Переходим к теме, неисчерпаемой, как море: управление рисками по операциям с платежными картами. Если по вопросам бухгалтерского учета операций с пластиком все проблемы связаны с отсутствием регламентирующих документов, то здесь обратная ситуация: материала столько, что можно утонуть. Поэтому сегодня наша задача – выбрать главное.
К списку нормативных актов, перечисленных в 1-й части данной статьи и касающихся управления рисками (Положения Банка России № 242-П, № 232-П и № 254-П), добавим следующие документы:
Письмо ЦБ РФ от 23 июня 2004 г. № 70-Т «О типичных банковских рисках».
Письмо ЦБ РФ от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях».
Письмо ЦБ РФ от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».
Письмо ЦБ РФ от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» (раздел «Управление банковскими рисками».
Заметим, что известное Положение ЦБ РФ от 24 сентября 1999 г. № 89-П «О порядке расчета кредитными организациям размера рыночных рисков» в данном случае не используется, так как операции с платежными картами в расчете рыночных рисков не участвуют.
Определим, какие из рисков, упомянутых в Письме № 70-Т, возникают при осуществлении операций с платежными картами.
Кредитный риск. Имеет место, так как операции с платежными картами включают выпуск (эмиссию) кредитных карт и расчетных карт с овердрафтом, то есть представляют собой операции кредитования.
Страновой риск (включая риск неперевода[1] средств). Возникает, если банк работает с международными платежными системами.
Рыночный риск, включающий фондовый, валютный и процентный риски, в данном случае можно не принимать во внимание. Фондовый риск возникает из-за неблагоприятного изменения рыночных цен на фондовые ценности. Процентный и валютный риски рассматриваются с точки зрения всей совокупности активов и пассивов банка, его внебалансовых требований и обязательств, так что нет никакой необходимости описывать их отдельно применительно к операциям с платежными картами. То же самое можно сказать и о риске ликвидности.
Операционный риск, правовой риск и риск потери деловой репутации (репутационный риск) в полной мере относятся к операциям с платежными картами.
И, наконец, стратегический риск в данном случае тоже не стоит забывать.
В первой части этой статьи[2] мы определили предварительную структуру Внутрибанковских правил осуществления операций с использованием платежных карт. Управлению рисками посвящался Раздел 6. Однако вполне возможно, что в результате получится не раздел Внутрибанковских правил, а отдельное Положение об управлении рисками по операциям с платежными картами.
Опишем подробнее структуру раздела или Положения.
1. Общие положения.
1.1. Термины и сокращения.
1.2. Классификация рисков.
2. Кредитные риски.
2.1. Виды кредитных рисков. Идентификация рисков.
2.2. Оценка кредитных рисков.
2.3. Определение допустимого уровня риска.
2.4. Меры, направленные на предотвращение (минимизацию) рисков.
2.5. Процедуры, применяемые при реализации риска.
3. Операционный риск.
4. Правовой риск и риск потери деловой репутации.
5. Страновой риск.
6. Стратегический риск.
По каждому виду рисков могут быть такие же подразделы, как по кредитному риску: виды рисков и их идентификация, оценка риска, определение допустимого уровня, меры, направленные на предотвращение (минимизацию) рисков, процедуры, применяемые при реализации риска.
Термины данного раздела нуждаются в отдельном разъяснении. Определения можно взять из Письма № 70-Т.
Кредитный риск – риск возникновения у Банка убытков вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед Банком в соответствии с условиями договора.
Операционный риск – риск возникновения убытков в результате:
- несоответствия характеру и масштабам деятельности Банка и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок;
- нарушения внутренних порядков и процедур служащими Банка и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия);
- несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых Банком информационных, технологических и других систем и (или) их отказов (нарушений функционирования);
- в результате воздействия внешних событий.
Правовой риск – риск возникновения у Банка убытков вследствие:
- несоблюдения Банком требований нормативных правовых актов и заключенных договоров;
- допускаемых правовых ошибок при осуществлении деятельности (неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах;
- несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности Банка);
- нарушения контрагентами нормативных правовых актов, а также условий заключенных договоров.
Риск потери деловой репутации (репутационный риск) – риск возникновения у Банка убытков в результате уменьшения числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости Банка, качестве оказываемых им услуг или характере деятельности в целом.
Страновой риск – риск возникновения у Банка убытков:
- в результате неисполнения иностранными контрагентами (юридическими, физическими лицами) обязательств из-за экономических, политических, социальных изменений;
- вследствие того, что валюта денежного обязательства может быть недоступна контрагенту из-за особенностей национального законодательства (независимо от финансового положения самого контрагента).
Стратегический риск – риск возникновения у Банка убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития Банка (стратегическое управление) и выражающихся:
- в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности Банка;
- в неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых Банк может достичь преимущества перед конкурентами;
- в отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, людских) и организационных мер (управленческих решений), которые должны обеспечить достижение стратегических целей деятельности Банка.
Разумеется, все эти риски следует рассматривать применительно лишь к «пластиковому» бизнесу. Поэтому в Правилах, которые мы пишем, можно подробно остановиться только на специфических карточных рисках, а по остальным сделать ссылки на соответствующие внутрибанковские документы, касающиеся управления рисками.
Вряд ли можно утверждать, что управление правовым, репутационным, стратегическим, и особенно страновым рисками имеет какие-либо особенности, касающиеся только операций с использованием банковских карт. Поэтому предлагаю уделить особое внимание только двум видам риска: кредитному и операционному.
Кредитный риск.
Долги американцев кредитно-карточным компаниям превысили $800 млрд
Банкир.Ру. Новости платежных систем.
Огромный объем просроченных потребительских кредитов в Южной Корее приобрел масштабы общенациональной проблемы. Репортажи о самоубийствах и преступлениях на долговой почве постоянно появлялись в выпусках новостей и газетах.
«Ведомости» 16.06.05
Идентификация кредитного риска.
Перечислим основные виды кредитного риска по операциям с платежными картами.
а) Вероятность неисполнения либо ненадлежащего исполнения заемщиком обязательств по ссудной задолженности перед банком в соответствии с условиями договора, либо существование реальной угрозы такого неисполнения (ненадлежащего исполнения).
Ссудная задолженность заемщика перед банком возникает в двух случаях:
- при осуществлении операций с кредитными картами;
- при осуществлении операций с расчетными картами в режиме «овердрафт».
В обоих случаях под обесценение ссудной задолженности формируются резервы на возможные потери по ссудам в соответствии с Положением ЦБ РФ от 26 марта 2004 г. № 254-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности».
Для краткости назовем этот риск риском невозврата ссудной задолженности.
б) Фактором риска для банка, с точки зрения ЦБ РФ, также является наличие условных обязательств кредитного характера, порядок формирования резервов по которым регулируется Положением Банка России от 09 июля 2003 г. № 232-П «О порядке формирования кредитными организациями резервов на возможные потери».
В соответствии с Положением № 232-П к условным обязательствам кредитного характера, в частности, относятся условные обязательства кредитной организации предоставить денежные средства на возвратной основе.
В отношении операций с платежными картами к условным обязательствам кредитного характера могут быть отнесены:
- неиспользованные кредитные линии, или неиспользованный лимит задолженности по кредитным картам;
- неиспользованные лимиты по предоставлению кредита в виде «овердрафт» по расчетным картам.
