«Это не Базельские соглашения создали риск-менеджмент, а риск-менеджмент создал Базельские соглашения», Олег Ваксман, первый вице-президент Газпромбанка |
Вступая в глобальный рынок, привести бизнес в соответствие с международными отраслевыми стандартами так же необходимо, как человеку освоить язык страны, в которой он собирается жить и работать. В полной мере это касается и ИТ-руководителей.
Появление стандартов в бизнесе вполне естественно. Они возникают при достижении организациями определенного уровня зрелости и не только играют роль своеобразного «кнута и пряника» для участников рынка, но и становятся квинтэссенцией опыта, полученного всеми этими организациями, а также единым профессиональным языком, облегчающим совместную деятельность. Наличие общей основы в виде отраслевых стандартов обеспечивает высокую экономическую эффективность глобальных сетей формирования добавленной ценности. Помимо прочего, ясные, известные всем правила игры улучшают инвестиционный климат в отрасли, позволяют привлечь в нее дополнительные средства.
Отечественным компаниям, стремящимся на глобальный рынок, привести свой бизнес в соответствие с международными отраслевыми стандартами так же необходимо, как человеку освоить язык той страны, в которой он собирается жить и работать. В полной мере это имеет отношение и к руководителям ИТ-департаментов: выбирая решения для ИТ-поддержки бизнеса, они должны обращать внимание не только на их функциональную адекватность, но и на соответствие международным стандартам заложенной в них модели бизнеса. Кроме того, не следует забывать, что любая автоматизация деятельности предполагает ее стандартизацию. Вопрос в том, на чем она основана — на стандартах отрасли, сегмента рынка или на своих доморощенных представлениях о стандартизации. Как показывает опыт, наибольшего эффекта удается добиться, приняв за основу общепризнанные международные стандарты, впитавшие в себя накопленный в области ИТ глобальный успешный опыт.
Хорошей иллюстрацией сказанного является банковский бизнес. Банк, в котором не налажено управление рисками, — аутсайдер, с ним лучше не иметь дела. Базельские соглашения, определяющие стандарты решения ключевой проблемы отрасли, стали для нее «кнутом и пряником» и во многом осложнили жизнь ИТ-директоров. Помочь им увидеть «пряник» мы попросили Олега Ваксмана, первого вице-президента Газпромбанка, члена правления, отвечающего за риск-менеджмент. Его позиция — пример разумного отношения к стандартизации, которое помогает всем сотрудникам организации, в том числе ИТ-департаменту, получить от нее максимум пользы.
В российских компаниях нередко можно столкнуться с негативным отношением к внешним стандартам, в лучшем случае их воспринимают как элемент маркетинга. Может ли стандарт Basel II оказать реальную помощь банковскому бизнесу?
Базельские соглашения — это в первую очередь дополнительные регуляторные требования. Банковское сообщество понимает это, и ожидать особой радости от усложнений правил игры с его стороны не приходится. Вместе с тем следование этим стандартам дает возможность банкам оценить риски и управлять ими с экономической точки зрения. Basel II позволяет оптимизировать регуляторный капитал с точки зрения реально принимаемого риска на ту или другую транзакцию. Приведу простой пример. Предположим, что банк собирается совершить сделку с компанией в офшорной зоне. По формальным признакам эта сделка может обладать повышенным риском, и регулятор потребует увеличения капитала. Однако, следуя Базельским стандартам, мы должны оценить реальный риск, величина которого будет определять величину регуляторного капитала. Если офшорная компания входит в крупный и надежный холдинг, то, возможно, увеличения не потребуется. Базельские требования окажутся крайне выгодными для тех банков, портфель активов которых образован «голубыми фишками».
Кроме того, Базельские соглашения оказывают позитивное влияние на всю финансовую систему: они делают ее более прозрачной, снижают уровень формализма. У нас много отчетности, которая составляется ради самой отчетности, но очень мало дает для управления рисками. Есть, однако, и негативный момент: в российской действительности во многих случаях необходимо рассматривать каждую сделку в отдельности, а Базельские соглашения используют портфельный, стандартизированный подход, не всегда дающий возможность учесть все нюансы сделки.
Создается впечатление, что Базельские требования не являются новостью для риск-менеджмента. Каждый надежный и устойчивый банк должен примерно так и поступать. Насколько это справедливо, содержатся ли в Basel II методические инновации?
Каждый, кто называет себя риск-менеджером, знает общие принципы, лежащие в основе Базельских соглашений: рейтинговые модели, методы обеспечения достаточности капитала, расчета Value at Risk (VaR) и т. д. Это не Базельские соглашения создали риск-менджмент, а риск-менеджмент создал Базельские соглашения, то есть по-настоящему инновационных моментов там нет. Их новизна состоит в том, что обоснованием решений должна теперь выступать статистика, а не отдельная практика и понимания топ-менеджеров банков. Новизна — в требованиях к качеству и структуре данных.
