Управление корпоративными рисками

В статье рассказывается о построении архитектуры для управления
корпоративными рисками и о том, как она может быть использована для оценки
различных типов рисков и повышения конкурентоспособности компании.

Использование рисков - это способ развития бизнеса, а управление ими - средство поддержания роста и развития бизнеса, особенно в условиях жестких законодательных требований. В предлагаемой статье рассказывается о создании архитектуры для управления рисками, которая помогает распознавать грядущие опасности, преобразовывать данные в информацию, полезную для принятия решений, и выполнять требования законодательства. Представленный ниже материал помогает понять, насколько полезными оказываются аналитические методы оценки кредитных и рыночных рисков для бизнес-операций.

Слово риск имеет общий корень с итальянским глаголом riscare, имеющим значение "отваживаться на что-либо". В погоне за конкурентным преимуществом никакой бизнес не сможет выжить, если не будет идти на рискованные действия. Использование рисков является абсолютно необходимым элементом современного бизнеса. Чем лучше организация будет понимать, предсказывать и управлять опасностями, возникающими на ее пути, тем легче ей будет превратить рискованное поведение в устойчивый успех.

Если оставить в стороне страховой бизнес, то цель большинства современных усилий по управлению рисками - это контроль изменчивости финансовых результатов, таких как прибыль и биржевой курс акций, при одновременном создании условий для корпорации, способствующих увеличению прибыльности и окупаемости. В индустрии финансовых услуг всплеск интереса к управлению рисками произошел двадцать лет назад, когда в США случился крах банка Barings Bank и фонда Long Term Capital Management. Этот интерес получил дополнительный импульс, когда стали разоряться компании электронной торговли (.com), а также произошло банкротство крупнейших американских корпораций Enron и WorldCom. Во всех случаях основной причиной этих банкротств был недостаток организационного контроля и прозрачности, т.е., другими словами, провал управления рисками.

В предлагаемой статье рассказывается, как разработать стратегию управления корпоративными рисками (enterprise risk management, сокр. ERM), которая будет включать все разрозненные составные части этой проблемы. В связи с ужесточающимися законодательными требованиями и все усложняющимися потенциальными угрозами для бизнеса организациям необходима всеобъемлющая картина, которую может обеспечить данный архитектурный подход.

ERM - получение всеобъемлющей картины

Риски могут быть различными. Часто их разнообразие приводит к тому, что управление процессами, связанными с одним типом рисков, оказывается изолированным от управления процессами, связанными с другими типами рисков. Нередко это приводит к нарушению правил внутренней безопасности, когда один и тот же сотрудник получает доступ к различным видам транзакций, что может спровоцировать мошенничество. Риск подобных комбинаций авторизации для того или иного сотрудника должен оцениваться на корпоративном уровне.

Получение общего представления об управлении рисками совершенно необходимо как для руководителей бизнеса, так и для специалистов по информационным технологиям. Последние должны иметь широкий взгляд на проблему, выходящий за рамки изолированных задач, для того чтобы понимать все типы рисков и их значение для потоков информации. При принятии бизнес-решений риски должны обязательно учитываться, в частности, с помощью средств Business Intelligence (BI) и Хранилищ данных.

Типы рисков и процессы

ERM работает со многими типами рисков, но следует отметить, что существует три основных типа. Рыночные риски (в том числе риск потерь, связанных с трудностями в продаже активов) включают риски, связанные с потерями, вызванными неблагоприятными изменениями рыночных факторов, таких как биржевой курс и процентные ставки. Кредитные риски - это риски, связанные с потерями, вызванными неспособностью партнеров соблюдать свои финансовые обязательства. Наконец, операционные риски включают риски, связанные с нарушениями операционных процессов и систем, в том числе проблемы безопасности и мошенничество. Также важно учитывать риски, связанные с выполнением законодательных требований, и потенциал ущерба бизнес-репутации.