В дальнейшем будем называть это риском наличия условных обязательств кредитного характера.
Хотя, если честно, возникающий в данном случае риск я бы не отнесла к кредитным. Скорее это риск оттока средств или потери ликвидности. Или вообще бы не считала риском с точки зрения возможности понесения потерь, под которые, собственно, и следует создавать резервы. Но это уже другая тема.
Одним словом, решайте сами, учитывать ли в составе рисков по операциям с платежными картами условные обязательства кредитного характера. Кстати, в соответствии с Письмом ЦБ РФ от 23.06.2004 г. № 70-Т «О типичных банковских рисках» неиспользованные кредитные линии и овердрафты не попадают под определение кредитного риска (определение см. выше). Да и под определение риска ликвидности – не очень: там речь идет о вероятности неисполнения банком в полном объеме своих обязательств, а не условных обязательств.
Хотя, наверное, чтобы доставить удовольствие куратору из ЦБ, лучше такой риск описать. Ведь резервы по счетам 91302 и 91309 мы все равно создаем.
в) Существует еще риск возникновения неразрешенного овердрафта, вызванный особенностями технологии совершения карточных операций. Такой риск носит в себе признаки как кредитного риска (риск неисполнения заемщиком возникших обязательств), так и операционного (риск возникновения такой задолженности в принципе). В данном разделе мы рассмотрим только особенности определения кредитного риска.
Этот вид кредитного риска назовем риском неразрешенного оведрафта.
Он является специфическим «карточным» риском, и поэтому ему следует уделить особое внимание. Для начала – классифицировать.
Неразрешенный овердрафт (НО) возникает в связи с технологическими особенностями осуществления операций с банковскими картами, их авторизации и расчетов по ним. И в связи с человеческим фактором, разумеется, тоже. Причин возникновения НО может быть несколько, в том числе:
- умышленные мошеннические действия клиента;
- мошеннические действия других лиц;
- неумышленные (случайные) действия.
Неразрешенный овердрафт может быть двух видов[3]: предусмотренным и непредусмотренным.
Пунктом 2.8. Положения № 266-П предусмотрена ситуация, когда при эмиссии банковских карт в договор банковского счета включается условие об осуществлении клиентом операций с использованием данных карт, сумма которых превышает:
- остаток денежных средств на банковском счете клиента при отсутствии условия об овердрафте (по расчетным картам);
- лимит предоставления овердрафта (по расчетным картам);
- лимит предоставляемого кредита (по кредитным картам).
Таким образом, превышение остатка или установленного лимита можно назвать предусмотренным овердрафтом, хотя и неразрешенным. Пусть будет ПНО - предусмотренный неразрешенный овердрафт.
При отсутствии в договоре банковского счета, кредитном договоре такого условия погашение клиентом возникшей задолженности должно производиться в соответствии с законодательством РФ.
Пусть это будет ННО – непредусмотренный неразрешенный овердрафт.
С точки зрения кредитного риска следует рассмотреть вероятность невозврата денежных средств по каждому из этих случаев.
Понятно, что в случае мошенничества вероятность невозврата максимальна, и резерв по возникшей задолженности следует создавать в размере 100% (пятая группа риска или категория качества).
Случайно возникшая задолженность у добросовестного заемщика, напротив, имеет хорошие шансы быть погашенной.
Для корректного описания во Внутрибанковских правилах порядка оценки кредитного риска по неразрешенным овердрафтам необходимо, на мой взгляд, четко классифицировать все возможные ситуации по видам возникающих активов, в том числе определить порядок бухгалтерского учета по ним. Тогда станет ясным и способ оценки риска, и порядок создания резервов. Я далека от мысли, что бухгалтерский учет операции может определять какие-то существенные параметры оценки риска по ней, но то, что правильное отражение в учете помогает «разложить все по полочкам» - однозначно.
О бухгалтерском учете неразрешенного овердрафта мы еще поговорим, а в данном разделе можно просто указать, что если возникшая задолженность классифицируется как ссудная и/или приравненная к ней, то ее оценка производится в соответствии с Положением ЦБ РФ № 254-П и внутрибанковским Положением о порядке формирования РВПС. Если же задолженность не соответствует определению ссудной и приравненной к ней задолженности, то она должна считаться балансовым активом, по которому существует риск понесения потерь. Такая задолженность подлежит оценке и резервированию в соответствии с Положением ЦБ РФ № 232-П и соответствующим внутрибанковским Положением.
При принятии такого решения определяющим мнением, надо полагать, должно стать мнение юриста. Правда, мнений, как известно, бывает не меньше трех на двух юристов. Но если исходить из комментариев И.А. Спиранова, чьи лекции по правовому регулированию и налогообложению операций с банковскими картами в прошлом году прослушали большинство банков, то получается примерно следующий расклад.
Непредусмотренный неразрешенный овердрафт, который трактуется как неосновательное обогащение в соответствии со статьей № 1102 ГК РФ, можно признать дебиторской задолженностью – балансовым активом, по которому существует риск понесения потерь. Следовательно, оценка риска и формирование резервов по ННО должны осуществляться в соответствии с Положением № 232-П.
Предусмотренный неразрешенный овердрафт, как видно из его названия и юридической сути, хотя и не разрешен, но все же предусмотрен. Отношения кредитования возникают не при обычном режиме совершения операций, а в исключительных случаях, при нарушении клиентом своих обязательств совершать операции только в пределах остатка средств на счете (лимита оведрафта по платежной карте, лимита кредитования по кредитной карте). В этом случае в соответствии с условиями договора клиент должен немедленно погасить возникшую задолженность и выплатить установленные договором проценты. То есть, с некоторыми оговорками ПНО можно признать ссудной задолженностью. Следовательно, оценка риска и формирование резервов по предусмотренным неразрешенным овердрафтам должны осуществляться в соответствии с Положением № 254-П.
Оценка кредитных рисков.
Риск невозврата ссудной задолженности и риск наличия условных обязательств кредитного характера оцениваются в рамках общей системы контроля кредитных рисков. Их величина соответствует размеру резерва на возможные потери по ссудам. Даем ссылку на внутрибанковские документы, регламентирующие порядок оценки рисков и формирования резервов на возможные потери в соответствии с Положениями Банка России № 232-П и 254-П (надо думать, что они уже утверждены и функционируют).
Порядок оценки кредитного риска будет таким же, как и по любой другой задолженности или условному обязательству кредитного характера.
С учетом особенностей «карточного» бизнеса можно предположить, что соответствующие элементы расчетной базы резервов будут объединены в портфели однородных ссуд.
Риск неразрешенного овердрафта.
Как мы уже выяснили, оценка кредитного риска в данном случае осуществляется в том же порядке, что и по ссудной задолженности (прочим активам).
Определение допустимого уровня риска.
Этот пункт также тесно связан с действующей в банке системой контроля уровня кредитного риска. Можно установить предельный уровень риска в количественном выражении, причем показателем уровня риска может быть, например:
- удельный вес просроченных ссуд (в том числе неразрешенного овердрафта, как предусмотренного, так и непредусмотренного) в общей сумме кредитного портфеля по операциям с платежными картами;
- размер созданного резерва на возможные потери (в процентах от общей суммы ссудной задолженности);
- величина убытков от списания безнадежной задолженности по операциям с платежными картами в течение определенного периода и т.д.
