— Дмитрий, управление рисками в банковской сфере традиционно относится к наиболее сложным и технологичным задачам. Каким вы видите правильный подход к?построению системы управления рисками?

— Конечно, эту задачу надо решать системно и комплексно, потому что иначе внедренное решение по управлению рисками может оказаться попросту неэффективным. Однако такой подход требует достаточно больших инвестиций и организационных усилий. В?связи с этим многие банки, к сожалению, рассматривают вопрос управления рисками исключительно сквозь призму регуляторных требований, определяя при этом функционал внедряемого решения в его минимальном объеме. С другой стороны, те банки, которые предпочитают решать задачу комплексно, получают неоспоримое бизнес-преимущес­тво, осознавая, что ошибки в оценке рисков, а также неэффективное, несистемное управление ими — это источник потенциальных проблем для бизнеса. Такие банки стремятся своевременно обнаружить потенциальные угрозы, корректно оценить их количество, сопоставить с размером капитала, лимитировать и своевременно контролировать превышение допустимых пределов, то есть делают все необходимое для идентификации и?полноценного управления рисками.

— Насколько управление рисками — технологическая задача?

— На мой взгляд, задача в высшей степени технологична. В первую очередь, это связано с необходимостью консолидации огромного количества данных. Например, кредитный риск возникает в десятках источников — различного вида операциях банка и не ограничивается только риском на контрагента по сделке.
В общем случае  кредитный риск зависит и от эмитента, и от залогодателя, и от поручителя и т.д. Чтобы его адекватно оценить, нужно  учесть все  перечисленные источники. При этом немаловажный аспект?— правильная организация хранения всех необходимых операций в учетных системах. Они должны учитываться в виде бизнес-транзакций с определенным набором атрибутов, а не только в виде соответствующих бухгалтерских проводок. В противном случае и без того непростая задача консолидации информации дополнительно усложняется необходимостью «восстановления» параметров бизнес-транзакции по ее проводкам. Тем не менее отсутствие системного учета весьма распространено, оно автоматически влечет за собой создание множества мнемонических правил, оперирующих параметрами счета, проводок и т.д. И с точки зрения общих трудозатрат на реализацию, операционную эксплуатацию, и с точки зрения риска искажения информации преимущества такого пути, мягко говоря, неочевидны.
Некачественные или неактуальные данные, а также их отсутствие в системе в отношении любого из источников могут быть если не фатальными, то весьма пагубными для доходности бизнеса. Иногда бывает так, что учет каких-то видов операций не автоматизирован, и это означает, что данные, которые необходимы для управления рисками, кто-то должен вносить вручную, и само такое действие, кстати, уже  порождает дополнительный операционный риск.

— Итак, первая задача — собрать всю информацию. Что дальше?

— Далее возникает вопрос: как из собранной информации получить адекватную количественную оценку риска? Вероятностный характер ряда факторов (например, банкротство контрагента), сложность современных финансовых инструментов и специфические условия некоторых (преимущественно структурных) сделок делают эту задачу содержательной и требующей привлечения специального математического аппарата. Далее в качестве примера рассмотрим рыночный риск. Источником такого риска служит, строго говоря, не сама сделка, а позиция, которая является результатом совершения одной или нескольких сделок. Оценить рисковую позицию — это вторая задача риск-менеджера. Для этого ему необходимо определить правила агрегации с учетом неттинга, специфики производных инструментов и т.д. Фактически сама позиция, агрегированная по определенным правилам, и является одной из количественных мер риска.
Поскольку мы говорили об агрегации многочисленных данных, то основной технологический инструментарий для количественной оценки риска — это в первую очередь хранилище данных с правильной структурой, интегрированное со всеми необходимыми источниками.

Некачественные или неактуальные данные, а также их отсутствие в системе в отношении любого из источников могут быть если не фатальны, то весьма пагубны для доходности бизнеса

— Как используется эта агрегированная информация?

— Затем рассчитанные количественные меры риска становятся предметом ограничений — лимитов. Рисковые лимиты банка отражают его аппетит к риску, а система управления лимитами позволяет контролировать величину текущего риска на соответствие этому аппетиту. Внутренняя политика по управлению лимитами в том или ином виде присутствует в каждом банке. Это означает, что на каждого контрагента, каждого клиента, на различные виды операций могут быть установлены соответствующие ограничения.
Деятельность банка по управлению лимитами делится на две части. Первая часть  операционная — это процесс, связанный с?их установкой. Так, для лимитов кредитного риска в процесс традиционно вовлечен кредитный комитет, который их утверждает. Установка лимита на клиента — это многоступенчатый процесс, связанный со сбором большого количества документов и согласований. А на выходе получается структура ограничений кредитного риска, принимаемого банком на одного заемщика. По тому, насколько детально эта структура отражает весь спектр операций банка с клиентом, можно судить о зрелости банковской системы управления рисками.
Вторая часть задачи управления лимитами — контроль их утилизации. Для этого используются, в частности, технологии Business Rules Management System (BRMS). Они позволяют риск-менеджеру конструировать правила агрегации рисковых величин и контролировать соблюдение лимитов. Например, он может ограничить операции определенного подразделения и внутри него назначить персональный лимит на операции каждого сотрудника.
Отдельную сложность в технологию вносит тот факт, что часть лимитов должна контролироваться в режиме реального времени. Это ограничивает использование хранилища как инструмента контроля. Такие лимиты контролируются либо на операционной базе во фронтальной системе, либо с помощью специализированных систем, работающих на отдельной базе данных.

— Что происходит при обнаружении нарушения лимита?

— Стартует бизнес-процесс по расследованию нарушения, цель которого — ответить на вопросы: кто нарушил, почему и, главное, что с этим делать? Автоматизация такого процесса?— классический workflow. Ведь само по себе нарушение лимита не является преступлением, это рабочий инцидент. Риск-менеджер должен своевременно об этом узнать, проанализировать ситуацию, связаться с ответственным и принять решение, авторизует он операцию или нет. И это нужно сделать как можно скорее.

— Какие еще методы используются при построении системы управления рисками?

— Следующий метод, который требует достаточно серьезных технологических усилий, — это управление чувствительностью к рискам. Реализуя такой подход, мы получаем возможность оценить, как сильно финансовый результат позиции, портфеля инструментов зависит от изменения рыночных факторов. Для этого мало определить рисковую позицию, необходимо еще принимать во внимание свойства финансового инструмента, лежащего в ее основе. Здесь ключевую роль играет профессиональная фронтальная система, которая способна правильно интерпретировать финансовый инструмент, рассчитать его теоретическую стоимость на данный момент и соответственно оценить, насколько его цена подвержена колебаниям из-за тех или иных рыночных факторов.
И последний аспект — резервирование, то есть расчет величины резервов, которые необходимы, чтобы полностью или частично покрыть возможные  убытки банка. Это достаточно логично реализовывать на базе хранилища с помощью BI.
Подводя итоги, могу сказать, что полноценная система управления рисками включает в себя технологии управления рисками в реальном времени, математические библиотеки расчета теоретических цен финансовых инструментов, хранилище данных как основной инструмент консолидации, BRMS как инструмент, позволяющий гибко настраивать политики управления рисками и, наконец, BI — чтобы все это увидеть в самых разных разрезах. Современное управление рисками — комплекс сложных технологий, каждая из которых вносит свой вклад в общую эффективность  решения задачи, которая оказывается реализуемой лишь при высоком уровне зрелости информационных технологий в банке.