Бинбанк (SAS Financial Management)

Вопросы управления рисками в банках вышли на первый план во время мирового экономического кризиса, который во многом стал результатом того, что финансовые компании неправильно оценивали последствия тех или иных своих действий. Регулирующие органы ряда стран повысили требования к банкам и кредитным организациям в плане учета рисков, что поспособствовало внедрению специальных решений, автоматизирующих процессы управления рисками и снижающих уровень их воздействия на деятельность финансовых компаний. Одним из первых российских банков, который успешно справился с этой задачей, внедрив решение ведущего мирового поставщика систем управления рисками – компании SAS, – стал БИНБАНК. Директор департамента рисков БИНБАНКа Павел Самохвалов поделился своим опытом и рассказал об особенностях проекта и результатах внедрения в банке решения SAS OpRisk Management.^[1]

Павел, на ваш взгляд, насколько активно сегодня российские банки применяют технологические решения для управления рисками?

Павел Самохвалов: Ситуация существенно различается от банка к банку. В целом, наверное, пока такие системы не очень распространены. Не все кредитные учреждения могут позволить себе покупку таких систем, так как качественные решения для управления рисками стоят недешево, но это абсолютно оправданно. Крупные банки, особенно те, кто недавно занимался своим техническим переоснащением, поставили себе такие решения или находятся в процессе внедрения. Понятно, что кредитные организации с западным капиталом в большей степени оснащены необходимыми технологическими продуктами. Остальные российские банки решают вопрос о приобретении или об отказе от решений в области управления рисками, исходя из уровня зрелости конкретной организации – зрелости IT-инфраструктуры и зрелости системы риск-менеджмента с точки зрения ее регламентов и методологии.

Может ли современный банк обойтись без специализированных технологических решений для управления рисками?

П. С.: Системы управления рисками традиционно не относят к числу mission critical, таких, например, как АБС, решения для составления обязательной отчетности и т. п. Однако то, что рисками нужно управлять, и управлять качественно, ближе к концу 2008 г. все участники финансового рынка осознали совершенно отчетливо. Выяснилось, что вопросам рисков уделялось недостаточно внимания. Интересно, что в данном направлении между нами и Западом есть большая разница. Если в России построением системы риск-менеджмента вообще по-настоящему не занимались, то на Западе, где этот сегмент развит достаточно хорошо, риск-аналитики многих банков заблаговременно предупреждали об опасностях рискованной финансовой политики. Однако последствия кризиса с одинаковой силой ощутили страны всех континентов. Причиной тому явилась политика менеджеров крупнейших западных банков, которые в погоне за прибылью предпочитали не обращать должного внимания на предупреждения риск-аналитиков.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Что стало для вас побудительным мотивом для внедрения решения по управлению операционными рисками?

П. С.: Операционные риски в наименьшей степени поддаются стандартизованному учету. Кредитные риски, рыночные риски обладают вполне понятными критериями для оценки вероятности их наступления и возможных результатов. Природа операционных рисков отличается многогранностью, и в связи с этим их оценка представляет собой нетривиальную задачу. Потери от этих рисков могут возникать внезапно, и объем этих потерь может быть совершенно неконтролируемым. Можно выделить несколько «генераторов» возникновения операционных рисков: это и бизнес-процессы банка (иначе говоря, ошибки, связанные с неправильной организацией бизнес-процессов, с недостаточным внутренним контролем бизнес-процессов); очень важный сегмент рисков связан с деятельностью сотрудников банка (ошибки, некомпетентность, внутреннее мошенничество); работа информационных систем банка также содержит в себе пласт возможных рисков, связанных со сбоями в работе, выходом из строя оборудования и т. п. Нельзя сбрасывать со счетов и внешние факторы: несанкционированное воздействие на бизнес-процессы, хищение активов и мошеннические действия третьих лиц. Вся эта совокупность достаточно разных факторов относится к операционным рискам.

Чтобы понимать уровень потенциального воздействия операционных рисков на деятельность банка и на объем его капитала, обязательно нужно создать качественную и репрезентативную базу инцидентов, связанных с этими рисками. Причем эта база должна собираться в течение длительного времени, минимум два-три года, что позволит анализировать инциденты и причины их возникновения с достаточной степенью достоверности. Наиболее удобный способ построения такой базы – профессиональное решение, которое часть данных собирает в автоматическом режиме, а сотрудникам банка предоставляет удобный интерфейс для ввода и валидации информации об инцидентах.

