Как сейчас украинские банки справляются с этой задачей, и что им еще предстоит сделать, «Минфину» рассказал Михаэль Куниш, партнер, руководитель практики по управлению финансовыми рисками KPMG в СНГ.
— Какая разница между моделью управления рисками, которая используется в Украине, и той, которая используется в Европе?
— Главное отличие заключается в том, что европейские банки дольше работают в более совершенной регуляторной среде (в частности, требования «Базель II» и соответствующие государственные требования к минимальным стандартам управления рисками, утвержденные в разных европейских странах). Требования «Базель II» вступили в силу в 2008 году, поэтому мы можем сказать, что, учитывая период внедрения, наибольшие изменения функции управления рисками состоялись в европейских банках примерно в 2005 году. Вторая волна усовершенствований началась после кризиса 2008/9 гг. и сопровождалась усилением регуляторных требований. Поскольку Европейский Центробанк взял на себя роль главного регулятора в отношении крупнейших банков в Еврозоне, эта тенденция приобрела более широкое распространение. В результате это привело к гармонизации требований к этим банкам и их дочерним компаниям. Это также влияет на иностранные банки в Украине, поскольку они, в первую очередь, выполняют требования группы, которые соответствуют их риск-моделям. Таким образом, западные банки применяют требования «Базель II» к управлению рисками уже в течение 10-15 лет и прошли уже несколько этапов усиления регулирования. Понятно, что их способность оценивать риски и управлять ими, принимать необходимые меры для их смягчения, улучшилась. Но самым важным является то, что банки повысили свою риск-культуру и сделали управление рисками базовой и неотъемлемой частью процессов управления банком и принятия решений.
В Украине управление рисками было недостаточно развито, что объясняется, главным образом, двумя причинами:
- С 2004 года НБУ выдал лишь первые рекомендации по управлению рисками. Многие банки не выполняли их должным образом, а НБУ не мог должным образом контролировать их исполнение. Однако, подходы регулятора меняются и приспосабливаются к потребностям современной среды, в которой работают банки, как мы видели это раньше в Европе. Поэтому обновленный и более комплексный документ НБУ в этой сфере, который был издан в июне этого года, подтолкнет банки к совершенствованию их функций управления рисками.
- Многие владельцы и руководители банков рассматривают требования к управлению рисками исключительно как чисто формальные требования, которые не влияют на процессы банка и не имеют с ними реальной связи. Это лишает многие украинские банки надлежащих инструментов и инфраструктуры, необходимых для количественной оценки рисков, и приводит к тому, что функция управления рисками в таких банках остается слабой, в т.ч. из-за нехватки у нее соответствующего персонала и знаний.
— Каковы наиболее типичные проблемы банков со слабой функцией управления рисками в Украине?
Есть такие типичные проблемы:
- Требование к управлению рисками рассматривается как формальное регуляторное требование / требование группы, а не как ключевая функция контроля поддержки для принятия решений, которая помогала бы бизнес-подразделениям принимать только «правильные» риски
- Риск-менеджмент ограничивается кредитным риском и риском ликвидности, при этом управлению другими видами рисков и их интегрированию в процесс принятия решений уделяется недостаточное внимание
- Отсутствие возможностей и инструментов для надлежащей оценки рисков, которые позволяют определять их существенность
- Конфликты интересов в организационной структуре
- Недостаточный уровень коммуникации и обмена информацией с Наблюдательным Советом
- Отсутствие риск-культуры: «управление рисками является ответственностью подразделения по управлению рисками», которое, вместе с этим, не имеет надлежащих полномочий в процессе принятия решений
Все эти проблемы оборачиваются огромными убытками для банков в условиях общесистемного кризиса, что приводит к банкротству или необходимости внеплановых вливаний капитала.
— Какими принципами следует руководствоваться в управлении рисками в банках? Почему важно создать культуру управления рисками?
Вся бизнес-модель банков построена на принятии рисков. Поэтому необходимо доводить до сведения всех подразделений банка и то, каков их общий ежедневный вклад в управление рисками. Обычно банки внедряют концепцию «трех линий защиты», которая включает:
- бизнес-подразделения на первой линии
- подразделения по управлению рисками, финансовый комплайенс, юридический – как часть второй линии
- внутренний аудит – как третья линия.
Роль первой линии, например, заключается в снижении операционных рисков путем надлежащего выполнения банковских процедур, направленных на избежание мошенничества, злоупотреблений и продажи продуктов, к которым были применены санкции и т.д… Еще одна задача — разработать соответствующие правила идентификации клиентов (KYC), которые помогают понять, является ли тот или иной клиент приемлемым для банка. Эта концепция, вместе с сильной культурой управления рисками, должна быть одним из ключевых приоритетов для высшего руководства банков. Достижение этой цели начинается с создания так называемой «tone at the top» (тон, заданный сверху) – атмосферы необходимой для развития культуры управления рисками.
— Какова роль высшего руководства и Наблюдательного Совета в сфере управления рисками? Какой должна быть степень их вовлеченности в эту сферу?
— Одной из основных тенденций корпоративного управления сегодня является усиление роли Наблюдательного Совета в рамках организационной структуры. Для многих украинских банков Наблюдательный Совет остается формальным органом, к которому применяются лишь минимальные нормативные требования, поэтому изменения в этой сфере должны быть действительно фундаментальными. Если мы говорим об управлении рисками, то Наблюдательный Совет несет конечную ответственность за создание системы управления рисками и контроль над ее эффективностью. В рамках этой широкой сферы ответственности он должен утверждать Декларацию склонности к рискам (Risk Appetite Statement), определяющей уровень рисков, которые банк готов принимать, а также стратегию, политики и другие ключевые внутренние документы в области управления рисками. Он также должен регулярно получать и рассматривать отчеты по управлению рисками, утверждать меры, обеспечивающие соблюдение допустимого уровня риска, и контролировать их реализацию.
