Введение

Операционный риск уже нельзя рассматривать как набор отдельных ошибок в банковских процессах. В цифровом банке один сбой в данных, модели, мобильном приложении или работе подрядчика быстро затрагивает клиентов, отчетность и репутацию. Для крупного банка цена такой ошибки выше, потому что операции массовые, а внешних связей больше.

Параллельно банки внедряют ESG-подход, включающий экологические, социальные и управленческие факторы. На практике это означает новые требования к устойчивым продуктам, качеству нефинансовых данных, раскрытию информации, защите клиентов, работе с поставщиками и корпоративному управлению. Каждый из этих элементов может стать источником операционного события.

Цель статьи — показать, как ESG-факторы можно встроить в систему управления операционным риском банка. Акцент сделан на практических инструментах: классификаторе событий, ключевых индикаторах риска, контроле данных, антифрод-процедурах и оценке поставщиков.

Операционный риск в логике устойчивого развития

В российском регулировании базовым документом остается Положение Банка России № 716-П. Оно требует от кредитной организации описывать процессы, фиксировать события операционного риска, оценивать их последствия и проводить контрольные процедуры [1]. Для расчета капитала применяется Положение № 744-П, которое связывает размер операционного риска с бизнес-индикатором и качеством внутренних данных о потерях [2]. Но нормативный расчет не заменяет управление процессами: он показывает потребность в капитале, а не устраняет причины ошибок.

Международный подход движется в ту же сторону. Базельский комитет в 2021 г. связал операционную устойчивость со способностью банка выдерживать киберинциденты, технологические отказы, пандемии и природные события [3]. Для банка это означает простой вывод: устойчивое развитие становится частью обычного риск-менеджмента, если оно связано с процессами, данными и контролем [4].

Связь ESG-факторов и событий операционного риска удобнее рассматривать через конкретные процессы. Эта связь показана в таблице 1.

Таблица 1

Связь ESG-факторов с операционными событиями банка

Составлено автором на основе [1; 3; 4]

Таблица показывает, что ESG-факторы не образуют отдельный контур риска рядом с операционным риском, а меняют содержание уже существующих процессов. Самыми чувствительными зонами становятся данные, цифровые каналы, клиентская защита и поставщики. Поэтому ESG-события нужно отражать в общей базе операционного риска, а не вести в отдельной таблице для отчета.

Аналитика по банковскому сектору

Один из самых заметных операционных рисков последних лет связан с мошенничеством и социальной инженерией. По данным Банка России, в 2024 г. объем операций без добровольного согласия клиентов вырос на 74,36 % по сравнению с 2023 г. [6]. В 2025 г. рост продолжился: объем увеличился еще на 6,4 %, а количество операций — на 31,2 % [7]. Для ESG-повестки это важный сигнал: социальная ответственность банка должна проявляться не только в публичных программах, но и в реальной защите клиента.

На рисунке 1 приведена динамика объема таких операций. Данные за 2025 г. рассчитаны по сведениям Банка России о доле и сумме возвращенных средств, а также о темпе роста по сравнению с 2024 г. [6; 7].

Рис. 1. Динамика объема операций без добровольного согласия клиентов, млрд руб.

Рассчитано автором по данным Банка России [5; 6; 7]

Рисунок 1 показывает, что проблема не сводится к разовым инцидентам: после резкого роста в 2024 г. показатель остался высоким и в 2025 г. Для банка это означает рост нагрузки на антифрод, контакт-центр, службу претензионной работы, ИТ-систему и комплаенс. Каждая такая операция затрагивает не только деньги клиента, но и доверие к дистанционным сервисам.

При этом банки стали заметно лучше предотвращать хищения: в 2023 г. кредитные организации не допустили 34,77 млн мошеннических операций, в 2024 г. — 72,17 млн, в 2025 г. — 134,16 млн [5; 6; 7]. Эта динамика показана на рисунке 2.

Рис. 2. Количество предотвращенных мошеннических операций, млн ед. Составлено автором по данным Банка России [5; 6; 7]

Рисунок 2 показывает усиление антифрод-процедур. В 2025 г. банки предотвратили операций почти в два раза больше, чем годом ранее, и защитили 13 895,4 млрд руб. средств клиентов [7]. Но рост количества предотвращенных операций не отменяет роста фактических потерь, свидетельствующего о более агрессивной внешней среде. Для управления операционным риском важны не только технические фильтры, но и понятные клиентские предупреждения, обучение персонала, быстрый разбор обращений и обмен информацией с регулятором.

Практический контур ESG-KRI для коммерческого банка

Для практического анализа можно использовать пример ПАО «Сбербанк». Банк имеет крупную цифровую инфраструктуру, массовую клиентскую базу и широкую экосистему сервисов. Финансовые результаты показывают запас ресурсов для развития контроля: согласно Международным стандартам финансовой отчетности (МСФО), чистая прибыль составила 1580,3 млрд руб. в 2024 г. и 1705,9 млрд руб. в 2025 г. [8; 9]. Высокая прибыль сама по себе не снижает операционный риск. Масштаб операций повышает цену ошибки, особенно в цифровых каналах.

