За прошедшие несколько лет отношение к риск-менеджменту изменилось во всем мире, в том числе и в России.
Когда кризис еще только набирал обороты, на специалистов по управлению рисками пытались возложить всю ответственность за сложившуюся ситуацию и на макро-, и на микроуровнях. Кризис послужил своеобразным экзаменом: не все его сдали успешно, но те, кто сдал, сумели вывести управление рисками в своих организациях на новый уровень.
Не самая простая задача доказать тем, кто ищет виноватого, что главная проблема не в плохой работе, а в отсутствии должного внимания к рекомендациям, особенно когда речь идет о суммах потерь, которых никто никогда не ожидал, и под вопросом находится выживание банка. Однако во время кризиса появилась возможность добиться того, чтобы к советам все-таки начали прислушиваться.
Сейчас уже уверенно можно сказать, что риск-менеджмент в целом сдал этот экзамен хорошо. а кое-где и отлично. Управление рисками стало приближаться к той роли в финансовой организации, которую должно играть в идеале. Вместо некой совещательно-рекомендательной риск-менеджмент стал выполнять управленческую функцию со всеми вытекающими из этого последствиями: вместе с полномочиями и правами возрастает и ответственность департаментов управления рисками и их глав за состояние бизнеса в целом.
Нередко сейчас можно услышать, что риск-менеджер — это в первую очередь банкир. Не тот профессионал, кто хорошо знает нормы и правила регуляторов в области отчетности по рискам или разбирается в сложностях финансовой математики, стремится запретить все сделки, уровни риска по которым, рассчитанные специальными методами, выше жестко регламентированных, — а тот, кто понимает, как работает банк в целом, что приносит прибыль и как в стремлении ее, максимизировать найти пути, где потенциальные потери не будут сводить к нулю все усилия по ее увеличению. Такой сотрудник должен уметь объяснять неспециалистам понятным языком, почему именно те или иные способы предпочтительны для банка.
У каждого банка есть своя линейка продуктов для разных клиентов и индустрии. Однако основной и единственный продукт, который продает и покупает банк, — риск. Вполне очевидно, почему те, кто заведует управлением рисками, должны хорошо понимать весь процесс работы компании. В противном случае будет невозможно определить, какое «количество риска» предложить клиентам, как распределить его по продуктовой линейке. Все это зависит не только от желания банка, но и от внешнего предложения и спроса на риск — того, что формально находится за пределами риск-менеджмента.
Что же следует включать банку в «количество риска», которое нужно продать и можно купить? При всей сложности теории и математики расчетов рыночного и кредитного риска даже неспециалисты в области риск-менеджмента знают: в проценты по кредиту, например, каждый банк закладывает не только свою ожидаемую прибыль, но и вероятные потери (кредитный риск), а также учитывает изменения рыночной стоимости залогов, изменение курсов валют (рыночный риск).
Разумеется, если банк занимается торговлей ценными бумагами, т.е. торговлей рыночным риском напрямую, то он хеджирует свои позиции. Однако существует и третий вид риска — тот, который по сути является «всеми остальными рисками». Недооценивая операционный риск и не продавая его в комплекте с кредитным и рыночным, банк ставит себя под угрозу. Причина может быть не только в крайне редком событии, которое не предусмотрели или решили не страховать (например, страховые компании предложили крайне невыгодные условия). События, относящиеся к операционным рискам, случаются регулярно, и каждый банк несет от них потери. Все ли знают уровень потерь, влияющие на него факторы и условия, в которых он может измениться?
Сегодня управление операционными рисками приобрело особое значение. Многие финансовые организации ищут более эффективные пути воздействия на эти риски, а также действенные методы оценки их уровня.
Конечно, любой банк, как и вообще любая организация, часть своих операционных рисков продает напрямую с первого дня своего существования страховым компаниям. Однако, с одной стороны, использование только страхования — неоптимальная тактика, которая зачастую приводит к завышенным и необоснованным расходам, с другой — далеко не все события, от которых банк несет потери, можно застраховать на хороших условиях. Наконец, не имея собственной оценки уровня своих операционных рисков, не зная их и не управляя ими, банк не знает ни приемлемых для себя условий, ни соотношения между величиной своих возможных потерь и страховыми расходами. Такой дорогостоящий «аутсорсинг» управления операционными рисками, оставляющий часть из них без контроля, становится непозволительной роскошью для многих кредитных организаций. Риск-менеджерам, отвечающим за управление операционными рисками, необходимо уметь выявлять оптимальный уровень страховых расходов и понимать, как распределить их.
