1.3. Управление рисками платежных систем
Сфера организации платежей традиционно относится к числу высокорискованных. Это обусловлено сложностью применяемых процедур и инструментов, высокой мобильностью и оперативностью расчетов, стремительным развитием новых технологий, развитием систем дистанционного банковского обслуживания и угрозой совершения мошеннических операций. Возможность реализации рисков при этом опасна как для самих субъектов системы и ее пользователей, так и для экономики в целом. В этой связи риски платежных систем должны выявляться, отслеживаться, оцениваться и управляться.
Риск платежной системы в общем виде мы можем определить как вероятность потерь, возникающих у участников системы платежей в связи с выполнением ими функций по организации и проведению платежей.
Риски платежных систем – это риски, характерные для структур и операций платежных систем, а также субъектов, которые участвуют в платежных системах и передаче платежей.
Согласно классификации Банка международных расчетов, в платежных системах могут возникать следующие риски:
– кредитный риск – риск того, что сторона в системе будет не в состоянии исполнить полностью свои финансовые обязательства в срок или в любое время в будущем;
– риск ликвидности – риск того, что сторона в системе будет иметь недостаточно средств для исполнения своих финансовых обязательств в полном объеме в срок, несмотря на то, что она в состоянии сделать это в какой-либо момент в будущем;
– правовой риск – риск того, что слабая правовая база или правовая неопределенность вызовут или усилят кредитный риск или риск ликвидности;
– операционный риск – риск того, что операционные факторы, такие как технические неисправности или операционные ошибки, вызовут или усилят кредитный риск или риск ликвидности;
– системный риск – риск того, что неспособность одного из участников исполнить свои обязательства или нарушения в самой системе могут привести к неспособности других участников системы или финансовых институтов других областей финансовой системы своевременно исполнить свои обязательства. Такое неисполнение обязательств может стать причиной распространения проблем с ликвидностью и кредитоспособностью и как результат угрожать стабильности системы или финансовых рынков.
Отметим, что данную классификацию использует большинство банков Европы и США.
В глоссарии терминов по платежным и расчетным системам упоминаются также следующие виды рисков:
1. Расчетный риск (settlement risk) – общий термин, используемый для обозначения риска того, что ожидаемый расчет в системе перевода не будет осуществлен. Этот риск может включать как кредитный риск, так и риск ликвидности. Также расчетный риск определяется как риск неисполнения стороной одного или более расчетных обязательств перед своими контрагентами или расчетным агентом.
2. Кредитный риск (credit risk) как составляющая расчетного риска выражается в том, что один из контрагентов не сможет исполнить свои платежные обязательства.
Также, кредитный риск – это риск убытков в случае, когда учреждение осуществляющее расчеты (банк) осуществляет платежный перевод получателю до получения средств покрытия.
«Риск может возникать в период между приемом системой платежа и окончательным расчетом по нему. В современных быстродействующих платежных системах такой период очень короткий, он редко превышает несколько дней, при этом в системах платежей в режиме реального времени этот период практически ничтожен. Поэтому вероятность возникновения убытков от кредитных рисков для другого участника крайне мала, однако потенциальные убытки могут быть значительными, учитывая значительные позиции под риском. Участники в платежных системах могут также сталкиваться с кредитным риском на уровне расчетного банка, когда происходит обмен платежами через счета участников в связи с расчетами по платежам. В большинстве системно значимых платежных систем расчетным банком является центральный банк страны, что на практике устраняет кредитный риск для участников на уровне расчетного банка».
Кредитный риск обычно включает риск цены замещения и риск потери основной суммы.
3. Риск цены замещения (предрасчетный риск) (replacement cost risk) (presettlement risk) – риск того, что сторона по подлежащей исполнению сделке с завершением на определенную дату в будущем не сможет исполнить договор или соглашение в течение срока действия сделки. В результате риску цены замещения подвержена стоимость замещения первоначальной сделки по текущим рыночным ценам.