Правление является ключевым исполнительным органом банка. В сфере управления рисками оно несет ответственность за реализацию стратегии управления рисками, определенной Наблюдательным Советом, и обеспечивает соблюдение допустимого уровня риска и лимитов риска.
— Каким образом должна строиться функция управления рисками? Каково ее место в организационной структуре? Как она должна влиять на бизнес-процессы и организационную структуру банка?
— Управление рисками — это основная контрольная функция банка на так называемой «второй линии защиты». Ключевым требованием к ее эффективности является независимость, а также право вето в процессе принятия рисков. Этого можно достичь при условии выполнения следующих требований:
- Директор по управлению рисками (Руководитель подразделения по управлению рисками) должен стать одной из ключевых фигур в организационной структуре банка. Он должен иметь право участвовать в заседаниях всех коллегиальных органов банка и иметь право вето на решения, которые могут привести к нарушению лимитов риска и допустимого уровня риска. Он должен отчитываться непосредственно перед Наблюдательным Советом (без обязательного предварительного согласования с Правлением)
- Профессионализм и количество персонала подразделений по управлению рисками должны быть достаточными для эффективного исполнения обязанностей. Для этого подразделения должен иметься достаточный бюджет, который, в частности, предусматривает проведение тренингов для профессионального развития персонала
- Персонал подразделений по управлению рисками должен иметь неограниченный доступ ко всей информации, необходимой для эффективного выполнения его функций.
И позвольте отметить следующее: подразделение по управлению рисками не является эквивалентом функции управления рисками. Для того, чтобы быть эффективной, функция управления рисками должна включать всех руководителей и сотрудников банка. Каждый из них должен иметь свою роль в управлении рисками. Для внутренней организации управления рисками существуют различные модели, которые будут зависеть от размера банков, типа продуктов, географического присутствия и, в определенной степени, от способа организации бизнеса.
— В каких изменениях нуждается сфера управления рисками в период перехода к цифровой экономике / цифровым технологям?
— Технологии принесут изменения в такие две сферы: 1) типы продуктов и способы, которыми банки их предлагают; 2) способ, которым банки осуществляют свои внутренние процессы.
Если банки будут двигаться больше в направлении применения интернет-банкинга и онлайн-заявок на кредиты с принятием мгновенных решений, то это потребует значительных инвестиций в инфраструктуру и инструментарий. Прежде всего, банку необходимо идентифицировать клиента – либо как существующего, либо, если это новый клиент, применять, например, систему распознавания лиц и проверку документа, удостоверяющего личность. Это требует надлежащей инфраструктуры, обработки и сравнения данных, а также безопасной коммуникации и надлежащей защиты данных о клиенте. Для того, чтобы принять своевременное решение, банк должен иметь все документы, необходимые для проверки и верификации клиента в его системе, с тем, чтобы применить после этого рейтинговую или скоринговую модели. Или же, в качестве альтернативы, иметь возможность проведения оценки рисков путем анализа операций по счету клиента с помощью надлежащих статистических методов. После этого автоматическое решение должно приниматься по алгоритму, что также требует полной автоматизации процесса рейтингования / скоринга. Это лишь пример процесса кредитования в сфере потребительских кредитов.
В общем, банкам, в частности в Украине, необходимо повышать эффективность и ускорять процессы, быстрее реагировать на потребности клиента. Для совершенствования процессов в различных сферах, не только для нужд риск-менеджмента, могут применяться новые концепции, такие, как роботизация и машинное обучение.
— НБУ утвердил новые требования в отношении управления рисками. Какой подход следует применять банкам для того, чтобы достигнуть в этой сфере наивысшей эффективности и соответствовать требованиям регулятора?
— Новые требования НБУ заменяют предыдущие рекомендации, изданные 14 лет назад, на обязательные требования. Они основываются на актуальных международных стандартах Базельского комитета и соответствуют установкам Европейского Союза, а также являются приближенными к процедурам, которые применяет Европейский Центробанк. Однако, европейские нормы менялись в сторону усиления функции управления рисками в течение последних двух десятилетий постепенно. Таким образом, функция управления рисками в ЕС развивалась эволюционным путем. Ситуация в Украине другая: украинские банки, которые ориентировались только на соблюдение минимальных локальных нормативных требований, должны осуществить революционные изменения в течение следующих полутора лет. Поэтому подготовка к внедрению системы управления рисками должна начаться в ближайшее время, прежде всего с этапа надлежащего планирования. Подготовка предусматривает анализ текущих возможностей и инструментов банков и сравнение их с требованиями НБУ с последующим определением целевой картины того, как банки планируют придерживаться этих требований. Поскольку требования в большей степени основываются на принципах, каждому банку придется находить собственный способ соблюдения требований, который будет отвечать его индивидуальным потребностям. Также необходимо подготовить план перехода с четко определенными сроками и распределением ответственности. Это сделает возможным целевое внедрение, а также достижение такой трансформации в течение 1,5 лет.
Наш практический опыт работы в различных странах показывает, что для эффективного выполнения такого плана в банке должен быть создан специальный офис реализации проекта с полной поддержкой всего руководства банка. Для вовлеченных в этот процесс функций реализация дорожной карты должна быть одной из ключевых обязанностей на весь период внедрения, а также ключевым показателем эффективности (КPI) команды и правления.