Компании должны точно определять имеющиеся риски. Очевидно, что бизнесу выгодны определенные типы рисков. Инвестиционный фонд может специально использовать определенные типы рыночных рисков для увеличения доходов; сотрудники, занимающиеся расчетом зарплаты, могут увеличивать доходы за счет перевода операционных рисков. Примером нежелательного риска может быть опасность, грозящая производственным операциям. Такие риски организация должна сводить к минимуму или вообще исключать.

Процессы рисков могут быть классифицированы по-разному. Существует, например, классификационная система, предложенная американским Комитетом спонсорских организаций (Committee of Sponsoring Organizations, сокр. COSO) Комиссии Трэдуэя (Treadway Commission)¹. Этот Комитет выделяет восемь областей процессов управления рисками:

1. внутренняя среда - организационная культура, которая является основанием управления рисками;
2. постановка целей: здесь основное внимание уделяется тем целям, на которые могут негативно повлиять неблагоприятные явления;
3. идентификация опасных событий, которые могут повлиять на достижение целей организации;
4. оценка рисков: определение вероятности опасного события и его потенциального влияния на цели организации;
5. реагирование на риски: определение возможных ответных действий и оценка шансов снижения рисков;
6. контрольная деятельность, в фокусе которой находится политика и процедуры, обеспечивающие надлежащее выполнение ответных действий;
7. информация и обмен ею: обеспечение информацией заинтересованных сторон (в т.ч. менеджеров, акционеров и инспекторов);
8. мониторинг - слежение за рисками организации в ее управленческих процессах.

Приоритеты среди этих восьми областей должны выбираться на основе итерационного подхода, в зависимости от того, какая часть организационной структуры лучше всего изучена. Такой же подход должен применяться и при решении задач в той или иной из этих областей. Первые три области зависят от процессов и документов, тогда как для областей с четвертой по восьмую основное значение имеет технология.

Корпоративная архитектура

Прежде чем давать определение собственно управлению корпоративными рисками, необходимо выявить ключевые элементы корпоративной архитектуры. Многие организации пользуются так называемой архитектурной структурой, разработанной Открытой группой (The Open Group Architecture Framework, сокр. TOGAF)². TOGAF описывает все аспекты организации. Для целей корпоративной архитектуры наибольший интерес представляет архитектура информационных систем, работающая с приложениями и данными. При этом необходимо не забывать, что такая архитектура должна поддерживать бизнес-процессы.

Корпоративная архитектура TOGAF включает шесть основных компонентов:

• системы сделок и репозитории данных поддерживают основные бизнес-процессы. Эти системы детализируют информацию о сделках, необходимую для успешного осуществления бизнес-операций;
• корпоративные репозитории данных собирают информацию с крупных "срезов" корпорации, что необходимо для управления корпоративными рисками;
• в фокусе среды поддержки принятия решений находится анализ данных корпоративных репозиториев;
• средства автоматизации технологии управления эффективностью бизнеса (ВРМ) повышают эффективность деятельности организации с помощью постоянного выявления влияющих на эффективность событий и опережающего реагирования на них. ВРМ является необходимым механизмом управления корпоративными рисками, поскольку риски могут очень быстро развиваться и усиливаться, вызывая серьезные потери;
• передача корпоративных данных зависит от связующего программного обеспечения (middleware) для извлечения, преобразования и загрузки (extract, transformation and load, сокр. ETL) и компонентов сервис-ориентированной архитектуры (СОА), таких как web-сервисы. Эти средства обеспечивают доставку неагрегированной информации от операционных систем к корпоративным репозиториям данных и пользовательским приложениям;
• интерфейсы для заинтересованных корпоративных сторон обеспечивают пользователям доступ к внутренним корпоративным компонентам. Для целей управления рисками и выполнения законодательных требований важны такие участники, как распорядительные органы, менеджеры корпорации и инвесторы. Это те заинтересованные стороны, которые находятся в стороне от основных корпоративных операций. Приложения, созданные для удовлетворения их требований, подключаются к репозиториям операционных данных, а также используют среду поддержки принятия решений.

Структура управления корпоративными рисками

Следующий шаг - отображение компонентов управления рисками в структуре корпоративной архитектуры.