4. Риск потери основной суммы (principal risk) – кредитный риск, заключающийся в том, что сторона может потерять полную стоимость по сделке. В процессе расчета этот термин обычно ассоциируется со сделками на условиях обмена на стоимость, когда имеет место лаг между окончательным расчетом по различным частям сделки.
Банковский кредитный риск возникает, когда банк получателя принимает безотзывное обязательство за платеж, однако банк плательщика рассчитывается позже, поэтому существует риск того, что банк плательщика может оказаться не в состоянии платить.
5. Риск ликвидности (liquidity risk) как составная часть расчетного риска – это риск того, что контрагент (или участник расчетной системы) не осуществит расчет по обязательству в полном объеме в срок. Риск ликвидности не подразумевает неплатежеспособности контрагента или участника, поскольку он, возможно, сможет осуществить расчет по необходимым обязательствам в какое-либо неопределенное время позднее.
Риск ликвидности в платежных системах возникает, когда существует вероятность неполучения ликвидных средств в ожидаемый интервал времени. Участник будет обязан восполнить недостаток ликвидности другими способами. Он может быть принужден заимствовать деньги на рынке или продать ценные бумаги в режиме реального времени. Как правило, и то, и другое связано с убытками.
6. Риск денежного депозита (cash deposit risk) – кредитный риск, связанный с размещением у посредника денежных остатков в целях осуществления расчета по сделкам с ценными бумагами.
7. Риск окончательности (finality risk) – риск того, что условный перевод денежных средств или ценных бумаг будет аннулирован.
8. Расчетный риск по валютным операциям (foreign exchange settlement risk) – риск того, что одна сторона валютной операции уплатит проданную валюту, но не получит купленную валюту.
9. Правовой риск (legal risk) – риск того, что сторона понесет убытки в связи с тем, что законы или иные правовые акты не поддерживают правила системы расчета по ценным бумагам, выполнение соответствующих расчетных соглашений или имущественные права и другие интересы, учитываемые посредством расчетной системы. Правовой риск также возникает в случае, если применение законов и иных правовых актов является нечетким.
Отметим, что возникновение правового риска в сфере осуществления расчетов очень вероятно, поскольку сложность и быстрое развитие технологий платежей часто обуславливает отставание от этого процесса нормативной базы его реализации, а также различные юридические коллизии и нечетко сформулированные нормы законов и подзаконных актов.
10. Операционный риск (operational risk) – риск человеческой ошибки или сбоя какого-либо компонента аппаратного оборудования, программного обеспечения или коммуникационных систем, являющихся критическими для осуществления расчета.
Следует отметить, что риски могут угрожать как отдельному субъекту платежной системы, так и системе в целом. В этой связи выделяют системный риск.
Глоссарий так же, как и вышеуказанный документ дает аналогичное определение системного риска. Отметим, что платежная система как никакая другая подвержена системному риску. «Взаимодействие в рамках платежной системы обладает высоким уровнем взаимозависимости ее участников, что ведет к тому, что проблемы, возникающие у одного из них и препятствующие своевременному исполнению платежей (такие, как недостаточность ликвидности, технические сбои или нарушения в деятельности организационных структур и персонала), распространяются на других. Участники сталкиваются с риском несвоевременного выполнения своих расчетных обязательств, и в кризисных условиях суммы, находящиеся под риском, могут достигать значительной величины, усугубляя проявление иных кризисных проявлений в экономике».
Перечисленные выше риски, согласно различным классификациям могут иметь несколько разновидностей.
Так, риск ликвидности может быть представлен риском вариации и риском доступности.
Риск вариации (изменчивости) возникает вследствие широкого диапазона колебаний уровня ликвидности банка, что означает, что банк неспособен вовремя производить платежи, которые должен произвести, и должен временно откладывать исполнение платежей.
