Ирина Кремлева в ранге вице-президента возглавляет блок «Риски» Сбербанка России. На протяжении более чем 15 последних лет дисциплина управления рисками является главной предметной областью, на которой сосредоточена ее профессиональная деятельность. По ее мнению, путь к эффективному управлению рисками лежит через формирование корпоративной риск-культуры. И эта культура должна пронизывать всю организацию — в управлении рисками должны участвовать все сотрудники банка.

Управление рисками — это стратегический подход к управлению или бизнес-процесс? Или, может, это некая методология?

Риск-менеджмент — самая интересная профессия на Земле, я в этом абсолютно уверена. Наверное, потому, что риск-менеджмент — это сразу всё: и серьезная математика, и построение бизнес-процессов, и автоматизация, и даже немножко религия.

Если серьезно, особенно интересно заниматься рисками в непростые времена, когда всё вокруг меняется с невиданной скоростью. Именно в непростые времена на первый план выходит риск-культура организации. Пока в организации есть противостояние «подразделения рисков — и все остальные» и работа строится по принципу «главное — договориться с рисками», мы уязвимы. Всегда найдется ситуация, которую мы не пре­дусмотрели, сбой, который не предвидели. Как только каждый сотрудник (от рядового операциониста до руководителя любого уровня) начинает понимать, что именно он защищает банк от рисков и что от решений, которые он принимает, зависит совокупный уровень риска, мы непобедимы — никакие шоки и турбулентности нам не страшны.

В Сбербанке России стартовала глобальная стратегическая программа «Риск-культура», она призвана кардинальным образом изменить прежде всего мышление всех без исключения сотрудников банка.

Культура риск-менеджмента актуальна только для финансового сектора или есть и другие сектора, где тщательное, трепетное отношение к рискам жизненно необходимо?

Риски, на мой взгляд, присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о ваших персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента — это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, — моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк — абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах у нас беспрецедентный. Сейчас у нас внедрено в процесс и работает более 600 моделей различного уровня сложности. Я не случайно все время возвращаюсь к процессам — очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все наши модели реально работают и показывают высокую предиктивную способность. С недавнего времени мы начали пилотный проект по построению моделей, основанных на Больших Данных, — очень интересные и впечатляющие результаты получаются!

Какие подразделения банка непосредственно участвуют в управлении рисками? Как распределяются их роли?

В Сбербанке реализована «классическая» концепция трех линий защиты от рисков. Первая линия защиты — это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты — это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много — ведь именно они видят «живого» клиента и «реальные» документы. Вторая линия защиты — это риск-менеджмент. Сейчас в блоке «Риски» работает более 4 тыс. сотрудников — это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты — служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.

Какие ИТ-инструменты применяют те, кто работает на различных уровнях защиты?

На самом деле я уверена, что без ИТ-инструментов управление рис­ками невозможно, особенно в таком банке, как Сбербанк России. Любой, даже самый продвинутый риск-инструмент останется только красивой теорией, если не будет встроен в строго регламентированный и автоматизированный ежедневный процесс.

В Сбербанке используется огромное количество ИТ-систем, поддерживающих систему управления рисками, созданных как внутренними разработчиками, так и внешними. Построение системы риск-менеджмента в современной трактовке этого термина в нашем банке стартовало с проекта «Кредитная фабрика», предусматривавшего кардинальное изменение процесса розничного кредитования. Это прекрасный пример ситуации, когда управление рис­ками невозможно без ИТ-инструментов.

В основе технологии «Кредитной фабрики» лежит сложнейший ИТ-комплекс, он объединяет в себе целый ряд систем как внутренней, так и внешней разработки. Именно в рамках проекта «Кредитная фабрика» в банке появился целый ряд ИТ-решений, которые сегодня являются архитектурным стандартом: это и единая система управления доступом пользователей к информационным ресурсам, и корпоративная сервисная шина данных, и многие другие решения.

ИТ-комплекс «Кредитная фабрика» умеет обращаться к множеству информационных ресурсов, содержащих информацию о потенциальном заемщике. На основании собранной информации определяется маршрут проверки заемщика, уровень принятия решения. Сегодня в системе работает более 300 автоматически выбираемых маршрутов и более чем в 80% случаев решение о выдаче кредита принимается автоматически. Такой уровень автоматизации очень удобен, во-первых, для клиента. Например, для зарплатных клиентов, о которых мы всё знаем, срок принятия решения о предоставлении кредита составляет два часа. Во-вторых, очень удобен для банка — после внедрения новой автоматизированной технологии качество портфеля существенно улучшилось, по ряду продуктов уровень потерь сократился в 2,5 раза. Более того, такой уровень автоматизации позволяет существенно повысить эффективность управления. Мы умеем оперативно реагировать на изменение качества входящего клиентского потока и макроэкономических условий. В среднем раз в два дня мы внедряем ту или иную настройку риск-технологий.

