Термин «значимые риски» закреплен в российском нормативно-методическом поле Банком России Указанием 3624-У (Указание Банка России от 15 апреля 2015 г. N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", далее – Указание Банка России). Теперь это не свободная, интуитивно-лексически понятная категория для использования по собственному усмотрению наряду с существенными или основными рисками. Регуляторные требования четко оговаривают:
- Категорию значимых рисков, как рисков, «которые могут привести к потерям, существенно влияющим на оценку достаточности капитала», в отношении которых банки обязаны обеспечить установленные процедуры оценки достаточности капитала и управления рисками и
- Процедуру периодического (не реже, чем ежегодной) тестирования потенциально известных / воздействующих на банк рисков с целью определения / актуализации состава значимых рисков.
При этом, согласно Указанию Банка России, методологию такой идентификации банки должны разработать самостоятельно – исходя из регуляторных требований и пониманий собственных потребностей.
По этому новому механизму пока не сформулированы четкие стандарты, позиции регулятора, аудиторов, ассоциаций и пр., а рыночная практика варьируется от 3 до 16 видов риска. Такой разброс связан с широким рядом возможностей, возникающих в этом, в целом несложном процессе – идентификации значимых рисков.
Классификация классификаторов
Предшествует разработке методологии идентификации рисков решение об их классификации. В ряде случаев, это может быть важным как этап систематизации стихийных, исторически сложившихся систем риск-менеджмента.
Здесь возникает возможность дополнить пару «значимые / не-значимые» до 3 категорий (с возможными вариациями названий):
- Потенциальные, т.е. все известные / возможные риски, рассматриваемые в процессе идентификации рисков.
- Присущие, т.е. выделяемые из числа потенциальных риски, относящиеся к деятельности банка, в отношении которых необходимо управление (в полном объеме либо упрощенно – на основе отдельных ограничений и/или мониторинга). Эта категория не обозначена в документах Банка России, однако в ходе публичных дискуссий его представители признают возможность выделения «не-значимых» рисков – присущих деятельности банка и допускающих сокращенные процедуры управления.
- Значимые, т.е. выделяемые из числа присущих основные, важнейшие риски, способные оказать существенное влияние, и требующие полнофункционального риск-менеджмента, в т.ч. с соблюдением требований Указания Банка России.
При этом исходная 2-уровевая классификации («значимые / не-значимые») в большинстве случаев неэффективна:
- Если, в терминах приведённых выше 3 уровней, присущие риски объединяются со значимыми, фактически по некоторым видам рисков возрастают требования к риск-менеджменту сверх оптимального уровня, что управленчески нерентабельно. Кроме того, завышенная нагрузка на капитал снижает доверие к показателям достаточности капитала, а значит, и эффективность ВПОДК.
- Если же в рамках «не-значимых» не выделяются присущие риски, теряется логика ВПОДК: в отличие от регуляторных минимальных нормативов достаточности капитала, эта часть требований основывается на определении банком собственного профиля рисков, и его неполнота ставит под сомнение полноту системы управления рисками (далее также СУР).
Варианты выделения большего количества категорий на линейной шкале (включая «менее значимые», «наиболее значимые», «критические» и т.п.) не меняют ситуации: где-то возникает граница значимых рисков, начиная с которой возникает полнофункциональное управление. В предельном случае, здесь возможен полный уход от классификации: вместо групп возникает индивидуальный перечень (реестр, профиль, карта) рисков, где по каждому их виду указывается формат управления, ключевые метрики, включение в оценку экономического капитала и пр.
В отдельной плоскости лежит вариант выделения категории «значимых» рисков как дополнительной регуляторной категории наряду с внутренними классификациями, что может быть целесообразным для зрелых систем риск-менеджмента, сформированных до принятия в 2015г. Указания Банка России. Как правило, для таких банков регуляторные требования выполняются с запасом (кроме, разве что, периодичности отчетности и уровня утверждения некоторых документов), и выделение категории значимых рисков становится формальной незначимой задачей.
При этом варианты, в явном виде выделяющие категорию важных для банка, но «регуляторно не-значимых» рисков, несут в себе регуляторный риск – при проверке / оценке[1] такая структура может вызвать вопросы.
Цена вопроса
Следствием решения по классификации видов риска становится важнейший для структуры СУР вопрос - формат управления по «не-значимым» рискам. Крайними вариантами здесь будут:
a) Максимально жесткая граница с управлением только видами рисками, признанными значимыми.