В случае достижения максимально допустимого уровня риска банк, очевидно, должен принять меры по снижению риска.
Меры, направленные на предотвращение (минимизацию) кредитных рисков.
Опять-таки делаем ссылку на общую систему управления кредитным риском.
Как и в общем случае, минимизация кредитного риска по требованиям Банка, возникшим при осуществлении операций с платежными картами, возможна в случае правильной оценки финансового положения клиента и его добросовестности на этапе принятия решения о выдаче карты; в дальнейшем – при условии осуществления постоянного контроля качества обслуживания долга. Важную роль также может играть наличие гарантий работодателей по договорам, связанным с зарплатными проектами.
При достижении критической величины кредитного риска банк может принять решение об ограничении или даже прекращении деятельности, связанной с выпуском кредитных карт (расчетных карт с овердрафтом).
Процедуры, применяемые при реализации кредитного риска.
В этом разделе описываем действия банка, связанные со взысканием просроченной задолженности, в том числе неразрешенного овердрафта. Или делаем ссылку на Положение о кредитовании физических лиц, в котором такие действия уже описаны.
Операционный риск.
Рождество для жителей одного французского города стало воистину волшебным. Вместо купюр в 20 евро один из банкоматов города вдруг начал выдавать купюры номиналом в 50 евро. Не прошло и 2-х часов, как жители города опустошили доступный банкомату запас наличности.
20 млн. фунтов удалось награбить предприимчивому почтальону. Именно в такую сумму обошлась деятельность 34-летней Дайдо Мае-Белезика (Dido Mayue-Belezika) потребителям в Великобритании, так и не дождавшимся своих кредитных карт.
Банкир.Ру. Новости платежных систем.
За основу берем Письмо ЦБ РФ от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях».
Идентификация операционного риска.
В соответствии с Письмом № 76-Т внутренними и внешними факторами операционного риска являются:
- случайные или преднамеренные действия физических и/или юридических лиц, направленные против интересов банка;
- несовершенство организационной структуры банка в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете;
- несоблюдение служащими установленных порядков и процедур;
- неэффективность внутреннего контроля;
- сбои в функционировании систем и оборудования;
- неблагоприятные внешние обстоятельства, находящиеся вне контроля банка.
Под такое определение, в принципе, подходят любые события, негативно влияющие на деятельность банка.
Попробуем определить, какие виды рисков относятся к операционным с точки зрения карточного бизнеса[4]. При этом классифицируем случаи операционных убытков, возникающих в результате различного сочетания факторов операционного риска, в соответствии с Письмом № 76-Т.
а) Злоупотребления или противоправные действия, осуществляемые служащими или с участием служащих банка, в том числе:
- хищения денежных средств, персонализированных и неперсонализированных карт;
- злоупотребление служебным положением;
- преднамеренное сокрытие фактов совершения операций и сделок;
- несанкционированное использование информационных систем и ресурсов.
б) Противоправные действия сторонних по отношению к банку (третьих) лиц, в том числе:
- подлог и (или) подделка платежных и иных документов, платежных карт;
- несанкционированное проникновение в информационные системы.
в) Нарушение банком или служащими трудового законодательства, в том числе:
- нарушение условий трудового договора;
- причинение вреда здоровью служащих.
г) Нарушение иного законодательства, в том числе:
- банковского;
- антимонопольного;
- по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
д) Неисполнение или ненадлежащее исполнение возникающих из договоров обязательств, связанных с основной деятельностью, перед клиентами, контрагентами и (или) иными третьими лицами.
е) Нарушение обычаев делового оборота, в том числе:
- ненадлежащее использование конфиденциальной информации;
- навязывание услуг;
- сговор по ценам.
ж) Повреждение или утрата основных средств и других материальных активов в результате:
- актов терроризма;
- стихийных бедствий;
- пожара и т.д.
з) Выход из строя оборудования и систем, в том числе:
- сбой (отказ) в работе автоматизированной банковской системе;
- сбой (отказ) в работе систем связи;
- поломка оборудования.
и) Ненадлежащая организация деятельности, ошибки управления и исполнения, в том числе в результате:
- неадекватной организации внутренних процессов и процедур;
- отсутствия (несовершенства) систем защиты и (или) порядка доступа к информации;
- неправильной организации информационных потоков внутри банка;
- невыполнения обязательств перед банком поставщиками услуг (исполнителями работ);
- ошибок при вводе и обработке данных по операциям и сделкам;
- утери документов и т.д.
Результатом реализации операционного риска являются операционные убытки, которые могут представлять собой:
- снижение стоимости активов, как материальных (банкоматов, терминалов, другого оборудования), так и финансовых (обесценение кредитного портфеля вследствие возрастания уровня риска);
- досрочное списание (выбытие) материальных активов;
- денежные выплаты на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством РФ, в связи с опротестованием операций через платежные системы;
- денежные выплаты клиентам и контрагентам, а также служащим банка в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине банка, в связи с совершением операций с использованием банковских карт;
- затраты на восстановление деятельности банка по операциям с банковскими картами и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;
- прочие убытки.
Выявление и оценка операционного риска.
Выявление операционного риска по операциям с банковскими картами основано на проведении анализа условий функционирования банка, в том числе:
- анализ изменений в сфере банковских услуг с использованием пластиковых карт в целом (например, внедрение новых технологий), которые могут оказать влияние на эффективность деятельности банка;
- анализ отдельных видов операций с использованием банковских карт;
- анализ внутренних процедур по операциям с банковскими картами, включая систему отчетности и обмена информацией.
Меры, направленные на предотвращение (минимизацию) операционных рисков.
Как уже неоднократно было сказано, ничего принципиально нового здесь предложено не будет. Все описано в Положении № 242-П и Письме № 76-П. Просто адаптируем существующую в банке систему управления операционным риском к карточному бизнесу.
Основными направлениями минимизации пластикового операционного риска могут быть следующие.
а) Контроль за совершением операций с использованием банковских карт.
Формы контроля определяются Положением № 205-П и Положением № 242-П. Приведем основные из них:
- дополнительный контроль по операциям, подлежащим дополнительному контролю в соответствии с Приложением № 5 к Положению № 205-П[5];
- внутрибанковский (последующий) контроль в соответствии с Разделом 3 Части 3 Положения № 205-П[6];
- проверки, осуществляемые органами управления путем запроса отчетов и информации о результатах деятельности структурных подразделений, принимающих участие в осуществлении операций с использованием банковских карт, и разъяснений их руководителей (в целях выявления недостатков контроля, нарушений, ошибок);
- контроль, осуществляемый руководителями «карточных» подразделений посредством проверки отчетов о работе подчиненных им служащих (на периодической основе);
- проверка соблюдения установленных лимитов на осуществление операций с использованием банковских карт;
- система согласования (утверждения) операций (сделок) и распределения полномочий при совершении операций с использованием банковских карт, превышающих установленные лимиты, или проводимых на условиях, отличающихся от стандартных;
- материальный (физический) контроль, осуществляемый путем:
- ограничения доступа к материальным ценностям (заготовкам пластиковых карт, персонализированным картам, ПИН-кодам и т.д.);
- раздельного хранения и перевозки персонализированных карт и ПИН-кодов к ним;
- пересчета материальных ценностей (денежной наличности в кассетах банкоматов, заготовок и персонализированных карт);
- разделения ответственности за хранение и использование персонализированных и неперсонализированных карт;
- обеспечение охраны помещений для хранения материальных ценностей, используемых при осуществлении операций с банковскими картами, и безопасности их перевозки.