Риск доступности возникает по причине того, что ухудшение финансового состояния сокращает размер ликвидных средств, которые банк может получить на рынке в данный момент времени, в результате банк не в состоянии осуществить платежи, за которые он несет безусловные обязательства.
По мнению Банка международных расчетов наиболее значимым для платежных систем является операционный риск. «Операционный риск вызывают дорогостоящие ошибки в информационной системе при неправильном ее использовании и несанкционированном доступе к ней посторонних лиц, а также при администрировании или организации осуществления платежных переводов. Кроме того, многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок».
Операционные риски, в свою очередь, могут складываться из административных и криминальных рисков.
Административные риски обычно связаны с организацией операций банков, разделением обязанностей, функционированием внутренних процессов управления рисками, опытом работников резервных систем и их готовностью к разрешению проблем и т. д. Возрастающее усложнение и продолжающиеся изменения систем требуют большего объема знаний и опыта, чем раньше. Повышение мобильности ключевых сотрудников при ограниченном резерве кадров создает риски нехватки опыта и квалификации в разрешении особых проблем.
Рост организованной преступности может порождать большие потери для банков. Возрастающая автоматизация услуг означает, что преступники часто нуждаются в помощи со стороны инсайдеров среди существующего или бывшего персонала, чтобы ориентироваться в вопросах безопасности систем. В этой связи криминальные риски представляют собой опасность умышленных или неосторожных противоправных действий со стороны внешнего для участника платежной системы окружения или со стороны инсайдеров.
Отметим, что реализация информационного риска может повлечь утечку и несанкционированное раскрытие информации о совершенных операциях в платежной системе и последующее ее неправомерное использование. В настоящее время практически все государства в соответствии с международным опытом имеют в своем внутреннем законодательстве нормы и стандарты обеспечения информационной безопасности систем платежей.
С упомянутым нами правовым риском участников платежной системы тесно связан комплаенс-риск, под которым в данном случае можно понимать риск убытков или потери репутации в результате несоответствия деятельности участника платежной системы нормам законов, подзаконных актов и стандартов, регулирующих порядок оказания платежных услуг. В качестве составляющей данного риска можно отдельно выделить риск нарушения законодательства о противодействии легализации доходов, полученных преступным путем и финансированию терроризма, так как в сфере реализации платежных операций для этого создаются широкие возможности.
Европейский центральный банк выделяет в качестве риска, способного спровоцировать правовой и операционный риск общий риск менеджмента (управления). Он возникает в тех случаях, когда права и обязанности сторон четко не определены и не прописаны, и касающиеся первоочередных задач решения и действия не находят поддержки всех участников системы, то есть являются нескоординированными. Главные последствия указанного риска – это конфликт между участниками системы, невозможность с их стороны, а порой и нежелание поддерживать динамику рынка и инновационные решения, что не позволяет им адекватно реагировать на кризисные ситуации. Данный риск по своему содержанию может быть отнесен к административным операционным рискам.
Существенную угрозу для платежной системы представляет репутационный риск. Репутационный риск – это угроза того, что неблагоприятная информация о деятельности субъекта платежной системы в сфере оказания им платежных услуг может спровоцировать потерю доверия у существующих или потенциальных клиентов в результате формирования негативного общественного мнения о деятельности данного субъекта, применении отдельных инструментов и механизмов платежей или надежности платежной системы в целом.
Данный риск имеет значение не только для отдельно взятого института, но и для всей системы. Существенные потери могут быть спровоцированы ошибками другого института, предлагающего тот же или аналогичный сервис или продукты. В крайних случаях такая ситуация может привести к перебоям всех институтов в данной сфере.
В соответствии с методологией Банка Англии наибольшую угрозу для стабильности функционирования платежных систем представляют три вида рисков: расчетный, деловой и операционный риски. Определение расчетного и операционного риска аналогично вышеобозначенным. Под деловым риском при этом понимают риск того, что платежная система или один из ее компонентов (например, поставщик услуг инфраструктуры) станут финансово несостоятельными и неспособными функционировать в дальнейшем, что может нарушить или остановить предоставление платежных услуг.