В этом случае к значимым будет правильно отнести все сколь-нибудь существенные для банка риски, и процедура идентификации рисков становится максимально значимой в системе управления рисками.
b) Условная граница, контролирующая соблюдение регуляторных требований, тогда как полнота функционала управления рисками (и в т.ч. в части включения в расчет экономического капитала) определяется индивидуально по каждому виду риска.
В этом случае критерий «значимости» становится формальным, и логичной представляется минимизация состава рисков. Но процедура идентификации остается регуляторно необходимой и, во многих случаях, управленчески полезной.
Корпоративные особенности
Говоря о полноте формата управления важно понимать, что регуляторная граница «полного» формата достаточно условна. Соответственно, минимальное количество значимых рисков не во всех случаях является признаком примитивного, сокращенного, минимального (или даже недостаточного) риск-менеджмента. Возможны ситуации, когда отдельный аспект требований регулятора является критичным / сложнореализуемым для какого-то банка – в этом случае мы увидим минимум значимых рисков и развитое, адекватное, полнофункциональное управление частью не-значимых рисков.
Распространенным среди российских банков примером такого критичного требования является включение Совета директоров (Наблюдательного совета) в процесс управления рисками. Требование безусловно оправданное – неоспоримо, что риск-менеджмент должен начинаться с высшего уровня управления. В процессе эволюции современный риск-менеджмент всё более явно переходит от выделенной функции, реализуемой отдельной службой, к неотъемлемому элементу системы стратегического управления, что безусловно поднимает его на уровень Совета директоров.
Однако именно этот теоретически бесспорный аспект во многих случаях создает практические сложности. В каждом банке, при соблюдении формальных требований, складывается своя индивидуальная корпоративная культура, в которую более или менее органично вписывается взаимодействие с Советом директоров в связи с утверждением нормативно-методологических документов, рассмотрением отчетов, принятием плановых документов и их рисковой составляющей – склонности (аппетита) к риску[2]. Но если в привычном формате бизнес-планирования ставятся цели, и далее оценивается степень их достижения, то предусмотренные Указанием Банка России в составе риск-аппетита лимиты, по своей сути, являются жесткими ограничениями. Включение Совета директоров в процесс установления лимитов (а также рассмотрения случаев их нарушений, актуализации) предполагает формат достаточно оперативного взаимодействия. И вполне оправданным представляется намерение многих банков, как минимум, на начальных этапах минимизировать масштабы такого взаимодействия – в т.ч. через количество значимых видов риска, поскольку требования по эскалации управления рисками до уровня Совета директоров предумотрены только для значимых рисков.
Критерии и процедуры
На следующем этапе разработки методологии идентификации рисков встает вопрос об участниках процесса: если в простейшем варианте весь процесс осуществляется риск-менеджментом, то в более сложных форматах могут создаваться целевые рабочие группы и/или привлекаться смежные подразделения – принимающие риски, планирующие развитие банка и т.п. Здесь вопрос стоит как в трудоемкости процедуры, так и в «культуре риска» - понимании коллегами рисков, их вероятностных аспектов, процедур управления, а также их зависимости от признания риска значимым.
В части критериев значимости регулятор даёт определенные ориентиры: Указание Банка России при идентификации рисков предлагает как основу ряд показателей по 4 направлениям: уровень риска по операции, сложность операций, объем операций, а также факт начала новых операций. Этот набор может быть принят без изменений, либо дополнен, в т.ч. по следующим направлениям (или их комбинациям):
- Добавление качественных показателей, таких как историческая преемственность, отраслевые стандарты.
- Формализация количественных показателей - переход от общих характеристик («объем», «уровень риска») к конкретным показателям – величина позиции (открытой / закрытой), оборот, доли в активах… Для уровня риска важнейшими показателями будут потери – исторические (реализованные) и потенциально возможные: ожидаемые, неожиданные (VaR), а также стрессовые. Стандартные показатели не исключат специфических для видов риска индикаторов (той же предложенной Банком России доли «плохих» ссуд), однако они важны в т.ч. с точки зрения сопоставимости критериев между видами рисков.
- Введение экспертной (неформализованной, «свободной») составляющей оценки – возможности учесть иные факторы за или против признания определенного риска значимым (либо присущим).
Процедурно, помимо наиболее очевидного варианта рассмотреть все критерии и принять по их совокупности решения, могут быть предложены еще 2 варианта – более технологичных, и, в итоге, менее трудоемких:
- Балльно-весовая методика, когда каждый риск оценивается по каждому из критериев определенным баллом, с присвоением по сумме баллов итоговой категории (значимый, присущий и т.п.). Такая методика будет полной, и при этом, за счет весов, присваиваемых категориям показателей, оставит разработчикам определенную степень свободы.