Системы и услуги, связанные со сделками, преобладают в большинстве корпораций. В них отражается бизнес-деятельность, поэтому они требуют частых добавлений и обновлений. Хорошим примером является торговля ценными бумагами, где применяется определенная вторичная торговая система с фиксированным доходом, которая используется не только для резервирования сделок, но и для установления цен на потенциальные сделки. Надо отметить, что последняя операция требует значительных вычислений.

Если вернуться к компонентам COSO, то услуги, связанные со сделками, обычно больше всего используются в оценке рисков и контрольной деятельности. Наиболее эффективный способ снижения риска - это оценка и ограничение потенциальных рисков, т.е. рисков, которые могут иметь место до того, как сделка достигнет корпорации. Некоторые методы оценки рисков, особенно связанные со сложными рисками, могут требовать значительных вычислений. В последние годы стала популярной методика расчета стоимости, подверженной риску (Value at Risk, сокр. VaR). Это статистическая оценка, которая указывает на максимально возможные потери при заданном уровне достоверности. Ее вычисление часто требует достаточно сложных методов, таких, например, как метод Монте-Карло.

Возвращаясь к примеру торговли ценными бумагами, можно отметить, что в этом случае сотрудники, отвечающие за управление рисками, будут вынуждены наблюдать и ограничивать как кредитные, так и рыночные риски, на которые может идти тот или иной маклер. Такая оценка должна будет производиться с огромной скоростью на основе интенсивных вычислений с целью оценки и контроля потенциальных торговых рисков.

Большое количество пользователей и объем одновременных операций, связанных с этим сценарием, предъявляют высокие требования к масштабируемости системы и простоте ее поддержки. Поэтому приобрела популярность архитектура с простыми клиентами и сервером приложений. Необходимость интенсивных вычислений, связанная с этим видом оценки и контроля рисков, - причина того, что компании, работающие в сфере финансовых услуг, используют самые передовые методы распределенных вычислений и другие парадигмы, которые обещают увеличение вычислительных мощностей при разумных расходах. Автоматизация оценки рисков также дает возможность расширения этих систем для самостоятельной работы клиентов.

Среда поддержки принятия решений поддерживает такие компоненты управления рисками, как оценка, реагирование, информация, обмен данными и мониторинг. Анализ потенциальных рисков также включает запросы к большому количеству данных, причем случайным образом. Кроме того, риски должны анализироваться как индивидуально, так и по группам (например, для изучения эффекта портфеля ценных бумаг). Хотя требования к быстродействию системы при моделировании рисков менее строгие, чем в системах сделок, эти операции также включают значительные вычисления.

Аналитики могут использовать достаточно сложные методы при работе с данными и часто оценивают характеристики доступа к данным с помощью различных источников. Это обычно диктует необходимость создания Хранилища данных с инструментами Business Intelligence и функциональными возможностями для запрограммированных пакетных отчетов, незапланированных запросов и анализа OLAP. Возможности углубления в данные и нейронные оптимизаторы на основе сетей часто увеличивают нагрузку на системы поддержки принятия решений.

Услуги для заинтересованных корпоративных сторон удовлетворяют требования совета директоров, высших менеджеров, внутренних групп аудита, распорядительных органов и инвесторов. Этим пользователям обычно требуется широкий спектр информации по управлению рисками: от тактического контроля и мониторинга отчетности до стратегической отчетности на основе инструментальных панелей. Они могут использовать эти системы нестандартными способами, например, проводить углубление в данные от суммарной информации верхнего уровня до соответствующих мельчайших деталей. Поэтому особую важность приобретают качество и "свежесть" данных.

Для того чтобы удовлетворять пользователей, системы, обслуживающие заинтересованные корпоративные стороны, должны быстро создаваться. Также необходимо, чтобы можно было легко изменять конфигурацию этих систем, в том числе силами самих пользователей без вмешательства IT-специалистов. Гибкость данных систем может быть увеличена за счет использования СОА, встроенной "поверх" складов данных для поддержки принятия решений и данных о сделках. Еще одна важная технология - операционный склад данных, который может поставлять информацию в режиме, приближенном к реальному времени, с помощью связующего программного обеспечения для передачи сообщений (message-oriented middleware, сокр. МОМ).

