Какие бы потрясения ни происходили на политической арене и мировых финансовых рынках, главным источником изменений для банковского сектора остаются требования Центрального банка, получившего в прошлом году полномочия мегарегулятора. Основной вектор этих изменений в последние годы связан с Базельскими стандартами. «Внедрение Basel — это мейнстрим, вне которого российские банки будут испытывать проблемы с привлечением капитала и с интеграцией в мировую банковскую систему», — отметил Михаил Бухтин, начальник управления моделирования рисков департамента банковского регулирования Банка России, выступая на «Риск-форуме» компании «SAS Россия/СНГ».

От Basel II к Basel III

Текущий год выдался непростым для отечественных банков, таким же обе­щает стать и предстоящий: внедрение Basel II завершается, и регулятор приступает к реализации требований стандарта Basel III, ужесточающего правила оценки капитала кредитных организаций. Стратегия развития банковского сектора предусматривает поэтапное внедрение положений Basel III. В 2014–2015 годах вводятся требования к достаточности капитала российских кредитных организаций, в 2016–2018 годах — требования к формированию буфера консервации капитала. C 1 января 2015 года станет обязательным показатель краткосрочной ликвидности, а с 1 января 2018 года — показатель чистого стабильного фондирования, а также пересмотренный показатель «леверидж» [от англ. leverage — «действие рычага»: соотношение вложений капитала в ценные бумаги с фиксированным доходом (облигации, привилегированные акции) и вложений в ценные бумаги с нефиксированным доходом (обык­новенные акции). — Прим. ред.].

Предполагается, что уже в будущем году ЦБ потребует, чтобы крупнейшие кредитные организации разработали внутренние процедуры оценки достаточности капитала. Перечень условий соответствия Basel в части количественных моделей оценки риска для нормативов достаточности капитала в банках включает: независимую от бизнеса комплексную систему риск-менеджмента; методологию оценки всех видов рисков, позволяющую получать математические модельные оценки требуемого качества; систему внутренних рейтингов по всем активам, несущим кредитный риск; модели оценки рыночных рисков по всем финансовым инструментам; систему контроля и прогнозирования как регулятивного, так и экономического капитала и его достаточности для покрытия всех видов ожидаемых и неожиданных рисков; постановку расчетного ядра в ИТ-системе и многое другое. Выполнив все заданные условия, банк должен доказать регулятору и инвесторам, что его система управления рисками соответствует требованиям Базельского комитета по организации, методологии и процедурным требованиям.

При этом одним из важнейших условий внедрения стандарта является ИТ-система, где можно сконцентрировать все данные, необходимые для исторического анализа, мониторинга, контроля и построения моделей оценки всех видов рисков по всем финансовым инструментам, применяемым банком.

Валютный риск

Девальвация рубля с начала 2014 года более чем на 20% привела к повышению значимости валютного риска в общем профиле рисков российских банков, отметил Олег Моря, консультант компании AT Consulting. По его словам, наряду с традиционным влиянием через переоценку активов и пассивов банков, деноминированных в иностранной валюте, существует также канал влияния этого риска через заемщиков, для которых импорт составляет существенную долю бизнеса. С девальвацией рубля повышается вероятность неисполнения такими заемщиками своих кредитных обязательств перед банками, даже если эти обязательства номинированы в национальной валюте. Ситуация усугубляется из-за введения Россией ответных санкций: для заемщиков, которых они затронули, затруднения с возвратом кредитов могут продлиться в лучшем случае до переориентирования бизнеса таких компаний, что добавляет неопределенности кредиторам.

А потому перед банками стоит задача определить уровень концентрации таких заемщиков в своем кредитном портфеле, оценить степень их влияния на портфель и, в случае необходимости, выработать превентивные меры.

Кроме того, если темпы роста просроченной задолженности в кредитном портфеле превышают темпы роста самого кредитного портфеля банка, то это часто свидетельствует о возрастающей роли кредитного риска. «Все это выдвигает дополнительные требования к аналитическим и учетным ИТ-системам банка, к разработке и внедрению новых инструментов анализа, — сказал Моря. — При этом возникает задача по поиску добавочных источников данных для проведения необходимого анализа».