б) Распределение функций (должностных обязанностей) сотрудников.
Должностные обязанности сотрудников, связанных с выпуском и обслуживанием банковских карт, распределяются таким образом, чтобы:
- исключить или свести к минимуму конфликт интересов (противоречие между имущественными и иными интересами банка, его служащих и клиентов, которое может повлечь за собой неблагоприятные последствия) и условия его возникновения;
- исключить или свести к минимуму возможность совершения преступлений и осуществления других противоправных действий при совершении операций с банковским картами;
- исключить совмещение одним и тем же подразделением или служащим функций:
- совершения операций с банковскими картами и их регистрации и (или) отражения в бухгалтерском учете;
- санкционирования выплаты денежных средств и осуществления (совершения) их фактической выплаты (например, при выдаче наличных с карточного счета по паспорту в случае утраты карты);
- проведения операций по карточным счетам клиентов банка и финансово-хозяйственных операций самого банка, осуществляемых с использованием банковских карт;
- предоставления консультационных и информационных услуг клиентам по совершению операций с банковскими картами и совершения таких операций с теми же клиентами;
- оценки достоверности и полноты документов, представляемых при выдаче кредитной карты (расчетной карты с овердрафтом) и осуществления мониторинга финансового состояния заемщика.
Все вышеперечисленное входит в требования Положения ЦБ РФ № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», и, между прочим, не так уж легко выполнимо. Если строго следовать указаниям Банка России, то при выдаче банковской карты клиенту работник банка должен молчать, как Мальчиш-Кибальчиш на допросе, дабы не допустить ненароком предоставления консультационных и информационных услуг.
Исключить конфликты интересов и возможность совершения преступлений, очевидно, полностью невозможно, поэтому пришлось добавить в соответствующий пункт формулировку «свести к минимуму», которой в Положении № 242-П не предусмотрено.
в) Контроль за подбором и расстановкой кадров.
Кадры, как известно, решают все – и в процессе минимизации операционного риска по операциям с использованием банковских карт мы не сможем обойтись без контроля за персоналом. Подробное описание принципа «Знай своего служащего» можно найти в Приложении 2 к Письму ЦБ РФ от 30.06.2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах»
г) Анализ клиентской базы.
Заключается в том, что соответствующие службы банка производят тщательную проверку физических лиц и организаций, претендующих на получение банковских карт, а также предприятий торговли, желающих участвовать в системе эквайринга. Осуществляется также периодический мониторинг деятельности клиентов, уже имеющих банковские карты или находящихся на обслуживании в банке-эквайрере.
Здесь можно также воспользоваться Приложением 1 к Письму № 92-Т, в котором описывается принцип «Знай своего клиента».
д) Контроль за функционированием оборудования и коммуникационных систем.
Этот пункт лучше всего попросить написать кого-нибудь из специалистов службы информационных технологий. Ну а если они откажутся, то включим туда как минимум:
- мониторинг каналов связи на наличие и продолжительность сбоев, а также качество связи;
- мониторинг оборудования (банкоматов, POS-терминалов) на наличие неисправностей и выявление их причин;
- определение времени и материальных ресурсов, необходимых на устранение неисправностей.
* * *
Существуют и другие способы минимизации операционных рисков, предлагаемые Письмом № 76-Т, в том числе:
- развитие систем автоматизации банковских технологий и защиты информации;
- передача риска или его части третьим лицам (аутсорсинг);
- страхование риска и т.д.
При работе с международными платежными системами банк, очевидно, будет использовать установленные этими системами технологии управления рисками. Об этом тоже можно упомянуть в разрабатываемом внутрибанковском Положении.
* * *
Можно предложить и другие способы классификации рисков.
Например, по источникам (субъектам) возникновения риска:
- банки-эмитенты;
- эквайреры;
- держатели карт;
- платежные системы;
- торговые предприятия;
- карточные мошенники;
- процессинговые компании;
- государственные и регулирующие органы.
Или по природе рисков (качественная классификация):
Физический риск: вероятность потерь, связанных с физической утратой ресурсов (оборудования, информации, специалистов).
Виды физического риска:
- утрата персонализированных и неперсонализированных карт;
- несанкционированный доступ к содержимому банкоматов;
- несанкционированный доступ в операционные системы банкоматов и терминалов, линий связи;
- несанкционированный доступ в процессинговые и криптографические системы, нарушение целостности баз данных и систем информационной безопасности.
Юридический риск: риск потерь, вытекающих из невозможности законодательного принуждения контрагентов к выполнению договорных обязательств.
Риск взаимоотношений: риск неблагоприятного развития отношений с персоналом, клиентами, партнерами и общественностью.
Финансовые риски – риски прямых финансовых потерь. Сюда относятся:
- риск мошеннического использования карты;
- риск невозврата задолженности по карте;
- риск ошибочного (завышенного) проставления расходного лимита в авторизационной системе.
Еще вариант – функциональная классификация:
Общеорганизационные риски. К ним относятся:
- большинство физических рисков;
- риски, вытекающие из организации производственных отношений между сотрудниками и подразделениями;
- кадровый риск;
- риски, связанные с ошибочной постановкой целей;
- риски неадекватного восприятия рынка и ошибочного маркетинга.
Операционные риски – группа рисков, непосредственно связанных с ведением текущих операций и вытекающих из операционного процесса, обеспечиваемого «карточным» подразделением банка. Это могут быть:
- финансовые риски, связанные с неправильной обработкой платежных документов (в электронном и/или в бумажном виде), отсутствием или недостаточностью последующего контроля;
- риски по ошибочному или умышленному необоснованному увеличению расходных и/или кредитных лимитов;
- риски неправильного управления остатками на корреспондентских счетах;
- риски возникновения несанкционированных задолженностей (овердрафтов);
- риски несанкционированного использования карт;
- риски ошибочной загрузки и параметризации банкоматов и т.д.
* * *
В заключение этого раздела позволю себе привести цитату из упомянутой выше книги «Пластиковые карты» издательства «БДЦ-Пресс»:
«На практике однозначно квалифицировать риск представляется весьма затруднительным, т.к. к реализации риска, как правило, приводит не какое-либо обособленное действие или бездействие кого-либо (в противном случае все было бы очень просто!), а стечение обстоятельств, в том числе реализация риска так называемых белых пятен, т.е. ситуаций, вообще не предусмотренных или обойденных вниманием при разработке систем контроля над рисками. Это еще раз подтверждает, что любой риск, в частности «карточный», чаще всего имеет комбинированную природу».
Вывод же из всего вышесказанного напрашивается такой. Не стоит слишком акцентировать внимание на описании системы управления «пластиковыми» рисками, достаточно описать некоторые особенности «пластика» в рамках существующей в банке системы управления рисками. А для удовлетворения требований Банка России в области разработки внутрибанковских нормативных документов вполне должно хватить материала, изложенного в этой статье.