Например, одна из крупных американских организаций создала слой гибкой отчетной архитектуры поверх высокопроизводительного Хранилища данных. Эта архитектура была призвана обеспечить высшее руководство беспримерными возможностями доступа к данным о рисках. Так, сразу после важных событий на кредитном рынке (например, подобных банкротству компании Enron) главный менеджер по рискам мог выяснить общие риски банка, связанные с этим клиентом, буквально за несколько щелчков мышью на Интернет-странице. В большинстве банков получение аналогичной информации заняло бы несколько недель.

Средства автоматизации ВРМ становятся все более насущными, учитывая возрастающую скорость бизнес-процессов и необходимость в опережающем управлении рисками. В сфере финансовых услуг эти средства играют немаловажную роль в торговле ценными бумагами, системах динамического хеджирования, мониторинге кредитов и ограничении использования определенных условий соглашений. Например, система динамического хеджирования требует самой свежей информации о положении портфеля ценных бумаг. Эта информация может быть сопоставлена с рыночными ценами свободно обращающихся инструментов для вычисления рисков и выполнения операций с ценными бумагами. Затем система динамического хеджирования может автоматически произвести перенастройку портфеля ценных бумаг клиента. Организации используют МОМ для обеспечения систем хеджирования оперативными данными, что позволяет ускорить вычисления центрального процессора.

Репозитории данных в настоящее время можно подразделить на системы баз данных, поддерживающие сделки, и средства принятия решений. Первые из них поддерживают операционные системы; в аспекте моделирования данных их условно можно назвать "глубокими, но узкими". Например, база данных сделок может включать всю детальную информацию, необходимую для ценообразования, продажи и размещения того или иного продукта или бизнес-направления. Модели данных оптимизированы для добавления и обновления информации о бизнес-деятельности с использованием словаря бизнес-направлений.

Базы данных, обеспечивающие поддержку принятия решений (обычно в этой роли выступают Хранилища данных), можно охарактеризовать как "широкие и мелкие". Это означает, что информация, содержащаяся в них, стандартизована таким образом, чтобы можно было проводить сравнения различных бизнес-направлений. Подобные системы обычно содержат значительное количество исторических данных. Пользовательская база систем поддержки принятия решений, связанная с управлением рисками, невелика и измеряется первыми тысячами пользователей. Как правило, всплеск активности этих пользователей приходится на конец месяца или квартала. Но растущий интерес к управлению рисками предъявляет повышенные требования к производительности этих систем.

Перемещение данных между системами сделок и поддержки принятия решений обычно осуществляется путем пакетных статических множеств данных, относящихся к тому или иному бизнес-направлению. Эти статические множества данных приводятся к стандартному виду, как правило, с помощью инструментов ETL. Профессионалы, работающие с Хранилищами данных, хорошо знают, какое огромное количество непоследовательных и некачественных данных выявляется в ходе этих процессов. Но процессы преобразования являются ключевым элементом, поскольку процессы оценки, измерения и мониторинга рисков базируются на оперативной, полной и высококачественной информации.

Недостаток информации при избытке данных

Информация - это набор ясных и недвусмысленных фактов о состоянии корпорации в тот или иной момент времени. Напротив, данные - это своего рода "сырье" для получения информации. Данные формируются из фактов, собранных в корпорации, в основном с помощью систем сделок. В процессе записи в эти системы факты могут искажаться: они могут записываться неточно или быть сфальсифицированы - из-за невнимательности или по злому умыслу. Архитектура управления рисками должна быть способна предотвращать или хотя бы выявлять случаи фальсификации данных для того, чтобы обеспечивать качественную информацию.

