Stoa

Модуль V·Статья III·~5 мин чтения

Операционный риск и риск событий

Экстремальные события и хвостовые риски

Превратить статью в подкаст

Выберите голоса, формат и длину — AI запишет аудио

Операционный риск и риск событий

Операционный риск — риск убытков вследствие недостаточных или неудовлетворительных внутренних процессов, людей, систем или внешних событий. Это не «модный» риск (как кредитный или рыночный), но один из самых разрушительных: Société Générale потеряла €4.9 млрд из-за rogue trader Жерома Кервьеля (2008), Knight Capital обанкротилась за 45 минут из-за ошибки алгоритма ($440 млн, 2012), JPMorgan «London Whale» — $6.2 млрд (2012), Wells Fargo fake accounts — $3 млрд штрафов и репутационный ущерб (2016). Basel II/III требуют от банков резервирования капитала под операционный риск, и эта область быстро развивается с ростом значимости кибер-рисков.

Классификация операционных рисков

Типология Basel — 7 категорий событий:

  1. Внутреннее мошенничество. Несанкционированные сделки, кража, преднамеренное искажение отчётности.
  2. Внешнее мошенничество. Кража, взлом, фишинг, киберпреступления извне.
  3. Практика найма и безопасность работников. Дискриминация, harassment, нарушения трудового законодательства.
  4. Ущерб клиентам, продуктам, бизнес-практикам. Misselling, нарушения fiduciary duty, отмывание денег.
  5. Ущерб материальным активам. Стихийные бедствия, террористические атаки.
  6. Сбои систем и нарушения бизнеса. IT outages, отказы инфраструктуры.
  7. Управление процессами. Ошибки в обработке транзакций, документации, поставщиков.

8 бизнес-линий (Basel):

  1. Корпоративные финансы.
  2. Trading & Sales.
  3. Розничный банкинг.
  4. Коммерческий банкинг.
  5. Платежи и расчёты.
  6. Агентские услуги.
  7. Управление активами.
  8. Розничная брокерская деятельность.

Матрица 7×8 = 56 ячеек, для каждой — отдельная модель убытков. Регулятор требует данные за ≥ 10 лет из OpRisk базы.

Модели капитала под операционный риск

Basel II — три подхода (по сложности):

1. Basic Indicator Approach (BIA). Капитал = 15% × средний валовой доход за 3 года. Простейший. Используется маленькими банками.

2. Standardized Approach (TSA). Для каждой бизнес-линии — свой коэффициент β (12–18%). Капитал = Σ β_i × валовой доход_i.

3. Advanced Measurement Approach (AMA). Внутренние модели:

Loss Distribution Approach (LDA). Для каждой ячейки (категория, линия):

  • Частота: N ~ Poisson(λ) или NegBin (для overdispersion).
  • Тяжесть: X ~ LogNormal или GPD (для тяжёлых хвостов).
  • Суммарный годовой убыток в ячейке: S = Σ X_i.

Capital = VaR_{0.999}(Σ_ячейки S) на горизонт 1 год. Сумма по ячейкам с учётом зависимостей (часто через copula).

Basel III — переход к SMA (Standardised Measurement Approach, 2017-2023). AMA отменён из-за непрозрачности и низкой сопоставимости моделей разных банков. SMA: Capital = BI × ILM (Internal Loss Multiplier), где BI (Business Indicator) — функция размера банка, ILM — коэффициент на основе исторических убытков.

Особенности оценки операционного риска

Проблемы:

  • Мало данных для хвостов. Действительно крупные потери редки (1-2 раза в десятилетие на банк) → недостаточно для калибровки распределения тяжести.
  • External data (consortium data). ORX (Operational Riskdata eXchange) — международный консорциум из 100+ банков, делящихся (анонимизированно) данными об убытках. Помогает калибровать хвост.
  • Scaling. Внешние данные не идентичны портфелю банка — нужно нормировать на размер организации (по выручке, активам).
  • Non-stationarity. Профиль рисков меняется со временем (новые продукты, новые угрозы — кибер).

Численный пример

Банк с базой OpRisk-убытков: 50 событий за 5 лет.

  • 40 событий < $1M.
  • 8 событий $1-10M (средний $4M).
  • 2 события > $10M (один $25M, один $50M).

Шаг 1. Частота: λ̂ = 50/5 = 10/год → N ~ Poisson(10).

Шаг 2. Тяжесть. Подгонка LogNormal к 40 событиям (body): μ_body = 13.5 (e^13.5 ≈ $700K), σ_body = 1.2. Подгонка GPD к 10 хвостовым (above $1M = u): ξ̂ = 0.45 (тяжёлый хвост), σ̂ = $3M.

Шаг 3. Композитная модель: combined severity X = LogNormal·1{X<u} + GPD-tail·1{X≥u}.