Автор благодарит участников форума «Управление рисками» сайта www.bankir.ru. При написании этого раздела использована тема «Управление рисками по 266-П».
К списку нормативных актов, перечисленных в 1-й части данной статьи и касающихся управления рисками (Положения Банка России № 242-П, № 232-П и № 254-П), добавим следующие документы:
Письмо ЦБ РФ от 23 июня 2004 г. № 70-Т «О типичных банковских рисках».
Письмо ЦБ РФ от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях».
Письмо ЦБ РФ от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».
Письмо ЦБ РФ от 13 сентября 2005 г. № 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях» (раздел «Управление банковскими рисками».
Заметим, что известное Положение ЦБ РФ от 24 сентября 1999 г. № 89-П «О порядке расчета кредитными организациям размера рыночных рисков» в данном случае не используется, так как операции с платежными картами в расчете рыночных рисков не участвуют.
Определим, какие из рисков, упомянутых в Письме № 70-Т, возникают при осуществлении операций с платежными картами.
Кредитный риск. Имеет место, так как операции с платежными картами включают выпуск (эмиссию) кредитных карт и расчетных карт с овердрафтом, то есть представляют собой операции кредитования.
Страновой риск (включая риск неперевода[1] средств). Возникает, если банк работает с международными платежными системами.
Рыночный риск, включающий фондовый, валютный и процентный риски, в данном случае можно не принимать во внимание. Фондовый риск возникает из-за неблагоприятного изменения рыночных цен на фондовые ценности. Процентный и валютный риски рассматриваются с точки зрения всей совокупности активов и пассивов банка, его внебалансовых требований и обязательств, так что нет никакой необходимости описывать их отдельно применительно к операциям с платежными картами. То же самое можно сказать и о риске ликвидности.
Операционный риск, правовой риск и риск потери деловой репутации (репутационный риск) в полной мере относятся к операциям с платежными картами.
И, наконец, стратегический риск в данном случае тоже не стоит забывать.
В первой части этой статьи[2] мы определили предварительную структуру Внутрибанковских правил осуществления операций с использованием платежных карт. Управлению рисками посвящался Раздел 6. Однако вполне возможно, что в результате получится не раздел Внутрибанковских правил, а отдельное Положение об управлении рисками по операциям с платежными картами.
Опишем подробнее структуру раздела или Положения.
1. Общие положения.
1.1. Термины и сокращения.
1.2. Классификация рисков.
2. Кредитные риски.
2.1. Виды кредитных рисков. Идентификация рисков.
2.2. Оценка кредитных рисков.
2.3. Определение допустимого уровня риска.
2.4. Меры, направленные на предотвращение (минимизацию) рисков.
2.5. Процедуры, применяемые при реализации риска.
3. Операционный риск.
4. Правовой риск и риск потери деловой репутации.
5. Страновой риск.
6. Стратегический риск.
По каждому виду рисков могут быть такие же подразделы, как по кредитному риску: виды рисков и их идентификация, оценка риска, определение допустимого уровня, меры, направленные на предотвращение (минимизацию) рисков, процедуры, применяемые при реализации риска.
Термины данного раздела нуждаются в отдельном разъяснении. Определения можно взять из Письма № 70-Т.
Кредитный риск – риск возникновения у Банка убытков вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед Банком в соответствии с условиями договора.
Операционный риск – риск возникновения убытков в результате:
- несоответствия характеру и масштабам деятельности Банка и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок;
- нарушения внутренних порядков и процедур служащими Банка и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия);
- несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых Банком информационных, технологических и других систем и (или) их отказов (нарушений функционирования);
- в результате воздействия внешних событий.
Правовой риск – риск возникновения у Банка убытков вследствие:
- несоблюдения Банком требований нормативных правовых актов и заключенных договоров;
- допускаемых правовых ошибок при осуществлении деятельности (неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах;
- несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности Банка);
- нарушения контрагентами нормативных правовых актов, а также условий заключенных договоров.
Риск потери деловой репутации (репутационный риск) – риск возникновения у Банка убытков в результате уменьшения числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости Банка, качестве оказываемых им услуг или характере деятельности в целом.
Страновой риск – риск возникновения у Банка убытков:
- в результате неисполнения иностранными контрагентами (юридическими, физическими лицами) обязательств из-за экономических, политических, социальных изменений;
- вследствие того, что валюта денежного обязательства может быть недоступна контрагенту из-за особенностей национального законодательства (независимо от финансового положения самого контрагента).
Стратегический риск – риск возникновения у Банка убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития Банка (стратегическое управление) и выражающихся:
- в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности Банка;
- в неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых Банк может достичь преимущества перед конкурентами;
- в отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, людских) и организационных мер (управленческих решений), которые должны обеспечить достижение стратегических целей деятельности Банка.
Разумеется, все эти риски следует рассматривать применительно лишь к «пластиковому» бизнесу. Поэтому в Правилах, которые мы пишем, можно подробно остановиться только на специфических карточных рисках, а по остальным сделать ссылки на соответствующие внутрибанковские документы, касающиеся управления рисками.
Вряд ли можно утверждать, что управление правовым, репутационным, стратегическим, и особенно страновым рисками имеет какие-либо особенности, касающиеся только операций с использованием банковских карт. Поэтому предлагаю уделить особое внимание только двум видам риска: кредитному и операционному.
Кредитный риск.
Долги американцев кредитно-карточным компаниям превысили $800 млрд
Банкир.Ру. Новости платежных систем.
Огромный объем просроченных потребительских кредитов в Южной Корее приобрел масштабы общенациональной проблемы. Репортажи о самоубийствах и преступлениях на долговой почве постоянно появлялись в выпусках новостей и газетах.
«Ведомости» 16.06.05
Идентификация кредитного риска.
Перечислим основные виды кредитного риска по операциям с платежными картами.
а) Вероятность неисполнения либо ненадлежащего исполнения заемщиком обязательств по ссудной задолженности перед банком в соответствии с условиями договора, либо существование реальной угрозы такого неисполнения (ненадлежащего исполнения).
Ссудная задолженность заемщика перед банком возникает в двух случаях:
- при осуществлении операций с кредитными картами;
- при осуществлении операций с расчетными картами в режиме «овердрафт».
В обоих случаях под обесценение ссудной задолженности формируются резервы на возможные потери по ссудам в соответствии с Положением ЦБ РФ от 26 марта 2004 г. № 254-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности».
Для краткости назовем этот риск риском невозврата ссудной задолженности.
б) Фактором риска для банка, с точки зрения ЦБ РФ, также является наличие условных обязательств кредитного характера, порядок формирования резервов по которым регулируется Положением Банка России от 09 июля 2003 г. № 232-П «О порядке формирования кредитными организациями резервов на возможные потери».
В соответствии с Положением № 232-П к условным обязательствам кредитного характера, в частности, относятся условные обязательства кредитной организации предоставить денежные средства на возвратной основе.
В отношении операций с платежными картами к условным обязательствам кредитного характера могут быть отнесены:
- неиспользованные кредитные линии, или неиспользованный лимит задолженности по кредитным картам;
- неиспользованные лимиты по предоставлению кредита в виде «овердрафт» по расчетным картам.
В дальнейшем будем называть это риском наличия условных обязательств кредитного характера.