Именно знание глубинных процессов и умение находить причины, взаимосвязи и методы воздействия в отношении операционных рисков, а также прогнозировать их на шаг вперед определяют компетентность риск-менеджера. Если он владеет данными методами, то такой подход к управлению рисками можно назвать «продвинутым».
«БАЗЕЛЬСКОЕ» ПОНИМАНИЕ «ПРОДВИНУТОГО» ПОДХОДА
Основные принципы управления операционными рисками, описывающие необходимые действия, которые должны предпринимать руководство и сотрудники банка, были сформулированы Базельским комитетом в рамках документа Sound Practices for the Management and Supervision of Operational Risk («Оптимальная практика управления и надзора за операционными рисками»), финальная версия которого выпущена в феврале 2003 г. С тех пор и вплоть до появления «Базеля II» в июне 2006 г. (International Convergence of Capital Measurement and Capital Standards: A Revised Framework — «Международная конвергенция измерения капитала и стандартов капитала: новые подходы») они не претерпевали кардинальных изменений.
Конечно. Sound Practices был не первым базельским документом, где упоминались операционные риски и предлагались рекомендации по управлению ими. Однако именно в нем перечислены инструменты, известные сейчас каждому специалисту по рискам (вне зависимости оттого, какие подходы к управлению предпочитают в банке).
1. Идентификация рисков. В банках России и СНГ обычно используется понятие «Ведение реестра рисков».
2. (Self-)assessment. Экспертная оценка или самооценка рисков, реализуемая обычно с помощью анкетирования.
3. Мэппинг или классификация рисков, осуществляемая в рамках ведения их реестра.
4. Индикаторы рисков.
5. Количественное измерение операционного риска: частота событий (frequency), величина потерь (severity) как меры риска, использование как внутренних, так и внешних данных о потерях.
Принципы, сформулированные в рамках этого документа, легли в основу качественных критериев управления операционными рисками по «Базелю II».
Говоря о «продвинутом» подходе (Advanced Measurement Approach. AMA). часто подразумевают в первую очередь расчет капитала на основе данных о потерях (в противоположность базовому индикативному и стандартизованному методам, где для расчета используют доходы). Однако значение имеют качественные критерии и применение самих методик и принципов управления рисками, а не только расчет капитала.
Что же касается расчета капитала на основе данных о потерях, Базельский комитет предложил две основные методики.
1. Метод внутреннего измерения (Internal Measurement Approach. IMA), где ожидаемые потери есть произведение индикатора подверженности, вероятности события (РЕ — Probability of Event, аналог PD для кредитных рисков) и потерь, если событие произойдет (LGE — Loss Giving Event, аналог LGD). по направлениям деятельности и типам потерь, как для кредитных рисков. В этом случае минимальный капитал рассчитывается как сумма произведений ожидаемых потерь на коэффициенты масштабирования (гамма) по направлениям деятельности и типам риска.
2. Подход на основе распределения потерь (Loss Distribution Approach, LDA), где используется стохастическое моделирование («симуляции» на основе метода Монте-Карло), основанное на распределениях частоты и величины потерь.
Вторая методика приобрела наибольшую популярность в мире среди банков, использующих или стремящихся перейти на «продвинутый» подход, поэтому поговорим о ней подробнее. Основные шаги расчета схематично приведены на рис. 1.
Данные о потерях за пять лет1 (как минимум) разносятся по ячейкам «базельской» матрицы (матрицы, сформированной с помощью стандартной базельской классификации) из восьми направлений деятельности и семи видов рисковых событий. Для каждой ячейки, если это возможно с точки зрения наличия и достаточности информации, на основе эмпирических данных подбирают теоретические функции распределения частоты событий и величины потерь. При этом за основу лучше брать именно внутренние данные о потерях банка везде, где их достаточно, дополняя их внешними в случаях нехватки, а также внешними данными о крайне редких событиях для моделирования «хвостов» распределений. Подобранные теоретические распределения могут быть составными, т.е. на разных диапазонах частот и величин потерь могут использоваться разные функции распределения.