В этой ситуации ESG-факторы лучше включать в уже действующую систему операционного риска. Банк может добавить признак ESG-события в классификатор, настроить пороги по ключевым индикаторам и связать их с риск-аппетитом. Требования IFRS S1 (сокр. от International financial reporting standards) усиливают роль качества данных и раскрытия информации [10]. Принятие европейского закона DORA (сокр. от Digital operational resilience act) показывает, что цифровая устойчивость и контроль поставщиков становятся отдельным объектом регулирования финансового сектора [11]. Для российского банка эти документы полезны как ориентир зрелости, даже если они не всегда применяются напрямую.

Предлагаемый набор ESG-KRI-индикаторов приведен в таблице 2. Его можно встроить в ежеквартальный отчет по операционному риску.

Таблица 2

Пример модели ESG-KRI для системы управления операционным риском

Разработано автором

Такая таблица делает ESG-факторы измеримыми. У подразделения устойчивого развития остается методология и координация, но риск-служба видит события в общей базе. Бизнес отвечает за процесс, ИТ-системы — за данные и доступы, закупки — за поставщиков, комплаенс — за корректное информирование клиента, внутренний аудит — за независимую проверку.

Особое внимание нужно уделить поставщикам. Банк России отмечал, что в 2024 г. одним из популярных векторов доступа к организациям финансовой сферы стала компрометация подрядчиков [6]. Для банка это означает, что договор с поставщиком должен содержать требования к информационной безопасности, уведомлению об инцидентах, резервному сценарию и праву проверки. Проверка не должна заканчиваться после подписания договора.

Киберриски также требуют отдельного места в модели. Исследователи связывают их с операционными потерями, нарушением доступности сервисов и ростом затрат на защиту [12]. В ESG-логике это не только техническая проблема. Это часть социальной устойчивости, потому что клиент ожидает безопасного и понятного цифрового сервиса.

Заключение

ESG-повестка меняет систему управления операционным риском банка. Она добавляет новые данные, новые продукты, новые требования к отчетности и новые зависимости от внешних участников. Если эти элементы остаются только в стратегии устойчивого развития, банк получает разрыв между публичными обязательствами и реальным контролем.

Практическое решение состоит в интеграции ESG-факторов в действующую систему операционного риска. Для этого нужны пять шагов: добавить ESG-признак в базу событий, настроить индикаторы ESG-KRI, закрепить владельцев данных, усилить проверку критичных поставщиков и включить ESG-сценарии в сценарный анализ. Такой подход не требует создания параллельной системы, а развивает уже имеющиеся процедуры.

Анализ данных Банка России за 2023–2025 гг. показывает, что клиентская защита и цифровая устойчивость стали ключевыми зонами операционного риска. Рост предотвращенных мошеннических операций говорит о развитии антифрод-систем, но рост фактических потерь показывает, что внешняя среда остается сложной. Для коммерческого банка устойчивое развитие должно быть не формальным разделом отчета, а частью ежедневного управления процессами, данными и ответственностью.

Литература:

1. Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (ред. от 22.10.2024) // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/Queries/UniDbQuery/File/90134/1063 (дата обращения: 26.05.2026).
2. Положение Банка России от 07.12.2020 № 744-П «О порядке расчета размера операционного риска (“Базель III”) и осуществления Банком России надзора за его соблюдением» // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/Queries/UniDbQuery/File/90134/1232 (дата обращения: 26.05.2026).
3. Basel Committee on Banking Supervision. Principles for operational resilience // BIS [Электронный ресурс]. — URL: https://www.bis.org/bcbs/publ/d516.htm (дата обращения: 26.05.2026).
4. Информационные письма и рекомендации по устойчивому развитию // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/develop/ur/na/ (дата обращения: 26.05.2026).
5. Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций [в 2023 году] // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/analytics/ib/operations_survey/2023/ (дата обращения: 26.05.2026).
6. Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций [в 2024 году] // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/analytics/ib/operations_survey/2024/ (дата обращения: 26.05.2026).
7. Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций [в 2025 году] // Банк России : [Электронный ресурс]. — URL: https://www.cbr.ru/analytics/ib/operations_survey/2025/ (дата обращения: 26.05.2026).
8. Результаты работы Группы Сбер по МСФО за 2024 год // ПАО «Сбербанк» : [Электронный ресурс]. — URL: https://www.sberbank.com/ru/investor-relations/groupresults/results_of_work_on_ifrs_q42024 (дата обращения: 26.05.2026).
9. Результаты работы Группы Сбер по МСФО за 2025 год // ПАО «Сбербанк» : [Электронный ресурс]. — URL: https://www.sberbank.ru/ru/sberpress/all/article?blockID=1303&lang=ru&newsID=106c6b8d-0a92-4233-8864-1b4606aa8f90®ionID=77&type=NEWS (дата обращения: 26.05.2026).
10. IFRS S1 General Requirements for Disclosure of Sustainability-related Financial Information // IFRS Foundation : [Электронный ресурс]. — URL: https://www.ifrs.org/issued-standards/ifrs-sustainability-standards-navigator/ifrs-s1-general-requirements/ (дата обращения: 26.05.2026).
11. Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations // EUR-Lex [Электронный ресурс]. — URL: https://eur-lex.europa.eu/eli/reg/2022/2554/oj (дата обращения: 26.05.2026).
12. Белалов М. Р. Киберриски как новый класс операционных рисков банков: экономическая оценка, моделирование потерь и оптимизация затрат на защиту // Вестник Евразийской науки. — 2025. — Т. 17, № s4. — URL: https://esj.today/PDF/14FAVN425.pdf (дата обращения: 26.05.2026).