- Методика последовательного исключения, когда перечисленные группы критериев рассматриваются последовательно, и при выявлении хотя бы одного основания для признания риска значимым, процесс идентификации останавливается. По логике процесса идентификации, создающего для рисков «обязанности», а не «права», мы должны обосновывать не столько признание значимым, сколько не-признание. Соответственно, если в рамках консервативного прочтения Указания Банка России, а именно п.1.2. «… Система управления рисками и капиталом … должна охватывать факторы кредитного, рыночного и операционного рисков, … а также иные значимые риски, например, процентный риск и риск концентрации» мы относим к значимым все поименованные в приведенной цитате риски, количественный анализ их индикаторов не является необходимым. И напротив, для исключения определенного вида рисков из числа значимых, мы должны будем провести его полный анализ и рассмотреть все группы критериев. В таком формате мы фокусируем анализ на рисках с неполным (неформализованным, или даже отсутствующим) текущим управлением, что обеспечивает регулярную актуализацию периметра системы управления рисками и повышает её общую надежность.
Во всех случаях, процесс идентификации рисков стартует с общего перечня потенциальных рисков, который может быть сформирован самостоятельно, либо на основе рыночной практики – профильной литературы, публикуемых отчетов других (желательно, сопоставимых по профилю бизнеса / рисков) банков. В основу такого перечня может быть положен, например, Справочник наиболее распространенных видов (подвидов) риска, опубликованный Комитетом по стандартам Базель II и управлению рисками при Ассоциации российских банков в составе консультационного материала «Общие вопросы организации процесса внутренней оценки достаточности капитала (ВПОДК)»[3].
Эффект масштаба: детализации и группировки
Аспект масштаба рисков (или уровень их детализации) нигде не оговорен, однако может быть крайне важным с точки зрения последующего формирования системы управления рисками. Единый «кредитный риск» мы встретим, разве что, в отдельных банках-монолайнерах. Как правило, универсальный банк сталкивается с различными подвидами кредитного риска – например, для корпоративных, розничных и финансовых контрагентов – для каждого из которых применяются различные процедуры управления и модели оценки риска. Включая в состав значимых рисков кредитный риск в целом, по идее, мы должны обеспечить соответствующее требованиям Указания Банка России управление и оценку достаточности капитала по всем подверженным риску позициям… Тогда как в случае «дробления» риска, например, кредитный риск незначительного по объему ипотечного портфеля корпоративного банка и/или кредитный риск по непрофильным (административно-хозяйственным) операциям может не быть значимым.
Близкая ситуация складывается с рыночными рисками: если это один значимый вид риска, то соответствующие его значимости процедуры управления и оценки должны быть реализованы в отношении всех позиций этого риска, независимо от их под-вида. Если же значимым будет признан, например, только валютный риск (либо в формулировке «валютный рыночный»), то риски небольшого портфеля ценных бумаг могут рассматриваться как не-значимые.
Также важным моментом для многих неактивных на финансовых рынках банков может быть аспект торгового портфеля. Стандартная структура рисков, из которой исходит Банк России в части требований к значимым рискам (и в регулировании в целом), основана на подходе Базельского комитета по банковскому надзору, ориентированном на крупные международно-активные банки, для которых характерна четкая организационная сегментация бизнес-направлений, и в т.ч. торговых операций (торговой книги, торгового портфеля). Если же торговый портфель выделяется исключительно в целях / на уровне бухгалтерского учета, не является отдельной экономической / управленческой категорией, а также формируется исключительно (преимущественно) однонаправленными позициями – разделение процентного риска на рыночную и банковскую книги может привести к искажению оценок риска. В такой ситуации может быть оправданным комплексное рассмотрение процентного риска – в составе рыночного риска, либо как отдельного вида риска с исключением процентной составляющей из рыночных рисков[4].
Риски концентрации или концентрации рисков
Отдельный аспект идентификации рисков – концентрации. Здесь, собственно, всё определяется порядком слов:
- Если мы говорим о «риске концентрации», то это полноправный вид риска – риск «связанный с подверженностью кредитной организации крупным рискам, реализация которых может привести к значительным убыткам, способным создать угрозу для платежеспособности кредитной организации и ее способности продолжать свою деятельность», риск любых крупных потерь. Он, безусловно, должен быть признан значимым, как это приведено в процитированном выше примере в п.1.2. Указания Банка России.