На следующем этапе на основе этих распределений для каждой ячейки матрицы производится многократный «розыгрыш» значений частоты и величины потерь методом Монте-Карло, позволяющий построить общее распределение потерь. Из полученного расчета отсекается необходимый квантиль (на уровне 99,9%), который определяет величину VaR и капитала, вычисляемого на его основе. Paсчет VaR, как правило, делают для каждой ячейки, для каждого направления деятельности и суммарный — для всей матрицы. При этом возможны разные методы получения суммарного VaR: как взвешенной с учетом корреляции суммы по отдельным ячейкам, так и расчета на основе вычислительно смоделированного суммарного распределения потерь.
Помимо данных о непосредственно реализовавшихся потерях, внутренних или внешних, рекомендуется вводить экспертные мнения, чтобы учесть сценарии редких событий (они тоже могут использоваться для моделирования «хвостов» распределений). При возможности стоит использовать ключевые индикаторы риска (измеримые влияющие факторы), если между ними и уровнями частоты или величины потерь существует корреляция для того или иного вида рисков и направления деятельности. В зависимости от текущего и прогнозного уровня индикатора и коэффициента его влияния он может как уменьшать, так и увеличивать величину VaR для конкретной ячейки и матрицы в целом. Отметим, что для внешних данных допускается масштабирование на размер организации (по активам, капиталу, количеству сотрудников или другим доступным параметрам) при их применении в расчете, чтобы верно использовать величины «чужих» потерь при моделировании «своих».
ЦБ РФ официально проявил свою заинтересованность в использовании «продвинутого» метода только в апреле 2009 г., когда было выпущено письмо №15-2-1-9/2644 («О подходе к расчету регулятивного капитала, минимально необходимого для покрытия операционного риска, основанном на внутренних оценках кредитных организаций»), которое по большей части представляло собой перевод отдельных положений и рекомендаций «Базеля II». В нем было замечание «мелким шрифтом» о том, что для построения распределения по каждому направлению деятельности должно быть не менее 10 тыс. событий. Это с учетом того, что к расчету должны приниматься только потери выше определенного порогового значения.
С одной стороны, этот критерий можно объяснить желанием гарантировать обоснованность расчета с точки зрения статистики (выборки должны иметь достаточные объемы, чтобы законы статистики работали). С другой стороны, банков, у которых есть такой объем событий операционного риска, очень мало. Либо цель ЦБ при установке данного критерия действительно в том, чтобы кроме нескольких крупнейших банков остальные и не планировали переход на расчет капитала под операционные риски «продвинутым» методом, либо в дальнейшем он все же будет пересмотрен.
Следующим шагом ЦБ в сторону «продвинутого» подхода стало анкетирование банков, проведенное в ноябре — декабре 2009 г. Анкета «Организация управления операционным риском в кредитной организации», заполненная достаточно большим числом российских банков, содержала не только общие вопросы. Ее целью было еще и определение уровня готовности банков к выполнению критериев и использованию продвинутого метода расчета капитала. К сожалению, найти в открытых источниках информацию о том, каковы результаты этого опроса и выводы ЦБ, пока не удалось. Тем не менее возросший за последнее время интерес к расчету операционного VaR со стороны риск-менеджеров некоторых банков говорит об оптимизме по отношению к возможности его применения не только «для себя», но и для выполнения требований регулятора.
АЛЬТЕРНАТИВНЫЕ МНЕНИЯ И МЕТОДЫ: ЧТО ЗНАЧИТ «ПРОДВИНУТЫЙ» МЕТОД ДЛЯ РОССИЙСКИХ И ЗАПАДНЫХ БАНКОВ
Все ли банки, даже из числа крупных, хотят использовать «Базель II» в своей практике и считают рекомендации Базельского комитета необходимыми? Здесь снова необходимо коснуться управления всеми видами рисков.
