Максим Смирнов (Вестник НАУФОР №12 2017)

18.12.2017

Максим Смирнов, руководитель управления рисков АО «ВТБ капитал», рассказывает Ирине Слюсаревой, как получилось, что участники начинали с лимитов на контрагента, а пришли к мониторингу рисков концентрации ожидаемых убытков портфеля; а также почему с рисками надо обращаться культурно.

С точки зрения управления рисками, российский рынок проходит тот же путь, что и западные, но в ускоренном режиме

КУЛЬТУРА ЗАЩИТЫ

- Максим, существует консенсус относительного того, что западные рынки обладают развитыми практиками риск-менеджмента. Какие из них следовало бы внедрять на российском рынке и как они имплементируются в нашу среду? Есть ли практики, которые нашему рынку противопоказаны?

- На этот вопрос не так просто ответить однозначно. Безусловно, многие вызовы, связанные с развитием финансового рынка, Запад пережил гораздо раньше - и выработал решения, которые принимались в различного рода сложных ситуациях. Благодаря этому, западный финансовый рынок имеет сейчас некоторые бесспорные преимущества.

Российский рынок проходит сейчас тот же путь, но в ускоренном режиме, - по крайней мере, с точки зрения управления рисками. Трансформации на российском рынке начинались с базовых вещей. Например, начиная управлять кредитным риском, все начинали с определения лимитов на контрагента на основании его кредитного анализа. Далее появились системы внутренних рейтингов и рейтинговые модели. Сегодня стандартом становятся более сложные риск-методики: портфельный подход, мониторинг и анализ рисков концентрации в различных разрезах (таких, как отрасли промышленности или страны), расчёт ожидаемых убытков портфеля («expected loss») и уровень вновь создаваемых резервов («cost of risk») кредитного портфеля. Точно так же при определении рыночного риска в самом начале просто выставлялись базовые ограничения на размер позиции. Потом стали анализировать показатели чувствительности к различным факторам рыночного риска. Сейчас все уже привыкли к количественным оценкам и более сложным методикам оценки рисков, - таким, как «value at risk» или «shortfall». При этом понятно, что эти меры дают оценку риска в «нормальных» условиях, поэтому в дополнение к ним должен проводиться стресс-тест. В операционных рисках начинают обычно с анализа событий операционных рисков - грубо говоря, реализуют взгляд назад: какие были ситуации, когда какой-то процесс пошёл не так, что к этому привело и что нужно сделать, чтобы в будущем эта ситуация не повторилась. Дальше внедряется «взгляд вперёд», самооценка рисков и контролей: что может пойти не так, насколько это вероятно, каковы возможные последствия? Какие механизмы контроля существуют в организации, достаточны ли они и что нужно сделать, чтобы уменьшить риск до приемлемого уровня? Внедрение ключевых индикаторов риска позволяет мониторить состояние интересующих рисков и реагировать при ухудшении ситуации.

Обобщая, можно сказать, что методики оценки риска на российском рынке в целом очень схожи с западными, но копировать все подряд - неправильно, потому что рынки все-таки отличаются. Например, ликвидность многих инструментов российского рынка невысока, и это нужно учитывать; западные коллеги, избалованные своими ликвидными рынками, смотрят на это более расслабленно. Любопытно, что эта разница может приводить к тому, что, например, российский подход к управлению рисками операций РЕПО может оказаться более изощрённым, - как раз чтобы учесть несовершенство российского рынка. Если обобщить сказанное, без ухода в детали, то можно сказать, что в целом на российском финансовом рынке целесообразно использовать рекомендации Базельского комитета по банковскому надзору. Именно эти подходы Банк России внедряет для отечественных банков, так что эти стандарты становятся привычным инструментом и для нашего рынка.

- Существуют ли стандартные методики расчетов различных видов рисков?