Банки, стремящиеся к выполнению условий базельских соглашений (Basel II), обнаружили значительные пробелы в своих способах сбора необходимых данных о сделках. Но основная их проблема - преобразование этих данных в информацию, полезную для принятия решений. Непоследовательная семантика данных и их низкое качество являются основным камнем преткновения.

Поэтому организации стараются создавать структуры управления данными, которые включают технологические средства, процессы и политические подходы, относящиеся ко всем аспектам управления данными, в том числе таким, как повышение цельности и качества данных. Среди технологических подходов, способствующих решению этих проблем, можно назвать инструменты BI, средства ETL и репозитории метаданных. Структуры управления данными должны определять связи между системами сделок и поддержки принятия решений; они также должны показывать IT-специалистам, как можно выявлять и решать проблемы качества данных на уровне источников, а не с помощью процедур очистки данных.

Перспективы

Управление рисками в своем развитии уже прошло достаточно длинный путь. Одной из движущих сил этого развития стало выполнение законодательных требований. Например, организации, работающие в сфере финансовых услуг, уже пришли к выводу о необходимости управления рыночными и кредитными рисками. Операционные риски - это следующий рубеж. По мере того как организации будут все лучше узнавать факторы операционных рисков, роль архитектуры корпоративного управления рисками и связанной с ней аналитики в повседневной деятельности компаний начнет возрастать.

Еще одна область, интерес к которой растет, - интеграция рисков, т.е. классификация возможных потерь по типам рисков и изучение взаимных связей между ними. Например, если пакет активов компании страдает от снижения курса облигаций из-за понижения кредитного рейтинга эмитента, должна ли компания рассматривать это событие как рыночные потери, кредитные или и те и другие? Получение ответов на эти вопросы требует сложных аналитических средств и тесной интеграции систем управления рисками.

Наконец, управление рисками становится все более важным источником знаний для получения конкурентных преимуществ. Недавний интерес к оценке капиталов (который частично возник из-за базельских соглашений и им подобных договоров) вызвал развитие интереса и к использованию отраслевых оценок рисков для выработки принципов ценообразования на их основе. Информация о капитале, аккуратно вычисленная и размещенная в корпоративном репозитории данных, должна передаваться в системы сделок, где формируется цена на продукты. Такой "обратный поток" информации от систем поддержки принятия решений в системы сделок имеет огромное значение для разработки и внедрения систем обоих типов. Производительность, доступность и безопасность баз данных для поддержки принятия решений должна соответствовать требованиям, предъявляемым к системам оперативной обработки транзакций.

Для того чтобы добиться успеха в управлении рисками и открыть новые возможности для бизнеса с помощью информации о рисках, необходимо лучше представлять бизнес-функции корпоративного управления рисками и поддерживающей это управление архитектуры. По мере возрастания интереса к анализу рисков различия между репозиториями данных будут терять свое значение. Организации должны шире использовать принципы построения архитектуры управления рисками, что позволит им справляться не только с пока неизвестными рисками для бизнеса, но и с еще не выявленными требованиями к преобразованию информации.

¹ Комитет спонсорских организаций - организация с добровольным членством, состоящая из представителей частного бизнеса, деятельность которой направлена на повышение качества финансовой отчетности. Комитет использует для этого понятия бизнес-этики, средства внутреннего контроля и корпоративного управления. Комитет был создан для финансовой поддержки Национальной комиссии по недобросовестной финансовой отчетности (National Commission on Fraudulent Financial Reporting). Тогда комиссию возглавлял Джэймс С. Трэдуэй (James C. Treadway), по имени которого она и получила свое неофициальное название. (прим. переводчика).

² Открытая группа (http://www.opengroup.org) - это нейтральный некоммерческий консорциум, независимый от поставщиков и разработчиков технологий. Его цель - обеспечение доступа к интегрированной информации как внутри корпораций, так и между ними на основе открытых стандартов и глобального взаимодействия сетей. TOGAF - это стандартная архитектурная структура, которую могут бесплатно использовать организации, желающие создать у себя архитектуру информационных систем для внутреннего использования. (прим. переводчика).

Автор: Дайлип Кришна (R. Dilip Krishna)