Одна из причин, вызывающих критику действий Базельского комитета, которая заметно возросла во время мирового кризиса, — это стимулирование риск-менеджеров решать несвойственные их профилю задачи.
Использование «продвинутых» методов расчета рисков (и кредитных, и операционных) — это возможность снижения регулятивного капитала. С одной стороны, есть очевидный и прямой стимул, побуждающий руководство банков вкладывать усилия, средства, инвестиции в реализацию этих подходов (причем немалые), т.к. предполагается высвободить часть средств, ранее резервируемых. С другой — департаменты риск-менеджмента, прилагающие максимум усилий для снижения минимального уровня регулятивного капитала, фактически начинают зарабатывать деньги для банка вместо того, чтобы управлять рисками. Снижение регулятивного капитала становится чуть ли не основной задачей их работы, а удержание уровня рисков в пределах, допустимых для банка, уходит на второй план. В результате исходная идея о том, чтобы риски деятельности банка стали как можно прозрачнее (именно она лежит в основе «продвинутых» методов «Базеля II»), перекрывается тем, что их минимизация начинает осуществляться только «на бумаге»: для отчетности и расчета регулятивного капитала.
Экономический кризис показал: такой подход к управлению рисками может стать губительным для банка. Значит ли это, что лучше забыть о «Базеле II» и искать иные пути? Или если не ставить во главу угла снижение минимального уровня регулятивного капитала, то базельские рекомендации полезны? Каждый банк отвечает на этот вопрос по-своему.
Многие зарубежные банки для управления рисками руководствуются рекомендациями не только Базельского комитета, но и другими стандартами, даже не являющимися традиционно банковскими, теми, которые можно применять в различных отраслях (общие проблемы есть у любого вида бизнеса — ошибки персонала, мошенничество, неэффективные бизнес-процессы, физическое повреждение основных средств и т.д.).
Европейские банки зачастую следуют стандартам SOX, что является данью не только репутаци-онной составляющей (хотя и она немаловажна). Много внимания (значительно больше, чем в документах «Базеля») в них уделено контролю бизнес-процессов и их эффективности. Также данные стандарты учитывают необходимость мониторинга взаимосвязей между рисками и контролирующими их бизнес-процессами.
Однако дело не только в стандартах. Основной признак «продвинутости» управления операционным риском для западного банка — вовлечение в него как можно большего числа сотрудников по возможности всех). Это уровень культуры управления операционным риском (как бы абстрактно ни звучало для нас данное понятие): весь персонал должен быть осведомлен о важности процесса и принимать посильное участие в нем.
Стоит отметить: некоторые кредитные организации Северной Америки, для которых соответствие рекомендациям Базельского комитета никогда не являлось обязательным, тем не менее используют их в своих системах управления рисками, и некоторые начали это делать именно после кризиса. Не исключено, что такие банки способны воспользоваться рекомендациями сейчас даже более эффективно (поскольку нет задачи снизить размер минимального капитала по «Базелю» на этапе его расчета) именно для повышения прозрачности уровня рисков.
Что касается российской практики, хочется привести два интересных примера того, как может быть организована система риск-менеджмента и как в ее рамках осуществляется управление операционными рисками. В обоих случаях банки решили в той или иной мере отойти от традиционного разделения функций департамента по трем видам рисков (рыночные, кредитные, операционные) и взять за основу направления деятельности.
Одним из основополагающих принципов является то, что каждый риск-менеджер должен разбираться в управлении всеми видами банковских рисков для понимания полной системной картины. Другой принцип — стремление к общности подходов и целей в управлении любым видом риска. Операционный риск со своими методами оценки и управления при таком подходе рассматривается в комплексе: он идентифицируется в рамках тех же сделок, договоров, операций, которые являются источниками кредитного и/или рыночного риска банка. Фактически в каждом конкретном случае операционный риск является составляющей общего уровня риска, на основе которого формируют цены как ретейловых банковских продуктов, так и индивидуальных услуг для
крупных корпоративных клиентов. Целью оценки риска становится понимание того, за сколько банк готов «купить» риск в целом, не придавая большого значения тому, как его классифицировать по составляющим внутри. Цель управления риском — возможность заработать на этой покупке, т.е. получить в дальнейшем оплату всех тех рисков, которые возникаюту банка. Однако слишком сильно упрощать подобную систему не стоит, поскольку ни одна сделка не бывает независимой от других, включая страхование, передачи портфелей кредитов и т.д.