На мой взгляд, современное розничное кредитование в принципе невозможно без всеобъемлющей и глубокой автоматизации, потому что операционные риски, в первую очередь те, что трансформируются в кредитные, которые могут возникнуть в ручной технологии, достаточно существенны и без автоматизации их не избежать.

Какие требования регуляторов — российских и международных — оказывают наиболее сильное влияние на управление рисками в Сбербанке? Какие риски чаще всего эти требования затрагивают?

Для Сбербанка сейчас главный проект по взаимодействию с регулятором — это подача заявки на соответствие стандартам Basel II в продвинутой версии (A-IRB — продвинутый подход, основанный на внутренних моделях). Именно то, что у нас есть большое количество моделей, реально использующихся в процессах и обладающих высоким качеством, позволяет нам надеяться, что по итогам валидации мы получим разрешение регулятора на использование продвинутого подхода.

Ирина Кремлева вице-президент Сбербанка

Ирина Кремлева

 

Образование: МГУ им. М. В. Ломоносова, факультет вычислительной математики и кибернетики, специальность «прикладная математика»; кандидат физико-математических наук

Ирина имеет более чем 15-летний опыт работы в области управления рисками. Работала в «Пробизнесбанке», где участвовала в проекте реинжиниринга бизнес-процессов. Затем с момента создания работала в ВТБ-24, где занималась построением бизнес-процессов розничного кредитования и системы управления розничными рисками. В ОАО «Сбербанк России» — с июня 2008 года. С января 2013 года — в должности вице-президента ОАО «Сбербанк России», руководителя блока «Риски».

Каким образом происходит адаптация банка к новым требованиям регуляторов, какие бизнес-процессы при этом затрагиваются?

С точки зрения Сбербанка внедрение стандарта Basel II — естественное развитие риск-менеджмента, поскольку этот стандарт требует от банков ровно того, чем мы занимались в последние годы, — наличия правильной системы управления рис­ками, причем проходят проверку на соответствие стандарту прежде всего модели рисков. Они должны быть правильно построены — на корректном определении дефолта, с учетом правильной риск-сегментации, они должны пройти процедуру внутренней валидации, ну и главное — они должны быть встроены в процесс. Другими словами, модели должны быть не просто красивой картинкой, на которую предлагается взглянуть регулятору, а работать в реальной жизни с утра до вечера. Поэтому огромная часть проверки направлена на то, чтобы убедиться, что они действительно участвуют в принятии решений, и оценить, как они работают.

Внедрение стандартов Basel II — важный шаг не только для Сбербанка, но и для банковской системы в целом. Мы сейчас совместно с регулятором проходим путь адаптации этих стандартов к реалиям российской банковской системы — на примере Сбербанка. Этот проект очень важен для российской банковской системы в целом, и я очень рада, что Сбербанк играет в нем существенную роль. Мы готовы делиться накопленным опытом и знаниями, чтобы вместе с регулятором выстроить в России правильную систему управления рисками.

Внедрение любых стандартов должно помочь банковской системе, а не помешать, поэтому, учитывая реалии, ЦБ РФ дает импульс к развитию банковской системы: внедрение Basel II поможет сделать банки прозрачными, обеспечить акционерам требуемый уровень рисков и сделать процессы понятными, управляемыми, стандартизованными. С точки зрения ИТ-поддержки это существенный шаг вперед, потому что реализация управления рисками средствами ИТ — одно из требований стандарта Basel II, это гигантский шаг к правильному функционированию банка.

Какова структура операционных рисков с точки зрения Сбербанка? Кто и как (в том числе с помощью каких ИТ-инструментов) определяет эту структуру?

Внутри нашего блока «Риски» есть специальное подразделение — управление операционных рисков, оно определяет методологию: какие следует оценивать операционные риски, как они идентифицируются, фиксируются, измеряются. Что касается ежедневного управления этими рис­ками, то оно лежит на всех подразделениях банка — владельцах соответствующих бизнес-процессов. Блок «Риски» как методологическое подраз­деление внедрил систему SAS OpRisk Management, в которой риск-координаторы по всей стране фиксируют инциденты операционных рисков. Инциденты, конечно, классифицируются и по типам, и по размеру ущерба и возможных убытков. Что очень важно, в рамках процессов управления рисками делаются системные выводы о том, что нужно предпринять, чтобы эти инциденты больше не происходили. Ответственность за то, что системные меры предложены и реализованы, всегда лежит на владельцах процессов. Кстати, в нашей системе фиксируются инциденты не только в России, но и в зарубежных филиалах, и не только в самом Сбербанке, но и в группе в целом — наши дочерние организации фиксируют в ней свои инциденты.