Центробанк как двигатель прогресса

Банки стремятся выполнить требования Basel так, как их трактует Банк России. Какие же проблемы в области управления рисками особенно актуальны сегодня? В первую очередь это изменение регуляторных требований по кредитным рискам, в том числе по использованию внутренних рейтингов, и те усилия, которые нужно предпринять, чтобы обеспечить соответствие этим требованиям. Чем крупнее банк, тем более значим для него этот вопроc. Новые требования влекут за собой много изменений, и прежде всего — необходимость мощных информационных систем, потому что без обеспечения качества данных и возможности их агрегирования эти требования просто невыполнимы. А значит, понадобятся дополнительные инвестиции, большая работа консультантов и аналитиков, подготовка моделей оценки риска.

«Мы видим традиционную пропорцию в управлении рисками в финансовом секторе. Наиболее важными для финансовых институтов являются кредитные риски как самые большие по объему, второе место делят рыночные и операционные риски», — отметил Николай Филипенков, руководитель направления риск-менеджмента «SAS Россия/СНГ». При этом заметные изменения, по его словам, произошли в области ИТ. Три — пять лет назад в банках активно развивались решения для кредитного скоринга и рейтингования, сейчас же основной акцент смещается на системы управления активами, взвешенными по риску (Risk Weighted Assets, RWA), расчета экономического капитала и стресс-тестирования. Основные мотивы изменений в ИТ-системах вызваны усилением требований со стороны ЦБ. «В настоящее время Банк России инициировал пакет законопроектов, которые принципиально изменят процесс управления кредитным риском», — напомнил Филипенков. Предполагается, что в конце 2014 — начале 2015 года будет опубликован ряд крайне важных для отрасли законов. Банки, планирующие применять продвинутый подход к управлению кредитным риском, получат такую возможность. С 1 марта 2015 года они смогут подавать соответcтвующие заявки в ЦБ. Крупнейшие банки, объединяющие более 90% банковских активов страны, уже сейчас обеспокоены внедрением в практику принятия решений по кредитам системы для расчета кредитного рейтинга и инструментария для мониторинга моделей оценки.

Весной 2015 года Банк России ожидает получить заявки на переход к продвинутым моделям оценки кредитных рисков от трех-четырех первопроходцев. Однако на сегодняшний день из 12 банков с капиталом свыше 500 млрд долл. к этому пока не готов ни один.

Что касается операционных и рыночных рисков, то, согласно исследованию, проведенному в этом году Ассоциацией российских банков и Банком России, только один банк проявил готовность переходить к продвинутой оценке операционных рисков.

В числе основных проблем, с которыми банкам предстоит интенсивно работать, — ИТ и качество данных. Многие банки не готовы подключать ИТ-подразделения к работе по управлению рисками — например, к поддержке количественных моделей оценки кредитных рисков, которая должна быть частью ИТ-стратегии банка. «До сих пор роль и место ИТ в расчете количественных моделей в некоторых банках сильно снижены, для расчетов используются доморощенные системы, не интегрированные в общее пространство кредитной организации, тогда как должен быть сквозной поток обработки данных», — отметил Бухтин. Он призвал уделять больше внимания интеграции данных на основе ИТ-платформ, так как именно на них будет базироваться оценка регулятором готовности организации использовать продвинутые методики оценки капитала.

Ужесточение требований ЦБ в части обязательных нормативов и методик расчета показателей кредитного риска, в том числе в соответствии с методологиями Basel III, диктует жесткие правила, отметил Андрей Сеславин, архитектор бизнес-решений в финансовой отрасли компании «SAP СНГ». По его словам, эти правила не всегда содержат однозначные алгоритмы расчета необходимых показателей и подготовки отчетов, что заставляет бухгалтеров по-разному толковать регулятивные документы и приводит к необходимости постоянной кастомизации ИТ-решений. Кроме того, регуляторные документы часто обновляются.

«Перечисленные обстоятельства, а также невысокая по сравнению с западными банками культура управления рисками и подготовки исходных данных свидетельствуют о низкой эффективности комплекса бизнес-процессов и ИТ-решений в части управления рисками», — заявил Сеславин. К тому же объемы данных постоянно растут, продукты усложняются, а рыночная обстановка быстро меняется. В таких условиях разработка и внедрение ИТ-решений подчас становятся невыполнимыми.