Риски платежных систем могут быть классифицированы по широте распространения. По этому критерию выделяют риски, присущие системе в целом, риски отдельных участников системы, и риски отдельных операций (услуг).
В общем виде классификация рисков платежных систем представлена на рис. 1.3.1.
Рис. 1.3.1. Классификация рисков платежных систем.
Системная значимость платежных услуг и наличие широкого спектра рисков, им присущих, предопределяет необходимость их выявления, оценки и минимизации. Ключевую роль в данном процессе, согласно признанному международному опыту, должны играть специализированные государственные органы надзора и наблюдения за платежной системой.
«В рамках унифицированного подхода Евросистемы к наблюдению за платежными инструментами отмечается, что методика наблюдения базируется на использовании принципа декомпозиции и риск-ориентированного подхода, учитывающего, в частности, условия функционирования рынка платежных услуг и управление соответствующими рисками, которым подвержены системы, использующие те или иные платежные инструменты, на протяжении всего платежного цикла, включая клиринг и расчет».
Особое значение здесь имеет механизм предотвращения рисков. Существует ряд нормативных документов международного уровня, которые содержат предписания по минимизации и предотвращению рисков платежных систем, рекомендуемые к использованию во внутреннем регулировании.
Так, согласно Директиве ЕС:
– Платежные организации должны получить разрешение, обратившись в компетентные органы власти государства (для выдачи разрешения платежную организацию проверяют на соответствие установленным требованиям). Требования к платежным организациям должны отражать то обстоятельство, что эти организации осуществляют более узкие и специализированные виды деятельности, генерируя таким образом более низкие и легкие для мониторинга и контроля риски, чем те, которые возникают в связи с осуществлением более широкого круга операций кредитными организациями. В частности, платежные организации не должны обладать правом принимать средства на депозиты от клиентов, которые (средства) они могут использовать только для целей предоставления платежных услуг. Поэтому следует предусмотреть, чтобы средства клиентов были отделены от средств платежных организаций, используемых для других видов операций. Эти организации также должны подпадать под соответствующие требования по противодействию в сфере борьбы с легализацией денег и финансированием терроризма.
– Платежные организации в зависимости от оказываемых услуг должны выполнять установленные требования к первоначальному капиталу и собственным средствам.
– Платежные организации должны обеспечить сохранность средств пользователей платежных услуг согласно предписанным механизмам обеспечения (например, страхование).
– Платежные организации должны ежегодно проходить обязательный аудит.
– Платежные организации могут передавать часть своих функций на аутсорсинг (при соблюдении при этом установленной процедуры и правил).
Аутсорсинг важных операционных функций должен быть осуществлен таким образом, чтобы не нанести серьезный ущерб качеству внутреннего контроля платежной организации и не помешать компетентным властям проконтролировать факт соблюдения этой организацией всех обязательств.
При этом, как только платежная организация начинает представлять угрозу для стабильности платежной системы в случае продолжения своей деятельности в сфере платежных услуг, компетентный государственный орган в рамках осуществления надзора должен отозвать разрешение. Данные меры позволят допустить на рынок платежных услуг только добросовестных и надежных субъектов, а, следовательно, и предотвратить реализацию части рисков.
Также в вышеуказанном документе предусмотрен такой способ управления рисками как лимитирование. «В случае если платежный инструмент используется с целью дачи согласия, плательщик и его провайдер платежных услуг могут договориться о лимитах расходов для платежных операций, осуществляемых посредством этого платежного инструмента. Если рамочный контракт это предусматривает, провайдер платежных услуг может зарезервировать право блокировать платежный инструмент по объективным основаниям, относящимся к безопасности платежного инструмента, подозрениям в неавторизованном или мошенническом использовании платежного инструмента или, в случае платежного инструмента с кредитной линией, к серьезно возросшему риску неплатежеспособности плательщика».