Хотя, если честно, возникающий в данном случае риск я бы не отнесла к кредитным. Скорее это риск оттока средств или потери ликвидности. Или вообще бы не считала риском с точки зрения возможности понесения потерь, под которые, собственно, и следует создавать резервы. Но это уже другая тема.
Одним словом, решайте сами, учитывать ли в составе рисков по операциям с платежными картами условные обязательства кредитного характера. Кстати, в соответствии с Письмом ЦБ РФ от 23.06.2004 г. № 70-Т «О типичных банковских рисках» неиспользованные кредитные линии и овердрафты не попадают под определение кредитного риска (определение см. выше). Да и под определение риска ликвидности – не очень: там речь идет о вероятности неисполнения банком в полном объеме своих обязательств, а не условных обязательств.
Хотя, наверное, чтобы доставить удовольствие куратору из ЦБ, лучше такой риск описать. Ведь резервы по счетам 91302 и 91309 мы все равно создаем.
в) Существует еще риск возникновения неразрешенного овердрафта, вызванный особенностями технологии совершения карточных операций. Такой риск носит в себе признаки как кредитного риска (риск неисполнения заемщиком возникших обязательств), так и операционного (риск возникновения такой задолженности в принципе). В данном разделе мы рассмотрим только особенности определения кредитного риска.
Этот вид кредитного риска назовем риском неразрешенного оведрафта.
Он является специфическим «карточным» риском, и поэтому ему следует уделить особое внимание. Для начала – классифицировать.
Неразрешенный овердрафт (НО) возникает в связи с технологическими особенностями осуществления операций с банковскими картами, их авторизации и расчетов по ним. И в связи с человеческим фактором, разумеется, тоже. Причин возникновения НО может быть несколько, в том числе:
- умышленные мошеннические действия клиента;
- мошеннические действия других лиц;
- неумышленные (случайные) действия.
Неразрешенный овердрафт может быть двух видов[3]: предусмотренным и непредусмотренным.
Пунктом 2.8. Положения № 266-П предусмотрена ситуация, когда при эмиссии банковских карт в договор банковского счета включается условие об осуществлении клиентом операций с использованием данных карт, сумма которых превышает:
- остаток денежных средств на банковском счете клиента при отсутствии условия об овердрафте (по расчетным картам);
- лимит предоставления овердрафта (по расчетным картам);
- лимит предоставляемого кредита (по кредитным картам).
Таким образом, превышение остатка или установленного лимита можно назвать предусмотренным овердрафтом, хотя и неразрешенным. Пусть будет ПНО - предусмотренный неразрешенный овердрафт.
При отсутствии в договоре банковского счета, кредитном договоре такого условия погашение клиентом возникшей задолженности должно производиться в соответствии с законодательством РФ.
Пусть это будет ННО – непредусмотренный неразрешенный овердрафт.
С точки зрения кредитного риска следует рассмотреть вероятность невозврата денежных средств по каждому из этих случаев.
Понятно, что в случае мошенничества вероятность невозврата максимальна, и резерв по возникшей задолженности следует создавать в размере 100% (пятая группа риска или категория качества).
Случайно возникшая задолженность у добросовестного заемщика, напротив, имеет хорошие шансы быть погашенной.
Для корректного описания во Внутрибанковских правилах порядка оценки кредитного риска по неразрешенным овердрафтам необходимо, на мой взгляд, четко классифицировать все возможные ситуации по видам возникающих активов, в том числе определить порядок бухгалтерского учета по ним. Тогда станет ясным и способ оценки риска, и порядок создания резервов. Я далека от мысли, что бухгалтерский учет операции может определять какие-то существенные параметры оценки риска по ней, но то, что правильное отражение в учете помогает «разложить все по полочкам» - однозначно.
О бухгалтерском учете неразрешенного овердрафта мы еще поговорим, а в данном разделе можно просто указать, что если возникшая задолженность классифицируется как ссудная и/или приравненная к ней, то ее оценка производится в соответствии с Положением ЦБ РФ № 254-П и внутрибанковским Положением о порядке формирования РВПС. Если же задолженность не соответствует определению ссудной и приравненной к ней задолженности, то она должна считаться балансовым активом, по которому существует риск понесения потерь. Такая задолженность подлежит оценке и резервированию в соответствии с Положением ЦБ РФ № 232-П и соответствующим внутрибанковским Положением.
При принятии такого решения определяющим мнением, надо полагать, должно стать мнение юриста. Правда, мнений, как известно, бывает не меньше трех на двух юристов. Но если исходить из комментариев И.А. Спиранова, чьи лекции по правовому регулированию и налогообложению операций с банковскими картами в прошлом году прослушали большинство банков, то получается примерно следующий расклад.
Непредусмотренный неразрешенный овердрафт, который трактуется как неосновательное обогащение в соответствии со статьей № 1102 ГК РФ, можно признать дебиторской задолженностью – балансовым активом, по которому существует риск понесения потерь. Следовательно, оценка риска и формирование резервов по ННО должны осуществляться в соответствии с Положением № 232-П.
Предусмотренный неразрешенный овердрафт, как видно из его названия и юридической сути, хотя и не разрешен, но все же предусмотрен. Отношения кредитования возникают не при обычном режиме совершения операций, а в исключительных случаях, при нарушении клиентом своих обязательств совершать операции только в пределах остатка средств на счете (лимита оведрафта по платежной карте, лимита кредитования по кредитной карте). В этом случае в соответствии с условиями договора клиент должен немедленно погасить возникшую задолженность и выплатить установленные договором проценты. То есть, с некоторыми оговорками ПНО можно признать ссудной задолженностью. Следовательно, оценка риска и формирование резервов по предусмотренным неразрешенным овердрафтам должны осуществляться в соответствии с Положением № 254-П.
Оценка кредитных рисков.
Риск невозврата ссудной задолженности и риск наличия условных обязательств кредитного характера оцениваются в рамках общей системы контроля кредитных рисков. Их величина соответствует размеру резерва на возможные потери по ссудам. Даем ссылку на внутрибанковские документы, регламентирующие порядок оценки рисков и формирования резервов на возможные потери в соответствии с Положениями Банка России № 232-П и 254-П (надо думать, что они уже утверждены и функционируют).
Порядок оценки кредитного риска будет таким же, как и по любой другой задолженности или условному обязательству кредитного характера.
С учетом особенностей «карточного» бизнеса можно предположить, что соответствующие элементы расчетной базы резервов будут объединены в портфели однородных ссуд.
Риск неразрешенного овердрафта.
Как мы уже выяснили, оценка кредитного риска в данном случае осуществляется в том же порядке, что и по ссудной задолженности (прочим активам).
Определение допустимого уровня риска.
Этот пункт также тесно связан с действующей в банке системой контроля уровня кредитного риска. Можно установить предельный уровень риска в количественном выражении, причем показателем уровня риска может быть, например:
- удельный вес просроченных ссуд (в том числе неразрешенного овердрафта, как предусмотренного, так и непредусмотренного) в общей сумме кредитного портфеля по операциям с платежными картами;
- размер созданного резерва на возможные потери (в процентах от общей суммы ссудной задолженности);
- величина убытков от списания безнадежной задолженности по операциям с платежными картами в течение определенного периода и т.д.