Шаг 4. Monte Carlo (100 000 симуляций года):

  • Симулировать N ~ Poisson(10).
  • Для каждого из N событий — выборка X из композитного распределения.
  • S_year = Σ X.

Эмпирическое распределение S:

  • E[S] = $9M.
  • σ(S) = $25M.
  • VaR_{0.999}(S) ≈ $180M. Это OpRisk Capital по AMA.
  • VaR_{0.99}(S) ≈ $80M.

Сравнение с BIA. Если валовой доход банка $500M/год: Capital_BIA = 15% × $500M = $75M.

AMA даёт $180M — значительно выше из-за тяжёлого хвоста (учитывает «возможность» события $200M+, которого ещё не было).

Cyber Risk

Растущая категория operational risk. Особенности:

  • Чрезвычайно тяжёлые хвосты (ξ > 0.5 для размера breaches).
  • Систематичность: одна уязвимость может ударить по всей отрасли (NotPetya 2017, Log4Shell 2021).
  • Корреляция с другими рисками (cyber-related financial fraud).

Известные катастрофы:

  • WannaCry (май 2017): £92M убыток NHS UK, $4–8 млрд глобально.
  • NotPetya (июнь 2017): $10+ млрд глобально (Maersk, FedEx, Merck).
  • SolarWinds (декабрь 2020): компрометация 18 000+ организаций.
  • Colonial Pipeline ransomware (май 2021): paid $4.4M, stoppage 6 дней.
  • MOVEit (2023): >2000 организаций, 60+ млн записей.

Cyber insurance market: $14B premiums (2022) → projected $34B (2031). Exclusions: war, critical infrastructure (war exclusion активирован Lloyd's в 2023 после конфликта в Украине).

FAIR (Factor Analysis of Information Risk). Количественная модель cyber: Risk = частота угрозы × вероятность успеха × масштаб ущерба. Каждый компонент — Monte Carlo выборка → распределение ожидаемых потерь.

Управление операционным риском

Key Risk Indicators (KRI). Метрики-предвестники:

  • Доступность IT-систем (% uptime).
  • Число ошибок транзакций per 1000.
  • Текучесть персонала (особенно в trading, IT-security).
  • Backlog в operations.
  • Failed audit findings.

Пороговые значения KRI → ранние предупреждения для эскалации.

RCSA (Risk and Control Self-Assessment). Раз в год бизнес-линии:

  • Идентифицируют ключевые риски.
  • Оценивают inherent risk (без контролей).
  • Описывают существующие контроли.
  • Оценивают residual risk (с контролями).
  • Gap analysis → план действий.

Операционные потери (loss data collection). Все события > порога ($5K-$25K) фиксируются в базе с категоризацией. Используется для калибровки моделей.

Реальные применения

  • Société Générale 2008. Жером Кервьель открыл несанкционированные позиции на €50 млрд (notional). Потеря €4.9 млрд при unwinding. Урок: контроли trading limits, IT-security, four-eyes principle.
  • JPMorgan «London Whale» 2012. Бруно Иксил, синтетические кредитные позиции. Потери $6.2 млрд. Урок: model risk, supervision.
  • Wells Fargo fake accounts 2016-2018. 3.5 млн фальшивых аккаунтов клиентов под давлением sales targets. Штрафы $3+ млрд, увольнение CEO. Урок: incentive misalignment.
  • Knight Capital 2012. Ошибка deployment алгоритма HFT. Потеря $440M за 45 минут. Банкротство. Урок: deployment процессы, kill switches.
  • Credit Suisse Archegos 2021. $5.5 млрд потерь от family office Bill Hwang. Урок: counterparty risk, transparency требований margin.

Задание. Банк с исторической базой OpRisk-убытков: 50 событий за 5 лет. Частота N ~ Poisson(λ = 10/год). Тяжесть: 40 событий распределены LogNormal(μ = 13.5, σ = 1.2), 10 событий выше $1M распределены GPD(ξ = 0.45, σ = $3M, threshold = $1M). (а) В Python подгоните параметры распределений (статистика дана, проверьте). (б) Реализуйте Monte Carlo (100 000 симуляций года) для распределения суммарного годового убытка S. (в) Вычислите E[S], σ(S), VaR_{0.99}, VaR_{0.999}. (г) Сравните с BIA-капиталом (15% от валового дохода = $500M/год). (д) Чувствительность: как изменится VaR_{0.999} при ξ = 0.6 (более тяжёлый хвост)? при добавлении одного дополнительного $100M события за 5 лет?

§ Акт · что дальше

I
Предыдущая статьяСтресс-тестирование и сценарный анализ
Читать →
II
Отметить как изучено
Добавить статью в очередь повторений.
III
Спросить AI-наставника
Обсудить статью с AI, знающим курс.
Открыть →