Конечно, правильность такого подхода можно оспорить. Есть немало операционных рисков и случаев их реализации, которые не поддаются указанному выше способу оценки. Считая их пренебрежимо малыми, но не собирая информации о них и не оценивая их уровень, банк не может определить их истинное влияние на общий уровень риска. Критика такого очень далекого от ба-зельского подхода имеет право на жизнь. Однако нельзя не отметить, что по сравнению со многими другими он представляется весьма развитым. Эффективность работы риск-менеджмента сточки зрения стабильности банка удовлетворяет его руководство и инвесторов. Проблемы могут возникнуть только в связи с тем, что подход окажется непрозрачным для регулятора.
Другой пример, когда, перераспределив функции управления рисками по своим основным направлениям деятельности, банк не отказывается от необходимости разделения каждого из них на три основных вида и различных подходов к управлению ими.
Операционными рисками занимаются отдельно в рамках ретейловой деятельности банка, работы с корпоративными контрагентами, инвестиционной деятельности и т.д. Методы, рекомендованные Базельским комитетом (сбор данных о реализовавшихся потерях, ведение реестра рисков и их классификация, ключевые индикаторы, сценарные оценки, мониторинг), применяют, дополняя их своими, в рамках методологии, формируемой банком с учетом его собственных реалий. Имея необходимую базу, проводят моделирование и оценку операционного VaR как «для себя», так и с перспективой того, что в дальнейшем его можно будет использовать для определения нормы на капитал в целях отчетности перед регулятором.
Основное отличие от традиционного подхода состоит в следующем: управлением операционными рисками в рамках каждого направления занимается специалист, который разбирается в первую очередь именно в особенностях этой деятельности банка. Кто может наилучшим образом выявить риски, возникающие, например, в работе трейдеров, если не тот, кто с ней знаком? Кто сможет добиться от них регулярного предоставления необходимой информации? В результате, формируя отличающиеся методы управления операционным риском по каждому виду деятельности, собирают данные в едином формате и получают полную картину, «профиль» операционного риска всего банка. Достичь этого можно с помощью общей методологии, вырабатываемой «незаинтересованной» структурной единицей, специалистами, не относящимися ни к одному из направлений деятельности.
В этом примере ожидаемые от ЦБ РФ «продвинутые» методы «Базеля II» не только не будут проблемой, а наоборот, требования регулятора станут ближе к той системе, которую банк развивает уже сейчас. Однако нельзя сказать, что «Базель II» — основа методологии, т.к. немалая часть системы разработана за пределами базельских рекомендаций, а снижение нормы на капитал не является ее первоочередной целью.
Разумеется, обе вышеописанные тактики могут быть реализованы только в достаточно крупных банках. Однако именно они подадут пример остальным, демонстрируя эффективность и стимулируя введение элементов «продвинутого» управления рисками.
НЕОБХОДИМЫЕ УСЛОВИЯ ДЛЯ ВНЕДРЕНИЯ «ПРОДВИНУТЫХ» МЕТОДОВ
Являясь сотрудником IT-компании и специалистом по системам управления рисками, автор нередко слышит от клиентов вопрос: «Мы уже готовы внедрять у себя продвинутый подход, как по-вашему, что нам для этого необходимо?»
Готовность банка к внедрению «продвинутых» методов можно оценивать с разных точек зрения. Как можно догадаться по предыдущим разделам статьи, это зависит от того, что понимать под их «продвинутостью». Конечно, есть однозначные и довольно четкие критерии «Базеля II», использованные с некоторыми дополнениями ЦБ РФ в уже упоминавшемся письме. Однако хочется разделить два состояния: готовность банка защитить использование им «продвинутого» подхода перед регулятором и возможность начать внедрение системы. Между этими двумя фазами обычно проходит не менее года.