Кроме того, установлен ряд обязательств провайдера по проверке кодов безопасности и его ответственность за неавторизованные операции. Данная норма позволяет сократить риск мошеннических операций в сфере платежных услуг.
Для минимизации рисков платежных систем Банк международных расчетов сформулировал ряд ключевых принципов:
1) Система должна иметь хорошо обоснованную правовую базу во всех применяемых юрисдикциях.
2) Правила и процедуры системы должны давать участникам четкое понимание воздействия системы на каждый из финансовых рисков, которым они подвергаются из-за участия в ней.
Участники должны осознавать финансовые риски, которым они подвержены. Поэтому операторы должны иметь правила и процедуры, которые:
– являются четкими, полными и актуальными;
– раскрывают дизайн системы, ее график и процедуры управления рисками;
– раскрывают правовую основу системы и роли сторон;
– абсолютно доступны;
– объясняют, какими возможностями и правами обладают стороны и как эти возможности реализуются;
– устанавливают процедуры и график принятия решений и уведомления о них в непредвиденных ситуациях.
Также может быть полезно организовать подготовку участников и отслеживать их действия в целях проверки понимания ими правил и процедур.
3) Система должна иметь четко определенные процедуры управления кредитными рисками и рисками ликвидности, которые устанавливают ответственность оператора и участников системы и обеспечивают надлежащие стимулы для управления рисками и их ограничения.
Данный принцип обозначает:
a) Инструменты управления кредитными рисками:
– использование систем, в которых кредитный риск между участниками не возникает (например, систем валовых расчетов в реальном времени);
– критерии доступа, базирующиеся на кредитоспособности (при этом система должна соблюдать Ключевой принцип 9);
– кредитные лимиты (двусторонние или многосторонние) на максимальные суммы под риском;
– соглашения о распределении убытков и/или соглашения «выплата стороной, не исполнившей обязательства.
b) Инструменты управления рисками ликвидности:
– управление очередями платежей;
– предоставление внутридневной ликвидности (связанное с кредитным риском для кредитора, например, центрального банка);
– нормативы пропускной способности;
– лимиты на позиции (отправителя или получателя);
– инструменты, описанные в Ключевом принципе 5 для систем отложенных нетто-расчетов.
c) Общие инструменты:
– информационные системы для поддержки инструментов управления кредитным риском и риском ликвидности;
– предоставление понятной, полной и оперативной информации участникам (в идеале в реальном времени);
– оперативное отслеживание оператором системы.
4) Система должна обеспечивать быстрый окончательный расчет в дату валютирования, желательно в течение дня, в крайнем случае – к концу дня.
5) Система с многосторонним неттингом должна, как минимум, обеспечивать своевременное завершение дневных расчетов в случае неплатежеспособности участника с наибольшим индивидуальным расчетным обязательством.
В подобных системах невыполнение обязательств одним участником может иметь существенные последствия для других участников и повлечь реализацию кредитного риска или риска ликвидности. Многие такие системы откладывают расчет, т. е. существует значительный разрыв между принятием платежа системой к расчету и окончательным расчетом. Системы с таким сочетанием многостороннего неттинга и отложенного расчета должны иметь механизмы управления рисками, которые с высоким уровнем надежности гарантируют завершение ежедневных расчетов в чрезвычайных обстоятельствах. Подобные системы должны как минимум быть в состоянии обеспечить своевременное завершение ежедневных расчетов в случае неспособности участника с наибольшим индивидуальным расчетным обязательством провести расчет.
Это может быть достигнуто за счет обеспечения гарантии дополнительных финансовых ресурсов в чрезвычайных ситуациях. Что обычно подразумевает сочетание следующих элементов:
– соглашения о кредитных линиях;
– пул обеспечения (депозиты или ценные бумаги, надлежащим образом оцененные).