В случае достижения максимально допустимого уровня риска банк, очевидно, должен принять меры по снижению риска.
Меры, направленные на предотвращение (минимизацию) кредитных рисков.
Опять-таки делаем ссылку на общую систему управления кредитным риском.
Как и в общем случае, минимизация кредитного риска по требованиям Банка, возникшим при осуществлении операций с платежными картами, возможна в случае правильной оценки финансового положения клиента и его добросовестности на этапе принятия решения о выдаче карты; в дальнейшем – при условии осуществления постоянного контроля качества обслуживания долга. Важную роль также может играть наличие гарантий работодателей по договорам, связанным с зарплатными проектами.
При достижении критической величины кредитного риска банк может принять решение об ограничении или даже прекращении деятельности, связанной с выпуском кредитных карт (расчетных карт с овердрафтом).
Процедуры, применяемые при реализации кредитного риска.
В этом разделе описываем действия банка, связанные со взысканием просроченной задолженности, в том числе неразрешенного овердрафта. Или делаем ссылку на Положение о кредитовании физических лиц, в котором такие действия уже описаны.
Операционный риск.
Рождество для жителей одного французского города стало воистину волшебным. Вместо купюр в 20 евро один из банкоматов города вдруг начал выдавать купюры номиналом в 50 евро. Не прошло и 2-х часов, как жители города опустошили доступный банкомату запас наличности.
20 млн. фунтов удалось награбить предприимчивому почтальону. Именно в такую сумму обошлась деятельность 34-летней Дайдо Мае-Белезика (Dido Mayue-Belezika) потребителям в Великобритании, так и не дождавшимся своих кредитных карт.
Банкир.Ру. Новости платежных систем.
За основу берем Письмо ЦБ РФ от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях».
Идентификация операционного риска.
В соответствии с Письмом № 76-Т внутренними и внешними факторами операционного риска являются:
- случайные или преднамеренные действия физических и/или юридических лиц, направленные против интересов банка;
- несовершенство организационной структуры банка в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете;
- несоблюдение служащими установленных порядков и процедур;
- неэффективность внутреннего контроля;
- сбои в функционировании систем и оборудования;
- неблагоприятные внешние обстоятельства, находящиеся вне контроля банка.
Под такое определение, в принципе, подходят любые события, негативно влияющие на деятельность банка.
Попробуем определить, какие виды рисков относятся к операционным с точки зрения карточного бизнеса[4]. При этом классифицируем случаи операционных убытков, возникающих в результате различного сочетания факторов операционного риска, в соответствии с Письмом № 76-Т.
а) Злоупотребления или противоправные действия, осуществляемые служащими или с участием служащих банка, в том числе:
- хищения денежных средств, персонализированных и неперсонализированных карт;
- злоупотребление служебным положением;
- преднамеренное сокрытие фактов совершения операций и сделок;
- несанкционированное использование информационных систем и ресурсов.
б) Противоправные действия сторонних по отношению к банку (третьих) лиц, в том числе:
- подлог и (или) подделка платежных и иных документов, платежных карт;
- несанкционированное проникновение в информационные системы.
в) Нарушение банком или служащими трудового законодательства, в том числе:
- нарушение условий трудового договора;
- причинение вреда здоровью служащих.
г) Нарушение иного законодательства, в том числе:
- банковского;
- антимонопольного;
- по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
д) Неисполнение или ненадлежащее исполнение возникающих из договоров обязательств, связанных с основной деятельностью, перед клиентами, контрагентами и (или) иными третьими лицами.
е) Нарушение обычаев делового оборота, в том числе:
- ненадлежащее использование конфиденциальной информации;
- навязывание услуг;
- сговор по ценам.
ж) Повреждение или утрата основных средств и других материальных активов в результате:
- актов терроризма;
- стихийных бедствий;
- пожара и т.д.
з) Выход из строя оборудования и систем, в том числе:
- сбой (отказ) в работе автоматизированной банковской системе;
- сбой (отказ) в работе систем связи;
- поломка оборудования.
и) Ненадлежащая организация деятельности, ошибки управления и исполнения, в том числе в результате:
- неадекватной организации внутренних процессов и процедур;
- отсутствия (несовершенства) систем защиты и (или) порядка доступа к информации;
- неправильной организации информационных потоков внутри банка;
- невыполнения обязательств перед банком поставщиками услуг (исполнителями работ);
- ошибок при вводе и обработке данных по операциям и сделкам;
- утери документов и т.д.
Результатом реализации операционного риска являются операционные убытки, которые могут представлять собой:
- снижение стоимости активов, как материальных (банкоматов, терминалов, другого оборудования), так и финансовых (обесценение кредитного портфеля вследствие возрастания уровня риска);
- досрочное списание (выбытие) материальных активов;
- денежные выплаты на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством РФ, в связи с опротестованием операций через платежные системы;
- денежные выплаты клиентам и контрагентам, а также служащим банка в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине банка, в связи с совершением операций с использованием банковских карт;
- затраты на восстановление деятельности банка по операциям с банковскими картами и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;
- прочие убытки.
Выявление и оценка операционного риска.
Выявление операционного риска по операциям с банковскими картами основано на проведении анализа условий функционирования банка, в том числе:
- анализ изменений в сфере банковских услуг с использованием пластиковых карт в целом (например, внедрение новых технологий), которые могут оказать влияние на эффективность деятельности банка;
- анализ отдельных видов операций с использованием банковских карт;
- анализ внутренних процедур по операциям с банковскими картами, включая систему отчетности и обмена информацией.
Меры, направленные на предотвращение (минимизацию) операционных рисков.
Как уже неоднократно было сказано, ничего принципиально нового здесь предложено не будет. Все описано в Положении № 242-П и Письме № 76-П. Просто адаптируем существующую в банке систему управления операционным риском к карточному бизнесу.
Основными направлениями минимизации пластикового операционного риска могут быть следующие.
а) Контроль за совершением операций с использованием банковских карт.
Формы контроля определяются Положением № 205-П и Положением № 242-П. Приведем основные из них:
- дополнительный контроль по операциям, подлежащим дополнительному контролю в соответствии с Приложением № 5 к Положению № 205-П[5];
- внутрибанковский (последующий) контроль в соответствии с Разделом 3 Части 3 Положения № 205-П[6];
- проверки, осуществляемые органами управления путем запроса отчетов и информации о результатах деятельности структурных подразделений, принимающих участие в осуществлении операций с использованием банковских карт, и разъяснений их руководителей (в целях выявления недостатков контроля, нарушений, ошибок);
- контроль, осуществляемый руководителями «карточных» подразделений посредством проверки отчетов о работе подчиненных им служащих (на периодической основе);
- проверка соблюдения установленных лимитов на осуществление операций с использованием банковских карт;
- система согласования (утверждения) операций (сделок) и распределения полномочий при совершении операций с использованием банковских карт, превышающих установленные лимиты, или проводимых на условиях, отличающихся от стандартных;
- материальный (физический) контроль, осуществляемый путем:
- ограничения доступа к материальным ценностям (заготовкам пластиковых карт, персонализированным картам, ПИН-кодам и т.д.);
- раздельного хранения и перевозки персонализированных карт и ПИН-кодов к ним;
- пересчета материальных ценностей (денежной наличности в кассетах банкоматов, заготовок и персонализированных карт);
- разделения ответственности за хранение и использование персонализированных и неперсонализированных карт;
- обеспечение охраны помещений для хранения материальных ценностей, используемых при осуществлении операций с банковскими картами, и безопасности их перевозки.