ЦБ РФ решил выяснить критерии готовности банковской системы в России в целом к внедрению «продвинутого» подхода способом, используемым в самом управлении операционными рисками: с помощью анкеты «Организация управления операционным риском…» (см. выше). Из этой анкеты можно понять, какие необходимые условия регулятор будет считать первоочередными критериями. Нет смысла перечислять их здесь (документ достаточно компактный, к нему можно обратиться в любой момент). Поговорим о необходимых условиях для начала процесса перехода к «продвинутым» методам.
Нельзя сказать, что любой банк всегда может начать использовать «продвинутые» методы: для этого нужна хотя бы подходящая инфраструктура и готовность участников процесса.
Даже если процесс сбора информации по операционным рискам, разработанный риск-менеджерами, прост и не нагружает сотрудников, сопровождается системой стимуляции и признается ими важным, система не заработает, пока не будет мощного административного ресурса. Руководитель департамента операционных рисков — не тот, кто регулярно общается с правлением (если это случается, скорее всего, сотрудника скоро повысят). У CRO (Chief Risk Officer) такая возможность должна быть. Как уже было отмечено, мировой экономический кризис помог многим главам департаментов риск-менеджмента повысить значимость своей позиции в управлении банком.
Именно CRO может донести необходимость каких-либо действий по управлению операционными рисками до правления. Если предложение окажется удачным, то его внедрят во все департаменты банка. О необходимом условии для издательства подобных приказов мы уже упоминали в начале статьи. Риск-менеджер — это сотрудник, который понимает, как работает банк в целом, обладает необходимой квалификацией и навыками в управлении банковской деятельностью, продвигает свои идеи и инициативы сотрудников. Никакие внешние консультанты не смогут заменить такого человека. Даже разработав все процессы совместно с риск-менеджерами банка, обучив работников на практике, «аутсорсеры» не смогут создать имидж CRO и доверие к нему у правления. Возможно, ситуация такова не во всем мире, однако в России и СНГ человеческий фактор играет решающую роль.
Вторая необходимая составляющая — инфраструктура. Сегодня уже нет необходимости говорить, что наличие персональных компьютеров у ответственных сотрудников, в том числе в регионах, обязательно. Однако важно снабдить компьютеры всем необходимым программным обеспечением. ПО для управления операционными рисками должно обладать определенным набором функционала, который не полностью можно реализовать посредством стандартных приложений MS Office.
Необходимо наладить документооборот (к примеру, посланное не тому сотруднику и не дошедшее до адресата письмо о событии операционного риска может сыграть весьма скверную роль), обеспечить разграничение доступа сотрудников к базе данных и действиям с ней, сформировать простые для понимания системы отчетности. Желательно автоматически загружать в систему всю информацию, которую возможно, отслеживать отчеты, визуализировать их. Выполнить все эти функциональные требования без использования системы, специально предназначенной для управления операционными рисками, нереально даже в среднем по величине банке. Осталось определить, кому и каких программных средств на определенном этапе будет достаточно, об этом речь пойдет во второй половине статьи.
Итак, два необходимых условия для старта внедрения «продвинутых» подходов — сильные позиции CRO в управлении банком и развитая инфраструктура. Выполнение критериев, необходимых, чтобы защитить перед регулятором расчет капитала по методу АМА, — промежуточный этап. Сам рассчитанный таким образом капитал представляет собой лишь элемент «продвинутой» системы управления операционными рисками.
ИНСТРУМЕНТЫ И СПЕЦИАЛИЗИРОВАННЫЕ IT—СИСТЕМЫ
Нельзя сказать, что на российском рынке используют множество различных систем управления операционными рисками, но они существуют. Наиболее крупные банки, как и во всех других сферах, ориентируются на вендоров-лидеров, которые интересуются российским рынком, хотя далеко не у всех сейчас есть представительства в России.
Представления о лидирующих компаниях можно получить, например, из «магических квадрантов» агентств Gartner и Chartis по операционным рискам (рис. 2-3).
Не забыты нашими банками также российские специалисты и возможность разработки ими системы «под заказ».