Однако, в логике обозначенного выше вопроса о масштабировании очевидна неоднородность данного вида рисков. Концентрации на заёмщика и вкладчика, вид инструментов и географическую зону, отрасль и масштаб бизнеса различны не только как подвиды риска – они еще и организационно возникают в деятельности / подлежат управлению разных подразделений (а также, зачастую, заносятся в различные ИТ-системы). Соответственно, о единых процедурах управления, методах анализа и оценки, сводных отчетах и показателях говорить может быть затруднительно…
- С другой стороны, если рассмотреть концентрации не как вид, а как характеристику риска, возникает экономически не менее логичная, но управленчески более удобная категория «концентрации рисков».
В этом случае процесс идентификации задваивается: дополнительно к выделению из числа потенциальных рисков значимых для данного банка видов риска, мы аналогичным образом выделяем из числа потенциальных факторов концентрации значимые. При этом возникает дополнительный этап анализа – оценка «покрытия» рассматриваемого фактора концентрации процедурами управления и методами оценки по базовому виду рисков[5]. Соответственно, если идентифицированная значимая концентрация находится «внутри» значимого риска, и в полном необходимом объеме управляется и оценивается в его составе, будет правильно говорить о едином объекте в рамках СУР – для приведенного примера, о «риске ликвидности (включая концентрации фондирования)». Если же выявленная концентрация лежит за рамками одного вида рисков (что может быть характерно, например, для отраслевых концентраций), для неё требуется отдельный механизм управления: лимиты, оценка, отчетность, что соответствует отдельному объекту СУР – «отраслевой концентрации рисков».
Также в таком процессе идентификации концентраций произойдёт проверка полноты системы риск-менеджмента: для каждого рассматриваемого значимого фактора концентрации, находящегося в рамках базового значимого риска, будет проверено и подтверждено наличие всех необходимых процедур и оценок.
Место в системе
Рассмотренные возможные подходы к идентификации значимых рисков приводят к идее о приоритете процесса идентификации значимых рисков над его результатом. Получается, что важно не только, какие риски мы признаем значимыми, но и сам процесс анализа, когда мы:
- начинаем с формата системы управления рисками, выделяя в ней категории рисков с различной степенью значимости (или принимаем решение об индивидуальном рассмотрении каждого вида рисков) и обеспечиваем управление видом риска, пропорциональное его значимости;
- рассматриваем широкий спектр рисков, включая риски, не охваченные текущей системой управления;
- подробно рассматриваем потенциально не-значимые риски, проверяя полноту текущего периметра системы управления рисками;
- акцентируем факт начала новых операций как основание идентификации рисков;
- дополнительно рассматриваем концентрации рисков, и проверяя их аналогичное пропорциональное покрытие риск-менеджментом.
Таким образом, формируя регуляторно необходимый отчет об идентификации рисков мы проделываем значительную аналитическую работу, которая может быть забыта до следующего ежегодного отчета, либо интегрирована в другие процессы ВПОДК, и в т.ч.:
- формирование ежегодного отчета о функционировании СУР и ВПОДК;
- разработку, утверждение, контроль и анализ исполнения (а также, при необходимости, актуализацию) склонности (аппетита) к риску;
- разработку и ежегодную актуализацию Стратегии управления рисками и капиталом и комплекса процедур управления и методик оценки по видам рисков.
В целом, процесс идентификации рисков очень иллюстративен: он высвечивает структуру системы управления рисками, возможные диспропорции и несоответствия в управлении отдельными видами рисков, и комплексно представляет профиль риска банка.
Наряду с другими инструментами ВПОДК, идентификация рисков (если она не сводится к формально необходимому минимуму) способствует развитию сбалансированности и пропорциональности в системе управления рисками, и оптимальной аллокации доступных риск-менеджменту ресурсов между их видами.
Обратная пропорциональность
Ещё одно самоконтролирущее свойство процесса идентификации значимых рисков – их обратная зависимость от достаточности капитала Банка.
Если определять значимый риск как «существенно влияющий на оценку достаточности капитала», то при увеличении запаса устойчивости сокращается набор рисков, способных оказать такое существенное влияние. Значимыми становятся действительно крупнейшие основные риски банка, тогда как возможные по другим видам риска отдельные редкие крупные потери не приводят к их признанию значимыми.