Размеры таких дополнительных ресурсов должны определяться по отношению к максимальному индивидуальному расчетному обязательству с учетом того, соответствует ли система или превышает минимальный стандарт (т. е. способна ли она выдержать невыполнение обязательств участником с наибольшим индивидуальным расчетным обязательством или более масштабное невыполнение обязательств).
6) Используемые для расчетов активы предпочтительно должны быть требованиями к центральному банку; если используются другие активы, они должны нести небольшой или нулевой кредитный риск и небольшой или нулевой риск ликвидности.
Являясь держателями расчетных активов, участники несут кредитный риск и риск ликвидности. Они несут кредитный риск – в случае неисполнения поставщиком расчетного актива его обязательств перед ними – и риск ликвидности – в случае невозможности легко конвертировать актив в другие ликвидные активы. Требования к центральному банку обычно не только свободны от кредитного риска, но и свободно конвертируемы в другие ликвидные активы, деноминированные в той же валюте.
7) Система должна обеспечивать высокий уровень безопасности и операционной надежности и иметь резервные механизмы своевременного завершения обработки платежей в течение операционного дня.
Необходимо постоянно анализировать риски, угрожающие безопасности системы. Оператор системы должен постоянно следить за технологическим прогрессом, чтобы проводить анализ риска безопасности системы на современном уровне.
Система должна иметь достаточные мощности, контролировать их наличие и заранее наращивать их в преддверии возможных изменений в поставленных перед ней задачах.
Механизмами обеспечения непрерывности работы системы являются:
– использование надежного или дублирующего компьютерного оборудования;
– регулярный профилактический техосмотр всех компьютерных и телекоммуникационных компонентов;
– наличие запасных частей для оборудования и телекоммуникационных компонентов;
– автономное или непрерывное энергоснабжение и независимое водоснабжение;
– системы пожарной охраны и пожаротушения;
– наличие четкой и актуальной технологической и технической документации в первом и любом резервном центрах;
– регулярное тестирование всех резервных центров;
– процедуры регулярного копирования данных и программного обеспечения при его изменении и хранение важнейших компонентов за пределами основного процессингового центра;
– процедуры обмена данными на физических носителях (дискеты, пленка, бумага) в случае отказа телекоммуникаций;
– процедуры исключения определенных системных функций или участников, внеочередного инициирования или завершения определенных процессов;
– при внедрении новых компонентов программного обеспечения, оборудования или телекоммуникаций сохранение на короткий период возможности вернуться к старой технологии.
8) Система должна предоставлять удобные для пользователей и эффективные для экономики способы совершения платежей.
9) Система должна иметь объективные и публично объявленные критерии участия, обеспечивающие справедливый и открытый доступ.
Риск является одним из критериев доступа на рынок платежных услуг. Критерии доступа могут базироваться на таких показателях риска, как уровень достаточности капитала, рейтинги рисков или другие показатели. Критерии доступа следует применять постоянно, а не только в момент вхождения учреждения в систему, существует необходимость в критериях выхода. В системах, где критерии доступа связаны с уровнем риска, например, основаны на рейтингах риска, критерии выхода обычно допускают падение рейтинга участников несколько ниже уровня, требующегося для первоначального доступа. Это отражает признание того факта, что финансовое состояние участников с течением времени может меняться и что исключение участника, временно не отвечающего критериям доступа, может вызвать ненужный кризис доверия. В то же время необходима осторожность, чтобы не увеличивать общий риск в системе. Если подобная ситуация все же происходит, необходимо принимать меры по ограничению риска, например, созданием пула обеспечения. Обычно следует заранее четко определить спектр возможных мер в правилах системы.
10) Механизмы управления системой должны быть эффективными, подотчетными и прозрачными.
Этот принцип устанавливает независимость подразделений по управлению рисками и аудиту от тех, кто отвечает за текущие операции. Указанные подразделения должны заниматься правовыми, финансовыми, операционными рисками и риском безопасности.