Самое сложное во внедрении Базельских соглашений — это не освоить методики, а добиться их применимости в реальных управленческих решениях, чтобы они не стали инструментом оптимизации капитала — нечто подобное мы наблюдаем в ряде стран Запада. Вместо того чтобы придать банковскому бизнесу большую устойчивость, внедрение там Базельских соглашений сделало риск-менеджмент одним из самых доходных видов деятельности. Считаю, что это искажение самой идеи соглашений — если нет качественных данных, то ничего реально оценить невозможно.
Насколько способен средний или малый российский банк реализовать эти требования? И как повлияет приведение банков в соответствие этим требованиям на уровень конкуренции между ними?
Требования Базельских соглашений в их простейшем виде очень близки к тем, которые сейчас регулируют жизнь большинства российских банков: многие отечественные финансовые организации стали уделять больше внимания корпоративному управлению, вводят некоторые дополнительные правила, но сложные модели оценки рисков при этом не используются. Банк может соответствовать Базельским требованиям, используя простые стандартные расчеты, их реализация не потребует больших затрат. Если банк не может себе и этого позволить, то, возможно, ему не стоит дальше продолжать свою деятельность, поскольку дела его совсем плохи. Сложнее ситуация в розничных банках — чтобы соответствовать Базельским соглашениям, им необходимо проводить более сложные расчеты. С другой стороны, если банк работает с розницей, то вряд ли он не использует необходимые модели, например в скоринге.
Я не согласен с тем, что Basel II «убьет» половину маленьких банков и что только большим банкам он под силу. Все зависит от того, какой вариант соглашений внедрять. Но есть один нюанс: чем больше банк, тем сложнее у него данные, тем больше у него продуктов, тем больше у него направлений работы и, следовательно, тем дороже обойдется внедрение Базельских соглашений, потому что будет очень тяжело интегрировать все необходимые данные.
Банковскую деятельность трудно представить без ИТ. Как должны быть выстроены отношения между департаментом риск-менеджмента и ИТ-департаментом?
ИТ для банка — одно из главных конкурентных преимуществ, без них банк не сможет существовать. Банковские счета и продукты существуют только в информационных системах. Департамент риск-менеджмента для ИТ-департамента выступает в роли заказчика ИТ-решений. Замечу, что на стадии разработки требований необходимо очень тесное их взаимодействие, потому что методологически риск-менеджмент — один из самых сложных видов деятельности в банке. Для меня идеальные отношения этих подразделений должны быть основаны на соглашении об уровне обслуживания (Service Level Agreement, SLA).
В ряде банков департаменты риск-менеджмента имеют собственных ИТ-специалистов, которые занимаются поддержкой и развитием своих информационных систем, в большинстве других эти функции возложены на сотрудников ИТ-службы банка. Как обстоит дело у вас?
В Газпромбанке поддержкой всех систем занимаются исключительно специалисты ИТ-департамента. Департамент банковских рисков имеет собственных аналитиков, которые очень хорошо понимают, как работают их информационные системы, и в состоянии настроить их параметры. Многие наши риск-менеджеры умеют писать макросы для автоматизации расчетов в используемом аналитическом программном обеспечении. Однако это не означает, что они профессиональные программисты, просто они прекрасно понимают этот код. Это необходимо, потому что, когда ИТ-служба не понимает постановки задачи, риск-менеджерам приходится «объяснять с помощью рук», как должна работать аналитическая система. Лично я не считаю, что департамент управления рисками должен сам разрабатывать системы для себя, это неоправданно трудоемкая задача.
Недавно в вашем банке завершился проект, связанный с приведением управления операционными рисками в соответствие с Базельскими соглашениями. Они не сводятся только к рискам, связанным исключительно с ИТ. Как департамент управления рисками выстраивает взаимоотношения с другими функциональными подразделениями банка?
Действительно, ИТ-департамент — не только поставщик ИТ-услуг, он самостоятельный участник системы риск-менеджмента, отвечающий за управление определенным операционным риском, а именно — ИТ-риском. Во множество операционных рисков также входят риски бизнес-процессов, человеческие риски (ошибки, злоупотребления, мошенничества и т. д.) и разнообразные внешние события, начиная от изменений законодательства и заканчивая, например, веерными сбоями в электроснабжении.