Если такого профессионального решения нет, сбор информации об инцидентах осуществляется на основе периодических отчетов подразделений банка. Такой подход обладает рядом недостатков. Анализ накопленной информации производится спустя некоторое время после инцидента, что затрудняет получение дополнительной информации по тому или иному случаю. К моменту ввода данных в систему (через месяц, а то и больше) подробности забываются, необходимые данные вносятся в форму некорректно. Принимая все это во внимание, неизбежно приходишь к пониманию того, что для создания качественной базы инцидентов необходимо профессиональное решение., которое позволяет регистрировать инциденты внутри самой системы. Это дает возможность оперативно принимать меры по снижению вероятности повторного возникновения наиболее опасных событий, проводить оценку бизнес-процессов на основе аналитической базы накопленных инцидентов и т. п. Также можно создавать и систему индикаторов рисков, которая позволит в дальнейшем определить, насколько штатно реализуется тот или иной бизнес-процесс.

Профессиональное решение включает в себя блок отчетов и аналитический инструмент, позволяющий не только увидеть текущие цифры, но и построить обоснованный прогноз. Для риск-менеджеров важно, что в системе можно строить отчеты по произвольному набору показателей и для разработки таких отчетов не потребуется задействовать специалистов ИТ. Логическим завершением комплексной системы управления операционными рисками является модуль расчета уровня операционного риска в денежном выражении и капитала под операционный риск продвинутым методом*.

По сути, те возможности, которые я перечислил, являются базовыми требованиями к функциональности системы управления операционными рисками.

Кроме того, немаловажно, что Банк России как регулятор российского банковского рынка неоднократно декларировал стремление руководствоваться в своей деятельности международно принятыми принципами, в частности рекомендациями Базельского комитета. А в комплексе рекомендаций Basel II говорится о том, что банки должны самостоятельно оценивать свои риски. Мы подсчитали, что нагрузка на регулятивный капитал при использовании продвинутого подхода в сравнении с традиционным может отличаться на десятки миллионов долларов! При этом для оценки своих рисков должным образом нужно иметь качественные данные. Все эти факторы мы учитывали, принимая решение о приобретении системы для управления операционными рисками.

Когда вы начали работу над проектом по внедрению системы?

П. С.: Смотря что считать началом. Первое, что мы сделали, – в 2010 г. в течение месяца сформировали команду, которая должна была заниматься внедрением эффективной системы. В структуре нашего департамента было создано управление операционных рисков. Еще месяц ушел на то, чтобы сформулировать и подготовить обоснование для внедрения промышленной системы управления операционными рисками, которое было представлено правлению банка. Затем последовал этап выбора системы. Мы изучили рынок продуктов по управлению операционными рисками, разработали условия тендера, определили верхнеуровневые функциональные требования к системе, требования к защите данных от НСД, требования к интеграции системы в IT-инфраструктуру банка. Это заняло у нас еще порядка трех месяцев. Победителем тендера на поставку системы управления операционными рисками стала компания SAS. Еще два месяца банк потратил на детализацию и согласование бизнес-требований к системе. У нас было очень четкое представление о том, что мы хотим получить в конечном итоге, поэтому мы представили требования к составу необходимых нам данных, к связям, которые мы хотели бы видеть между различными элементами системы, к модулям, которые мы бы хотели установить и обновлять в дальнейшем. Наши бизнес-требования, полностью вошли в одно из приложений к договору на внедрение системы. Это очень важный элемент проекта, который, по сути, определяет его успех. После заключения договора начались работы по внедрению системы, которые заняли три месяца. Таким образом, если говорить только о внедрении, оно прошло очень быстро, но этому предшествовали месяцы тщательной подготовки. В декабре 2010 г. система была введена в промышленную эксплуатацию.

Какие ресурсы были задействованы в работе над проектом со стороны банка и со стороны исполнителя?

П. С.: Со стороны банка в работе над проектом было задействовано в общей сложности восемь человек. На постоянной основе – двое, это сотрудники Департамента рисков, а руководитель Управления операционных рисков был менеджером проекта и отвечал за результат.

Насколько вы удовлетворены полученным результатом?

П. С.: Полученный результат внушает оптимизм: заявленная функциональность системы полностью обеспечена, гибкость системы дает широкие возможности для осуществления новых и оптимизации действующих настроек. Мы находимся на начальном этапе эксплуатации, и нам еще предстоит в полной мере оценить все ее возможности.

Планируете ли вы расширять спектр задач, решаемых с помощью этой системы, или внедрять какие-то другие решения SAS?

П. С.: Все решения SAS по управлению операционными рисками являются модульными и входят в комплекс, который называется SAS Risk Management for Banking. В него также входят решения для управления кредитными, рыночными рисками, риском ликвидности (в рамках модуля ALM). Есть даже специальный модуль Firmwide Riskmanagement, который позволяет объединить информацию обо всех рисках банка в единой базе и рассчитать уровень риска, который несет банк в целом по всем направлениям, с учетом корреляции разных риск-факторов между собой и прочих нюансов. Решение о необходимости приобретения этих систем будет приниматься в соответствии с нашими перспективными потребностями.