Наиболее распространенными на территории России и СНГ являются системы SAS OpRisk Management (зарубежная разработка) и российские разработки (например, Ultor и «Контур. Операционные риски» CSBI-Zirvan). Помимо них используют ПО Lotus Notes, MS Access, MS Excel (VBA для макросов, MS Outlook для документооборота). Нельзя сказать, что замена MS-средств и/или Lotus Notes на специализированное ПО необходима любому банку с первых дней принятия решения о переходе на «продвинутые» методы. Большинство банков и риск-менеджеров с помощью этих программных средств экспериментируют, отлаживая базовые элементы системы управления операционными рисками.
Однако чем раньше банк сумеет осуществить внедрение специализированной 1Т-системы, тем проще будет систематизировать накопленные данные при переходе к новой системе.
Возможность внутренней разработки силами штата своих программистов или приглашенных специалистов нельзя не считать альтернативой закупке специализированного ПО. Однако мировой и российский опыт показывает: в разумные сроки можно разработать только часть необходимого функционала. Стоит ли ждать, когда программисты успеют реализовать все? К тому времени требования рынка изменятся. Вендоры, предлагающие свои системы, как правило, действуют быстрее, т.к. их цель — продать готовую систему, выделив ее среди конкурентов, а не получить проект по разработке, который тем выгоднее для разработчиков индивидуальной системы, чем дольше он будет длиться.
Поговорим подробнее о системе SAS OpRisk Management и ее функционале. Часть его, разумеется, не уникальна (такие возможности должна предоставлять каждая система управления операционными рисками). Однако у нее есть особенности, обусловившие лидерские позиции на мировом рынке.
Решение SAS OpRisk Management включает в себя три специфических компонента, которые были разработаны компанией SAS специально для управления операционными рисками.
1. SAS* OpRisk Monitor — веб-приложение для сбора, хранения, анализа данных, а также отслеживания изменений и формирования отчетности о событиях операционного риска, ключевых индикаторах рисков, результатах экспертной оценки рисков и процессов контроля. Приложение предоставляет возможность организации полного документооборота для сбора данных о потерях и проведения самооценки рисков.
Оно включает следующие логические модули:
■ управление инцидентами (в том числе сбор данных о потерях);
■ ведение реестра рисков и их экспертная оценка (самооценка);
■ тестирование регулярных процедур контроля за рисками;
■ ключевые индикаторы рисков (КИРы);
■ мероприятия и планы действий;
■ сценарная оценка будущих рисков.
2. SAS* OpRisk VaR — усовершенствованная аналитическая модель для вычисления VaR, а также регулятивного капитала согласно «продвинутому» подходу по «Базелю II». При внедрении приложения, как правило, реализуются также расчеты базовым индикативным и стандартизованным методами, для которых нужны данные другого типа {о доходах, а не о потерях), предусмотренные в модели данных.
3. SAS* OpRisk Global Data — самая большая в мире структурированная и наиболее точная база официально опубликованной информации об операционных потерях, превышающих $100 тыс. На текущий момент она содержит более 23 тыс. записей о потерях, связанных с операционными рисками. Информацию в ней обновляют и пополняют каждый месяц.
Интеграция данных и подготовка отчетности в решении SAS OpRisk Management осуществляется общими компонентами «платформы 5AS», входящими в решение по управлению операционными рисками, как и во все остальные решения SAS.
Отличительные черты SAS OpRisk Management можно сформулировать следующим образом.
1. Решение полностью конфигурируемо. Именно это свойство особенно выделяют российские пользователи, т.к. каждый банк у нас — это индивидуальные модели бизнеса и механизмы управления рисками.
2. Полный набор необходимой функциональности от одного поставщика:
■ SAS OpRisk Monitor — оценка рисков, управление инцидентами, сценарии. КИРы, планы действий;
■ SAS OpRisk VaR — моделирование капитала, анализ сценариев;
■ SAS OpRisk Global Data — самая большая база открытых данных об операционных потерях;
■ SAS Business Intelligence — достаточная библиотека способов визуализации и построения отчетности;
■ SAS Data Integration — управление данными, позволяющее интегрировать систему УОР с другими IT-системами банка (системой управления рисками, финансового менеджмента. CRM- и HR-системой и т.д.).
3. Система является частью предложения SAS по «Базелю II», которая позволяет создать общую платформу управления рисками с выполнением всех требований и рекомендаций «Базеля II» и местных регуляторов.