Напротив, ситуация минимального запаса по достаточности капитала резко повышает требования к риск-менеджменту: каждая операция требует индивидуальной предварительной оценки, каждый риск – расширенного анализа и управления. Такая ситуация абсолютно нормальна на самом общем уровне: любая система, функционирующая на пределе своих возможностей, требует повышенного внимания – диагностики, оперативной настройки, сервиса.
В финансовом менеджменте, как правило, при критических значениях достаточности капитала повышается периодичность процедур анализа и прогнозирования, вводятся дополнительные контроли и ограничения, перепроверяются на предмет точности и надежности все применяемые методики и оценки, корректируются операционные политики на предмет снижения рисков и волатильности … и достигается максимальная эффективность использования капитала.
Ситуация предельной достаточности капитала не является негативной характеристикой банка. Для коммерческого банка как организации, действующей для решения финансовых задач его акционеров, экономически целесообразно работать при предельном уровне достаточности капитала:
- регуляторной,
- для банков, по тем или иным причинам недооценивающих показатель достаточности капитала, не доверяющих его методологии, не видящих возможности объективной оценки собственных рисков,
- для банков, имеющих определённую специфику профиля рисков, на основании которой полагающих регуляторную оценку необходимого для покрытия рисков капитала завышенной,
создающей основу для банковского надзора, а также для внешней оценки банка его контрагентами, в большей или меньшей степени знакомыми с его спецификой;
- внутренней, индивидуальной оценке банком необходимого для покрытия его рисков капитала, с учетом определённого стратегией банка запаса.
Собственно, буфер капитала (запас, надбавка поддержания достаточности капитала) лишь задает различные уровни достаточности, при нарушении которых возникают последствия разной степени жесткости, но в целом ситуация не меняется. При снижении запаса достаточности капитала снижается масштаб рисков / убытков / негативности сценария, критичных для её поддержания, что увеличивает внутренние бизнес-потребности Банка в управлении широким кругом рисков. Соответственно, внутренние потребности в управления рисками начинают обеспечивать и даже превышать регуляторные требования для значимых рисков, что, собственно, согласуется с результатами применения критериев идентификации…
Издержки регуляторных требований
С профессиональной позиции риск-менеджера, ориентированного на развитие культуры и системы управления рисками, требования по идентификации рисков, в целом, безусловно позитивны, но несут в себе определенные управленческие риски. Введение формально необходимого инструмента может осуществляться не пропорционально бизнес-потребностям, но по минимальным установленным требованиям. В этом случае мы вместо работающего инструмента получаем формальность – иллюзию, занимающую время сотрудников и руководства и место той самой, теоретически оптимальной для банка процедуры.
В отношении категории значимых рисков её применение как критерий для обязательного включения в расчет экономического капитала, утверждаемый Советом директоров риск-аппетит, систему лимитов, комплекс отчетности (для разных форм – с периодичностью от ежедневной, и с адресацией – до уровня Совета директоров) приведёт к минимизации этой категории в большинстве банков. С учетом обозначенного выше риска введения альтернативных управленческих категорий, можно ожидать отхода от классификаций рисков к дискретным шкалам с индивидуальными характеристиками каждого вида риска.
Что касается регуляторных требований в отношении процедуры идентификации рисков, ограничивающие лишь вполне оправданную минимальную ежегодную периодичность, то они настолько минимальны, что их главный организационный риск – быть незамеченными, проигнорированными за незначительностью, что представляется крайне нежелательным с учетом описанной выше роли собственно процесса идентификации в формировании системы управления рисками, и множества возникающих в этом процессе перекрёстных контролей.
[1] Оценке ВПОДК, предусмотренной вводимым Указанием Банка России механизмом, потенциально влияющей на установление индивидуальных надбавок к регуляторному нормативу достаточности капитала, по которой пока не сложились практики проведения, и не понятны уровень жесткости критериев, готовность к восприятию нестандартных решений, а также порядок взаимодействия и возможности обоснования собственных позиций…
[2] Указание Банка России позиционирует склонность (аппетит) к риску как часть нормативно-методического (как следует из требований к его структуре) документа «Стратегия управления рисками и капиталом». На практике же риск-аппетит – неотъемлемая часть бизнес-плана. Обязательные составляющие риск-аппетита количественные показатели, определяющие «плановые (целевые) уровни рисков, целевую структуру рисков и систему лимитов» в большинстве своём неразрывно связаны с бизнес-планом.
[5] Такой формат прямо предусматривается Указанием Банка России (п.7.1. Приложения 1): «Проявление риска концентрации может учитываться кредитной организацией в рамках процедур управления значимыми рисками».