Михаил Бухтин, начальник управления моделирования рисков департамента банковского регулирования Банка России
«До сих пор роль и место ИТ в расчете количественных моделей в некоторых банках сильно снижены, для расчетов используются доморощенные системы, не интегрированные в общее пространство кредитной организации, тогда как здесь должен быть сквозной поток обработки данных», Михаил Бухтин, начальник управления моделирования рисков департамента банковского регулирования Банка России

Отказаться от silos

Как правило, банки используют разрозненные ИТ-системы по управлению рисками, что, по словам Сеславина, уменьшает прозрачность расчетов и усложняет доступ к исходным данным. В итоге замедляется скорость принятия управленческих решений и снижается эффективность мер по управлению рисками в целом.

Платформы, которая позволяла бы управлять всеми типами рисков, этакой «серебряной пули» для управления рисками, не существует. Как бы хорошо ни управлялся один тип рисков, совместить в одном продукте и кредитный, и рыночный, и операционный риски сложно, поэтому банки используют отдельные решения, а их нужно интегрировать. Но и универсального интегратора, одинаково хорошо разбирающегося в системе управления рисками, способного проконсультировать относительно интеграции процессов, подсказать, как именно совершенствовать модели оценки рисков, чтобы управление превращалось в единое целое, тоже нет. Интеграторы делятся на тех, кто более компетентен в технических вопросах, и тех, кто может проконсультировать по процессам и существующим аналитическим наработкам. Одни интеграторы работают с кредитными процессами, другие — с вопросами лимитов, третьи — с операционным риском. Комплексный сервис банкам получить не у кого.

Между тем Basel III предусматривает именно всеобъемлющий, комплексный и централизованный подход к управлению рисками, проведение оценки не по отдельным типам риска или по департаментам, а по всему банку в целом — Firmwide risk. Согласно результатам глобального исследования, проведенного в июле 2014 года компанией Economist Intelligence Unit (EIU), более половины опрошенных руководителей и ИТ-директоров банков заявили, что им нужна общекорпоративная инфраструктура, позволяющая получать целостное представление обо всех рисках, которым подвергается организация. По некоторым утверждениям, в ближайшем будущем именно централизованная аналитика позволит банкам успешно использовать Большие Данные и разрабатывать эффективные стратегии управления рисками.

Разворачиваясь от традиционной модели управления рисками блоками (silos) к интегрированному риск-мененджменту, европейские и американские банки строят временные решения, удовлетворяющие требованиям регулятора, и даже создают специальные отделы риск-ИТ вне центральной ИТ-службы, чтобы быстрее реагировать на изменение нормативных требований.

Чтобы опыт самых прогрессивных банков мира мог быть применен на российском рынке, «большая четверка» бизнес-консультантов (PricewaterhouseCoopers, Deloitte, Ernst&Young, KPMG) консультирует ЦБ.

Однако однозначного понимания, какую область риск-менеджмента следует развивать в первую очередь, сейчас нет и у западных банков. По отчету EIU, 37% руководителей банков заявили о неспособности предсказать, какие инвестиции в управление рисками будут наиболее эффективными.

Данных много, но недостаточно

Как свидетельствуют исследования EIU, больше половины руководителей розничных, коммерческих и инвестиционных банков жалуются на нехватку данных для обеспечения надежного управления рисками. Хотя, благодаря снижению стоимости хранения информации, созданию технологий доступа к неструктурированным данным и работы с ними, у банков появилась возможность анализировать значительно большие объемы информации, чем раньше. Однако для этого нужны соответствующие приложения, а между тем 40% банков испытывают значительные трудности с анализом имеющихся данных о рисках, с извлечением из них полезной информации и не располагают необходимыми для этого технологиями. Со временем потоки данных будут только увеличиваться, кроме того, ожидается, что по мере увеличения аналитической ценности, объемов и скорости передачи информации все активнее будут использоваться новые источники данных, такие как активность в социальных сетях и постоянно включенные сенсоры мобильных устройств.

«Современные банки сталкиваются с большими трудностями при управлении рисками. Но сейчас появились новые инструменты для агрегации, оценки и анализа данных, облегчающие эту задачу», — указал Стивен Лесли, финансовый аналитик и консультант Economist Intelligence Unit. По его мнению, использование инструментов работы с Большими Данными и получение актуальной информации помогут банкам значительно усовершенствовать стратегии управления рисками.