4. Глобальное присутствие самой компании SAS: наличие локальных специалистов, учет мирового опыта.
5. SA5 — стабильный вендор, давно присутствующий на рынке систем управления операционными рисками, который не исчезнет в самый неподходящий момент в связи с очередным кризисом (что не всегда можно гарантировать относительно молодых компаний — разработчиков российских систем).
Учитывая, что SAS. как и любая другая система подобного класса, стоит недешево (хотя является далеко не самой дорогостоящей системой среди подобных), не каждый банк может себе ее позволить. Возможность специальных цен для российских банков среднего размера пока только рассматривается, и выяснить, будет ли она введена, пока не удается; впрочем, другие крупные вендоры также пока не торопятся с этим вопросом, хотя в США и Европе почти у всех у них есть специальные расценки для среднего бизнеса. Однако для банков, готовых платить за IT-системы крупных вендоров, SAS OpRisk Management — один из оптимальных вариантов развития, к которому можно перейти после того, как ограничения своих «домашних разработок» на Access, Lotus или VBA к Excel становятся все более очевидными.
ВЫВОДЫ
Кто-то считает «продвинутую» систему управления операционными рисками необходимой и доступной, некоторые полагают, что внедрение подобных методов и систем — это ненужные инвестиции. На основе всего вышесказанного сделаем выводы о том, для каких банков внедрение и использование «продвинутых» методов управления рисками может стать наиболее выгодным и перспективным.
■ «Сильный» CRO. Скорее всего, такие люди редко встречаются в маленьких кредитных организациях. С другой стороны, вовсе не обязательно относиться к топ-10, уже в настоящее или ближайшее время многие банки (по крайней мере из первых ста) смогут «похвастаться» сильными профессиональными лидерами на должностях глав подразделений (иначе они могут начать «сдавать» конкурентные позиции).
■ Культура развития IT-технологий обеспечивает как наличие в банке «базовых» IT-средств для первых шагов развития системы, так и обуславливает своевременный выбор специализированного ПО. Сотрудники не только должны уметь работать в MS Outlook и MS Word, но и быть готовыми, не ощущая внутренних барьеров, переключаться на новое ПО и интерфейсы.
■ «Лоббирование» в ЦБ расчета капитала под операционные риски с помощью Advanced Measurement Approach. Это достаточное условие для внедрения элементов «продвинутого» управления, сбора всей необходимой информации, ее проверки, расчета капитала, обеспечения прозрачности моделирования перед регулятором. Указанное условие не является необходимым, однако банки, которым такой расчет интересен и выгоден, не считают его единственной целью системы управления операционными рисками (кризис не прошел бесследно).
■ Для банков, имеющих собственный подход к управлению операционными рисками, «Базель II» (в том числе его российская интерпретация) может оказаться помехой. С одной стороны, уникальные методы указывают на высокий уровень культуры управления рисками, с другой — в любом случае придется сравнивать внутренние оценки рисков с регулятивными. Если стандартизованные методы заставят резервировать суммы, значительно превышающие их внутренние оценки, эти банки будут вводить и «продвинутые» методы «Базеля II».
Банков, обладающих подобными характеристиками, в России довольно большое количество. Их много даже в одной Москве, если же прибавить к ним кредитные организации из других больших городов РФ. у которых в достаточной степени развиты описанные «свойства», это увеличит их общее число раза в два. И нтерес к развитию системы управления рисками вообще и операционными рисками в частности проявляют многие. Все это говорит о том. что для большой группы российских банков использование «продвинутых» подходов к управлению операционными рисками представляется выгодным и даже необходимым. ЦБ будет вынужден оперативно принять решение о возможности использования Advanced Measurement Approach для расчета минимального капитала под операционные риски. В противном случае, не успевая за актуальными потребностями банковского сектора. Центробанк способен затормозить его развитие в целом. Однако есть основания верить, что удастся избежать такой ситуации и уже в обозримом будущем (через два-три года) процент российских банков, использующих «продвинутые» методы, можно будет сравнивать с мировым.
Автор: Нехороших Д.С.
руководитель направления риск-менеджмент компании Irbicon
Статья из журнала «Управление финансовыми рисками» 04(24)2010