с требованиями 716-П (https://literafort.ru/service/audit-716-p/ ) кредитная организация определяет категорию «косвенные потери», которая включает следующие виды потерь:
- убытки, которые возникают, когда объекты информационной инфраструктуры временно не работают или перестают функционировать из-за угрозы информационной безопасности или событий операционной надежности;
- увеличение времени, которое работники тратят на исправление проблем, связанных с нарушением безопасности информации;
- рост цен на услуги технического обслуживания информационной инфраструктуры и/или защиты от вирусов из-за увеличения угроз информационной безопасности.
Величина потерь от реализации операционного риска определяется в соответствии с внутренними документами кредитной организации и зависит от вида потерей, определенных в Положении Банка России № 716-П. Если кредитная организация вносит информацию о косвенных потерях в базу данных, то указывается их оценочная величина до учета возмещения.
Для расчета косвенных потерь от операционного риска, можно использовать следующую формулу:
КП = (1), где:
- КП – косвенные потери;
- среднее количество операций;
- средний размер операций;
- ЦБ — ставка ЦБ рефинансирования;
- З — стоимость заимствований;
- РА — стоимость рыночной акции;
- УП — устранение последствий.
В виде примера, представим, что количество операций в среднем за событие ОР 1 час составляет 100, при среднем размере операций 1 млн. рублей.
Произведём расчёт косвенных потерь от операционных рисков по формуле 1:
КП= (1001млн) ((7,5%0,3) +0,02+0,03+0,01) = 108,3 млн.
Следовательно уровень косвенных потерь, который произошел за 1 час, когда произошло приостановка бизнес- или технологического процесса составило 108,3 млн. рублей.
Как следует отразить в базе событий величину косвенной потери с учетом возмещения от события операционного риска?
Положение № 716-П не говорит, что нужно обязательно учитывать возмещения по косвенным потерям.
Кредитная организация может сама решить, как учитывать полученные возмещения, чтобы уменьшить размер косвенных потерь. Это можно делать как с перерасчетом величины косвенных потерь без отдельной записи о возмещении, так и с отдельной записью о сумме полученного возмещения.
Выводы и рекомендации
Чтобы предотвратить косвенные потери или снизить их уровень, нужно принять меры по управлению рисками и оптимизации операционных процессов. Управление рисками и повышение уровня операционной надежности бизнес- и технологических процессов важны для успешной работы любой организации.
Ниже приведены некоторые шаги, которые можно предпринять для эффективного управления рисками и оптимизации операционных процессов:
- проводить анализ операционных процессов, чтобы выявить потенциальные риски, которые могут повлиять на выполнение задач и достижение целей организации;
- оценить вероятность возникновения каждого риска и его возможные последствия, чтобы определить, какие риски требуют особого внимания и какие меры можно принять для их снижения;
- разработать план, который определит, какие меры будут предприняты для управления рисками, а также включить в него конкретные действия, ответственных лиц и сроки выполнения;
- отслеживать выполнение плана управления рисками и контролировать его эффективность. При необходимости вносить корректировки в план;
- проанализировать текущие бизнес- и технологические процессы, чтобы найти возможности для оптимизации и повышения эффективности;
- разработать план внедрения изменений для внедрения оптимизированных операционных процессов. Включить описание изменений, ответственных лиц и сроки выполнения;
- мониторинг постоянный (в том числе проведение самооценки) за результатами и получать обратную связь от сотрудников, чтобы внести корректировки при необходимости;
- установить систему постоянного улучшения бизнес-процессов. Анализировать результаты, собирать данные и использовать их для принятия решений о дальнейших улучшениях;
- проведение сценарного анализа и выявления факторов операционных рисков.
Применение этих мер поможет организации эффективно управлять операционными рисками и повысить уровень надежности бизнес- и технологических процессов, что приведет к повышению эффективности и достижению целей.