В систему управлениями рисками в банке вовлечены абсолютно все его подразделения, потому что все они, согласно нашей методологии, являются владельцами своих рисков. И если мы выстраиваем некий методологический зонтик, мониторинг того, как функционирует вся система, то решение о том, как управлять своими рисками, подразделения принимают сами, естественно под надзором риск-менеджмента. Если они будут излишне консервативны, или — что чаще — излишне либеральны, мы их, разумеется, поправим.
Как давно Газпромбанк начал серьезно заниматься организацией ИТ-поддержки управления рисками?
Рейтинговая система для корпоративных клиентов, разработанная нашими силами, функционирует четвертый год, и здесь мы в числе лидеров. Скоринговые системы существуют в банке около пяти лет. Поскольку Газпромбанк не является исключительно розничным банком, в большей степени он работает с корпоративными клиентами, полагаю, что в других банках эти системы начали использоваться раньше. Интегрированную систему управления рисками мы начали разрабатывать полтора года назад. На сегодняшний день мы интегрируем в нее управление рисками ликвидности на базе решения SAS для риск-менеджмента.
Управление операционными рисками тоже было основано на информационной системе SAS. Почему вы обратились к решениям этой компании?
Участие этой компании в проекте — результат серьезного конкурса, в котором участвовали как западные, так и российские разработчики. Почему мы не выбрали российскую компанию, которая хорошо знает отечественную специфику? Ответ прост. Мы сами ее хорошо знаем и знаем, как здесь работает риск-менеджмент. Нам интересно было получить такой инструмент, который, с одной стороны, создан в соответствии с лучшим мировым опытом, а с другой стороны, достаточно гибок, чтобы настроить его на российскую специфику, и здесь SAS оказался в лидерах. В то же время функционал коробочных решений SAS не являлся самым лучшим из того, что мы видели. Кроме того, в момент принятия решения о внедрении системы компания была лидером по качеству поддержки — она могла предложить поддержку на русском языке как со стороны глобальной компании, так и со стороны ее российского представительства. Западные аналоги SAS на тот момент такого уровня поддержки на русском языке предложить не могли.
Помогла ли вам компания в развитии методологии управления рисками и создании комплексной системы управления ими или вы в большей степени опирались на свой опыт?
Наличие в SAS экспертов, которые разбираются и в ИТ, и в управлении рисками, — большой плюс. Но я не могу сказать, что мы опираемся в разработке своей методологии на ее поддержку, мы ее развиваем сами. Иногда работаем с профессиональными консультантами в области управления рисками. Консультанты SAS иногда нас корректируют, но мы рассматриваем эту компанию как поставщика ИТ-решения, а не методолога.
Сейчас у вас идут два проекта, связанных с управлением кредитными рисками и рисками, касающимися ликвидности. Что будет следующим шагом?
Следующий шаг — интеграция этих решений в систему управления экономическим капиталом. Сейчас эта деятельность автоматизирована не полностью. Предстоит создать базу, которая обеспечивает проведение всех расчетов.
Внедрение систем такого масштаба, настолько глубоко проникающих в бизнес, невозможно без обеспечения лояльного отношения сотрудников к проекту. Каким образом удается заручиться поддержкой персонала?
Очень важно, чтобы бизнес был в теме на ранней стадии разработки методологии, то есть когда люди, работающие с кредитным риском, только начинают разрабатывать модель управления им. Представители бизнеса проникаются сознанием, что факторы, влияющие на риск, зависят от них и они являются основным источником данных, — риск-менеджмент может только статистически оценить важность этих факторов. Ранний диалог с бизнесом дает положительный эффект. Риск-менеджмент использует при этом «пряник» («если мы будем работать вместе, у нас могут быть меньше риски и, соответственно, меньше может быть регуляторный капитал») и «кнут» («нам нужно контролировать эти риски, поскольку существуют регуляторные требования, которым мы все должны соответствовать — и риск-менеджмент, и бизнес»). Базельские соглашения совмещают в себе эти функции не только для бизнеса, но и для риск-менеджмента. Я, как руководитель группы разработчиков методологии управления рисками, не во всем согласен с Базельскими идеями. Но внедрять их нужно в комплексе.
Кроме того, важно не упустить из виду тот этап проекта, когда система уже готова и протестирована, но ее надо представить бизнесу. Что делали мы? Во-первых, в ходе прогонов системы по тестовым сценариям все подразделения банка получили возможность по заранее освоенному алгоритму «поиграть» с ней, понять, что она из себя представляет, задать вопросы. Кроме того, прошел цикл семинаров — сначала очных. На них побывали 200 сотрудников, причем часть занятий проходила в форме лекций, а часть — с работой в системе. И наконец, мы предоставили сотрудникам возможность дистанционного обучения.