- Базельские рекомендации не предлагают конкретных методов, в них реализован более общий подход. Предложения на тему, как именно следует считать конкретный риск - это уже предмет особого анализа. Тут нет, к сожалению, возможности предложить одну общую рекомендацию для всех. Каждая организация решает конкретные задачи с учетом своих возможностей, в том числе вычислительных. Боюсь, что прописать методики как некий стандарт расчета вряд ли возможно. Наверное, это даже вредно. Но некоторые рекомендации вполне можно было бы вырабатывать. Когда уже наработаны определенные подходы к какой-то более-менее стандартизованной деятельности, в профессиональной среде имеет смысл обсуждать зоны их применения.

- А ведется ли такое обсуждение, есть ли для него площадки и форматы? Скорее всего, разговоры происходят между коллегами в неформальной обстановке, но идут ли более упорядоченные и формализованные процессы?

- Да, неформальное общение по таким темам происходит, но вот организованного не хватает. Было бы полезно, на мой взгляд, если бы диалог участников рынка и регулятора по вопросам управления рисками существовал на постоянной основе.

- Как вы оцениваете состояние законодательной и нормотворческой базы по риск-менеджменту?

- В июле 2017 года появился стандарт НАУФОР «Управление рисками профессиональной деятельности на финансовом рынке», который является обязательным для профессиональных участников рынка. Его раздел по управлению рисками (№7) впервые ввёл регулирование процесса управления рисками в небанковских финансовых институтах. Это хорошо, на мой взгляд. В целом документ очень взвешенный, особенно если принимать во внимание, что участники рынка сильно различаются по уровню - и поэтому сложно применять ко всем одинаковые требования.

Сделан достаточно правильный шаг, он выводит рынок на новую ступень развития. Мне кажется разумным, что стандарт сделан как документ высокого уровня, так что оставляет профучастнику достаточно свободы. Стандарт описывает многие базовые компоненты системы управления рисками: цели и задачи управления рисками; основные подходы к методологии оценки рисков; квалификационные требования к риск-менеджеру и его место в структуре принятия решений организации; порядок определения приемлемых и оправданных уровней рисков и величины риск-аппетита по отдельным видам риска и по организации в целом; принципы поддержания достаточного уровня собственных средств; порядок действий в непредвиденных ситуациях; порядок обмена информацией и так далее. Документ также разграничивает полномочия различных подразделений и органов управления в вопросах управления рисками.

- Я читала ваши работы, посвященные вопросам целостности управления рисками. Почему важна именно целостность - и как ее нужно добиваться?

- На рынке возникало много ситуаций, убедивших участников, что об этой теме - целостности контроля - должны думать все организации. Если контролировать процессы не тотально, а по кусочкам, то обязательно останутся неконтролируемые части, которые могут «выстрелить».

Можно вспомнить очень много случаев мошенничества, которые стали возможны именно в связи со сбоями в областях, недостаточно контролируемых. То есть многие случаи мошенничества (и внешние, и внутренние, но особенно внутренние) возникали именно в ситуациях, когда в системе контроля были серые зоны, какие-то операции не контролировались, какие-то контрагенты не попадали в общий пул. Поэтому необходимость полного покрытия в риск-контроле оспаривать сложно. Другое дело, что это не так просто обеспечить.

Определённые подходы можно было бы сформулировать. Со стороны контроля - необходима полнота покрытия, не должно быть никаких «беспризорных» позиций; никаких технических, неконтролируемых торговых книг. Со стороны бизнеса - у каждой сделки, позиции всегда должен быть владелец со стороны бизнес-подразделения, который за них отвечает. С точки зрения методологии - конечно, важен контроль за всеми видами риска. Если не учитывать риск концентрации, например, - то можно создать слишком большую позицию, которую не удастся продать; или построить портфель, слишком концентрированный или на группу связанных заёмщиков, или в определённой отрасли/группе связанных отраслей. При анализе сложных инструментов нужно учитывать их особенности при анализе риска; так, для деривативных позиций недостаточно смотреть только на дельту - важен анализ, например, веги и других параметров чувствительности… И так далее.

Наверное, в этой связи можно еще упомянуть классический подход к организации контроля, так называемые «Три линии защиты». Первая линия - это бизнес, который отвечает за первичное управление рисками своих операций. Вторая линия - это собственно контрольные функции: риск-менеджмент, комплаенс, юристы и бэк-офис в какой-то степени и т.д. Ну и третий уровень - это внутренний аудит. Такой тройной контур контроля тоже обеспечивает его полноту.