б) Распределение функций (должностных обязанностей) сотрудников.
Должностные обязанности сотрудников, связанных с выпуском и обслуживанием банковских карт, распределяются таким образом, чтобы:
- исключить или свести к минимуму конфликт интересов (противоречие между имущественными и иными интересами банка, его служащих и клиентов, которое может повлечь за собой неблагоприятные последствия) и условия его возникновения;
- исключить или свести к минимуму возможность совершения преступлений и осуществления других противоправных действий при совершении операций с банковским картами;
- исключить совмещение одним и тем же подразделением или служащим функций:
- совершения операций с банковскими картами и их регистрации и (или) отражения в бухгалтерском учете;
- санкционирования выплаты денежных средств и осуществления (совершения) их фактической выплаты (например, при выдаче наличных с карточного счета по паспорту в случае утраты карты);
- проведения операций по карточным счетам клиентов банка и финансово-хозяйственных операций самого банка, осуществляемых с использованием банковских карт;
- предоставления консультационных и информационных услуг клиентам по совершению операций с банковскими картами и совершения таких операций с теми же клиентами;
- оценки достоверности и полноты документов, представляемых при выдаче кредитной карты (расчетной карты с овердрафтом) и осуществления мониторинга финансового состояния заемщика.
Все вышеперечисленное входит в требования Положения ЦБ РФ № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», и, между прочим, не так уж легко выполнимо. Если строго следовать указаниям Банка России, то при выдаче банковской карты клиенту работник банка должен молчать, как Мальчиш-Кибальчиш на допросе, дабы не допустить ненароком предоставления консультационных и информационных услуг.
Исключить конфликты интересов и возможность совершения преступлений, очевидно, полностью невозможно, поэтому пришлось добавить в соответствующий пункт формулировку «свести к минимуму», которой в Положении № 242-П не предусмотрено.
в) Контроль за подбором и расстановкой кадров.
Кадры, как известно, решают все – и в процессе минимизации операционного риска по операциям с использованием банковских карт мы не сможем обойтись без контроля за персоналом. Подробное описание принципа «Знай своего служащего» можно найти в Приложении 2 к Письму ЦБ РФ от 30.06.2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах»
г) Анализ клиентской базы.
Заключается в том, что соответствующие службы банка производят тщательную проверку физических лиц и организаций, претендующих на получение банковских карт, а также предприятий торговли, желающих участвовать в системе эквайринга. Осуществляется также периодический мониторинг деятельности клиентов, уже имеющих банковские карты или находящихся на обслуживании в банке-эквайрере.
Здесь можно также воспользоваться Приложением 1 к Письму № 92-Т, в котором описывается принцип «Знай своего клиента».
д) Контроль за функционированием оборудования и коммуникационных систем.
Этот пункт лучше всего попросить написать кого-нибудь из специалистов службы информационных технологий. Ну а если они откажутся, то включим туда как минимум:
- мониторинг каналов связи на наличие и продолжительность сбоев, а также качество связи;
- мониторинг оборудования (банкоматов, POS-терминалов) на наличие неисправностей и выявление их причин;
- определение времени и материальных ресурсов, необходимых на устранение неисправностей.
* * *
Существуют и другие способы минимизации операционных рисков, предлагаемые Письмом № 76-Т, в том числе:
- развитие систем автоматизации банковских технологий и защиты информации;
- передача риска или его части третьим лицам (аутсорсинг);
- страхование риска и т.д.
При работе с международными платежными системами банк, очевидно, будет использовать установленные этими системами технологии управления рисками. Об этом тоже можно упомянуть в разрабатываемом внутрибанковском Положении.
* * *
Можно предложить и другие способы классификации рисков.
Например, по источникам (субъектам) возникновения риска:
- банки-эмитенты;
- эквайреры;
- держатели карт;
- платежные системы;
- торговые предприятия;
- карточные мошенники;
- процессинговые компании;
- государственные и регулирующие органы.
Или по природе рисков (качественная классификация):
Физический риск: вероятность потерь, связанных с физической утратой ресурсов (оборудования, информации, специалистов).
Виды физического риска:
- утрата персонализированных и неперсонализированных карт;
- несанкционированный доступ к содержимому банкоматов;
- несанкционированный доступ в операционные системы банкоматов и терминалов, линий связи;
- несанкционированный доступ в процессинговые и криптографические системы, нарушение целостности баз данных и систем информационной безопасности.
Юридический риск: риск потерь, вытекающих из невозможности законодательного принуждения контрагентов к выполнению договорных обязательств.
Риск взаимоотношений: риск неблагоприятного развития отношений с персоналом, клиентами, партнерами и общественностью.
Финансовые риски – риски прямых финансовых потерь. Сюда относятся:
- риск мошеннического использования карты;
- риск невозврата задолженности по карте;
- риск ошибочного (завышенного) проставления расходного лимита в авторизационной системе.
Еще вариант – функциональная классификация:
Общеорганизационные риски. К ним относятся:
- большинство физических рисков;
- риски, вытекающие из организации производственных отношений между сотрудниками и подразделениями;
- кадровый риск;
- риски, связанные с ошибочной постановкой целей;
- риски неадекватного восприятия рынка и ошибочного маркетинга.
Операционные риски – группа рисков, непосредственно связанных с ведением текущих операций и вытекающих из операционного процесса, обеспечиваемого «карточным» подразделением банка. Это могут быть:
- финансовые риски, связанные с неправильной обработкой платежных документов (в электронном и/или в бумажном виде), отсутствием или недостаточностью последующего контроля;
- риски по ошибочному или умышленному необоснованному увеличению расходных и/или кредитных лимитов;
- риски неправильного управления остатками на корреспондентских счетах;
- риски возникновения несанкционированных задолженностей (овердрафтов);
- риски несанкционированного использования карт;
- риски ошибочной загрузки и параметризации банкоматов и т.д.
* * *
В заключение этого раздела позволю себе привести цитату из упомянутой выше книги «Пластиковые карты» издательства «БДЦ-Пресс»:
«На практике однозначно квалифицировать риск представляется весьма затруднительным, т.к. к реализации риска, как правило, приводит не какое-либо обособленное действие или бездействие кого-либо (в противном случае все было бы очень просто!), а стечение обстоятельств, в том числе реализация риска так называемых белых пятен, т.е. ситуаций, вообще не предусмотренных или обойденных вниманием при разработке систем контроля над рисками. Это еще раз подтверждает, что любой риск, в частности «карточный», чаще всего имеет комбинированную природу».
Вывод же из всего вышесказанного напрашивается такой. Не стоит слишком акцентировать внимание на описании системы управления «пластиковыми» рисками, достаточно описать некоторые особенности «пластика» в рамках существующей в банке системы управления рисками. А для удовлетворения требований Банка России в области разработки внутрибанковских нормативных документов вполне должно хватить материала, изложенного в этой статье.
Автор благодарит участников форума «Управление рисками» сайта www.bankir.ru. При написании этого раздела использована тема «Управление рисками по 266-П».