В то же время банкам следует наращивать внутреннюю методологию и экспертизу, иначе покупка ИТ-инструмента, который не несет в себе готовых формул и методик управления рисками, не даст ожидаемого эффекта.

О качестве данных замолвите слово...

Как правило, бизнес-пользователи стремятся корректировать данные, не дожидаясь, пока это проделает ИТ-специалист, поэтому вопрос о качестве данных стоит в банках достаточно остро.

«Качество данных — актуальный вопрос для банков любого масштаба», — заметила Мария Астраханцева, начальник центра методологии кредитных рисков корпоративных клиентов «Газпромбанка». Чтобы предотвратить возникновение типовых ошибок, она рекомендует коллегам позаботиться о качестве данных как можно раньше, выстроив систему взаимодействия между подразделениями и создав регламенты, предусматривающие как исправление ошибок в первичных данных пользователями, осуществляющими ввод информации в ИТ-системы, так и разработку и внедрение правил контроля качества данных владельцами ИТ-систем или специальными под­разделениями по работе с качеством данных. Для обеспечения качества данных в «Газпромбанке» выделили специальное подразделение, которое занимается исправлением ошибок и разработкой алгоритмов автоматической проверки качества данных.

Уделить внимание качеству данных в ИТ-cистемах, их сохранности и непротиворечивости требуют и базельские стандарты. В настоящее время Банк России разрабатывает собственные требования к качеству данных. Эти требования будут использоваться в количественных моделях оценки рисков, вначале кредитных, а потом, возможно, и остальных. «Мы бы хотели, чтобы уже сейчас банки начали создавать у себя методики оценки качества данных», — сказал Бухтин.

Частный случай

Обострившаяся международная политическая и экономическая обстановка предъявляет новые требования к системе управления рисками финансовых организаций. Однако большинство банков уже обзавелись автоматизированными системами комплаенс-контроля, в функции которых входит и контроль за соблюдением экономических санкций, установленных Россией, международными организациями и отдельными государствами. Им остается лишь внедрить новые виды контроля в этих системах.

«Санкции предполагают лишь более аккуратное отслеживание банками операций, которые они осущест­вляют», — говорит Филипенков. На уровне ИТ эта задача решается системами класса Anti Money Laundering (AML), уже внедренными во многих банках. Тем не менее в этом году в SAS отметили всплеск спроса на AML-решения.

«Внедренных систем противодействия мошенничеству недостаточно, они не позволяют использовать методы прогнозной аналитики, поиска нестандартных связей, — пояснил Филипенков. — Кроме того, раньше существовал список правил, которые нужно исполнять, конкретный список транзакций, которые нужно отслеживать, теперь же идет переход к «мониторингу на основе принципов». То есть сами банки должны отслеживать нестандартное поведение клиентов. И банки действительно начали этим заниматься».

Для контроля за соблюдением санкций создаются специальные подраз­деления, разрабатываются технические решения, отслеживаются все банковские процессы, чтобы деятельность банка не подпала под санкции. Однако самая значимая часть этой операционной работы — контроль платежей — существовала всегда, как всегда были внешние требования, например со стороны Foreign Accounts Tax Compliance Act (FATCA), и мониторинг черных списков. В текущей ситуации эта деятельность ускорилась и стала специфичнее, а область применения прежних методик значительно расширилась.

ИТ-риски? Ничего особенного

Управление рисками, связанными с использованием ИТ, особо не выделяется среди прочих традиционно актуальных для банков задач риск-менеджмента. Конечно, cегодня приходится не только заботиться об обычной защите от вредоносного ПО, предотвращении скимминговых операций и других попыток кибермошенничества, но и предупреждать массовые атаки на клиентов, использующих мобильные приложения для работы с банком, учитывать угрозы DDoS-атак на инфраструктуру со стороны радикальных международных хакерских групп. Однако кредитные организации рассматривают ИТ-риски как частный случай операционных рисков, для управления которыми во многих крупных банках уже имеются промышленные системы. По словам Филипенкова, регистрация ИТ-инцидентов в большинстве случаев автоматизирована, поток информации в систему управления операционными рисками налажен, как и прогнозирование аналогичных событий в будущем. Растущий объем инцидентов не является критичной проблемой для банков, внедривших подобные автоматизированные системы управления операционным риском, полагает он.