- Идет много разговоров о том, что в серьезной компании должна существовать некая внутренняя культура управления рисками. Как ее создавать и какая тут возможна последовательность шагов?

- Да, на мой взгляд, культура управления рисками - это достаточно важное понятие. И в то же время оно сложно измеряемое и сложно управляемое. Его практически невозможно формализовать, выразить в цифрах. Я могу разве что сравнить и понять, в общем, умозрительно, что в этой организации, например, с риск-культурой дело обстоит лучше, чем в другой.

- То есть, нормативов в этой области быть не может, возможен только механизм мотивированного суждения?

- Существуют косвенные признаки, позволяющие судить о том, что в организации внедрена более-менее правильная риск-культура и общая культура работы. Например, культура активного улучшения как противовес формалистической исполнительской культуре. Если в одной организации при возникновении нестандартной ситуации сотрудники говорят: «Это не моё дело, не входит в мои обязанности», а в другой они попытаются проблему решить или помочь адресовать туда, где её могут решить - понятно, где культура лучше. Хорошо, если сотрудники не просто выполняют свои обязанности, а пытаются улучшить процессы, для начала свои, а потом и те, куда вовлечены и другие коллеги. Конечно, это не означает, что не нужно выполнять свои обязанности - нужно. Кажется, эти элементы общей культуры не имеют прямого отношения к риск-культуре. Но улучшение одного аспекта влечёт улучшение и другого и, в целом, снижает риски организации. Ещё один признак хорошей риск-культуры - это степень открытости в ситуации, когда были совершены ошибки или когда произошли сбои в процессах. Если открытое обсуждение с участниками строится таким образом, что результатом является не поиск виновных (а также их наказание), а скорее анализ того, что можно сделать в будущем для упреждения и предотвращения, то это эффективный и правильный подход. Применение такого подхода во всей организации очень сильно способствует тому, что все сотрудники заражаются идеей коллективного улучшения качества процессов, в том числе контроля, а со временем - и предотвращения случаев реализации рисков.

Что еще следовало бы достаточно уверенно утверждать относительно создания культуры рисков. Важно, пожалуй, чтобы серьезное отношение к рискам формировалось, насаждалось и разделялось руководством компании, чтобы это было не просто формальной задачей. Если руководитель относится к вопросу серьезно и транслирует такое отношение сотрудникам, то результаты будут заметны. Когда механизм риск-контроля запускается, то дальше работает уже достаточно автономно: особого вмешательства не нужно.

- Каким образом должен быть встроен блок управления рисками в структуру компании, кто им должен управлять, должна ли такая структура быть унифицирована?

Начнём с того, что сейчас в небанковских финансовых организациях, в соответствии со Стандартами, эта структура уже унифицирована. Во-первых, она должна существовать в принципе, во-вторых, подчиняться генеральному директору или другому исполнительному органу. Этот блок очень важно строить именно так - для того, чтобы пресечь потенциальный конфликт интересов. Потому что, если блок риск-менеджмента отчитывается (так или иначе) перед бизнес-блоком, который он контролирует, то есть большой соблазн скорректировать результаты. Поэтому именно такая структура, которую мы сейчас обсудили - правильная.

- Время от времени возникает необходимость оценить результаты и процессы, применить какие-то бенчмарки. Существуют ли в зоне риск-менеджмента эталоны? Какие-то общепризнанные деловые практики?

- Вряд ли существует какая-то конкретная организация (или группа организаций), на которую нам бы хотелось равняться. Но нам в этом смысле повезло. Когда создавался российский бизнес нашей компании, то мы делали это вместе с нашими международными структурами. В том числе, везде строили унифицированные риск-процедуры. И получается, что сейчас на российском рынке регуляторно обязательными становятся практики, которые для нас давно привычны. По сути, мы живем полностью в российских реалиях, но руководствуясь при этом передовым международным опытом. В России вполне возможно применять значительную часть лучших международных практик. Это мы и стремимся делать.