Какие группы рисков считаются наиболее критичными для бизнеса?

Понятие «интегрированный риск-менеджмент» (то есть возможность комплексного управления всеми своими рисками) применимо в отношении любых организаций. Первый шаг по его выстраиванию — идентификация рисков, которые организация считает наиболее существенными как с точки зрения возможных потерь, так и по экспертному мнению. После этого для каждой существенной группы рисков в обязательном порядке назначается владелец, он отвечает за управление этой группой и за выработку политики: как работать с этими рисками, что с ними делать и пр. Есть система комитетов, каждый из них отвечает за свою выделенную группу того или иного риска, который был идентифицирован как существенный.

Для Сбербанка, естественно, наиболее существенными являются кредитные риски (поскольку банк — крупнейшая в России кредитная организация), а также операционные. В общем, ничего удивительного, вполне стандартная для банковской системы ситуация.

Насколько различается управление рисками, относящимися к разным группам?

Конечно, различается. Есть, например, «экзотические» (с точки зрения риск-менеджмента) группы рис­ков, такие как бизнес-риски (риски того, что принятое бизнес-решение окажется неверным и в будущем принесет убытки), стратегические, регуляторные (риски того, что регулятор выпустит какие-то новые требования, которые существенно повлияют на наш бизнес). У кредитных рисков свои методы управления, у регуляторных — свои, у операционных — третьи и так далее.

«Обработку» каких групп рисков или отдельных рисков удалось полностью или почти полностью автоматизировать?

На мой взгляд, максимального уровня автоматизации удалось достичь в самых существенных группах рисков — кредитных и операционных. У нас полностью автоматизирован процесс кредитования и в розничной его части (я уже рассказала о проекте «Кредитная фабрика»), и в корпоративной. Для поддержки процесса корпоративного кредитования применяется система Oracle Siebel CRM. Фиксация инцидентов операционных рисков производится в системе SAS.

Что важно, банк последовательно идет по пути автоматизации системы отчетности. Как известно, управлять можно только тем, что можно измерить, — без таких оценок решение принимается на основе экспертного мнения, которое может оказаться абсолютно неверным. И по «Кредитной фабрике», и по корпоративному кредитованию при запуске процесса кредитования сразу же создается система отчетности. Идея состоит в том, что процесс обработки кредитных заявок подлежит измерению на ежедневной основе.

Какое место в управлении рис­ками занимают риски, связанные с ИТ?

С одной стороны, ИТ-инциденты — это классические примеры операционных рисков, поэтому мы точно так же фиксируем события операционного риска и делаем системные выводы о том, как нужно «закрывать» те или иные ИТ-риски. С другой стороны, управление этими рисками — понятие гораздо более широкое. В частности, управление ИТ-инцидентами — это отдельный процесс, который протекает внутри ИТ-подразделения.

Вообще говоря, ИТ и риски связаны неразрывно. Заместитель председателя правления Сбербанка Вадим Кулик является куратором и блока «Риски», и ИТ-блока. Это позволяет получать значительную синергию — мы и ИТ идем рука об руку и существенно обогащаем друг друга.

Какие приоритетные задачи для блока «Риски» вы видите?

Самая главная задача на текущий момент — донести важность ежедневного управления рисками до каждого сотрудника и предоставить ему для этого правильные инструменты. Например, если речь идет о корпоративном кредитовании, то необходимо правильно построить кредитный процесс — так, чтобы предотвращать или предельно минимизировать кредитные и операционные риски и максимально удобно для клиента и эффективно для банка выстроить обработку кредитных заявок. Мы отвечаем за то, чтобы в процессе работали правильные модели с высокой предиктивной способностью. У каждого заемщика должен быть максимально объективный рейтинг — тщательно взвешенная, правильная мера его риска. Глядя на этот рейтинг, люди, принимающие решение о выдаче кредита (члены кредитного комитета), должно точно понимать, что этот рейтинг означает. Таким образом, на блоке «Риски» лежит ответственность и за предоставление инструмента для оценки рисков, и за обучение всех участников кредитного процесса этому инструменту — что это такое, для чего он нужен и как с ним работать. И когда модель пройдет проверку регулятором, а каждый сотрудник, глядя на модель, которую ему предоставил блок «Риски», поймет, о чем она говорит, поверит ей и на ее основе примет решение, я буду считать, что наш блок свою миссию выполнил успешно. Пока же мы идем по этому пути.