Консалтинг и автоматизация в области управления
эффективностью банковского бизнеса

Журнал ВРМ World

Текущая ситуация на рынке средств управления операционными рисками

Базель II и другие нормативные требования выдвинули задачи управления операционными рисками (ORM — operational risk management) на передний план. Однако сегодня стало очевидно, что главная задача ORM — не только предотвращение событий, несущих некоторые риски, но в первую очередь повышение эффективности и максимизация прибыли. Следовательно, пришло время выхода за рамки обычных задач корпоративного управления, сокращения рисков и выполнения нормативных требований (GRC — governance, risk and compliance). Конечно, упор на контроль и администрирование необходим, однако решения о том, как управлять бизнесом, не должны быть связаны исключительно с регулятивными нормами. Операционные риски стоит рассматривать как неотъемлемую часть всей GRC-стратегии, расширяющую и дополняющую традиционные функции.

Управление рисками является компонентом BPM технологии, которая охватывает методологии, показатели, процессы и системы, используемые для мониторинга и управления эффективностью компании. События риска (risk events) должны моделироваться в рамках BPM, необходимо устанавливать приоритеты ORM, выбирать показатели и контекст для управленческих решений, регулятивной отчетности и оценки влияния рисков на эффективность. Не менее важна интеграция оценки рисков в мероприятия бизнес-планирования. Для большинства финансовых компаний назрел целостный подход, который рассматривает операционные риски и их взаимосвязь с рыночными и кредитными рисками.

В результате, ставится непростая задача перед IT-отделами, склонными воспринимать ORM как простую минимизацию или устранение IT-рисков. Проблема состоит в выборе подходящего ПО и технологических процессов, которые позволят выявить рисковые события, проанализировать и извлечь из них выгоду, провести оценку и сформировать отчетность по рискам.

Проблемы и тенденции

Рынок автоматизации ORM пока еще не зрелый, но стремительно развивается. Многие поставщики утверждают, что их программное обеспечение решает задачи управления операционными рисками. Однако на деле выполняется лишь часть элементов обязательного портфеля.

Чаще всего ORM-средства приравниваются к GRC пакетам, которые главным образом нацелены на количественную оценку рисков, аудит, контроль процессов и регулятивную отчетность. Специализированные приложения для управления IT-функциями, такими как: безопасность, конфиденциальность информации, бесперебойность деятельности, — иногда тоже именуются управлением операционными рисками.

В финансовых учреждениях функциональные спецификации и подходы к управлению рисками также продолжают развиваться. Существуют различия между количественными и качественными методами.

Даже в самых крупных финансовых компаниях попытки создать целостное представление о подверженности операционным рискам всего предприятия еще не до конца реализованы, хотя основная масса стремится к реализации передового подхода оценки операционных рисков (Advanced Measurement Approach — AMA[1], Базель II). Многие фирмы используют предписанный соглашением Базель II стандартизованный подход[2].

Согласно опросу, проведенному компанией Chartis Research среди финансовых компаний:

  • 42% респондентов ожидают сокращения убытков от операционных рисков в результате расширения ORM-систем;
  • 68% предполагают расширить свои бюджеты управления рисками в ближайшие 12 месяцев. Ключевые области вложений — отчетность и обучение персонала;
  • 52% стремится к реализации подхода Advanced Measurement Approach (AMA) для реализации принципов Базель II к 2011 году;
  • если говорить о данных, используемых в ORM-системах, то чаще всего применяются:
    • данные о потерях (83%),
    • данные оценки рисков/показателей контроля 72%;
    • данные сценарного анализа (52%);
    • данные о внешних потерях (46%);
    • данные о ключевых рисковых факторах (32%);
  • в развивающихся странах 71% респондентов стремятся к реализации стандартизованного подхода в ближайшие 2 года, и передового подхода — к 2010-2011 гг.

Качественный подход превалирует в большинстве региональных и национальных организаций, а также в небольших финансовых учреждениях, у которых нет сложной структуры администрирования или достаточно развитых методологий управления рисками. Эти компании еще не осознали ценности развивающихся ORM-методик, позволяющих перейти от условной оценки рисков и выполнения нормативных требований к подходу, основанному на эффективности.

Расширение/Консолидация

Поставщики, отталкивающиеся от стандартных GRC-пакетов, с трудом расширяют свою функциональность, и не добиваются реализации AMA, так как им не хватает знаний и опыта в области сложных расчетов капитала.

Приобретая пакеты, основанные на качественном подходе, компании в будущем столкнутся с проблемой замены нынешних решений на новые, основанные на количественном подходе. Весьма вероятно, что задача реализации ORM для повышения эффективности станет остро, или регулятивные органы потребуют реализации AMA. Все это приведет к дальнейшей консолидации поставщиков и заставит их расширять свою функциональность, чтобы выжить на рынке.

Бизнес проблемы

Большие сложности по-прежнему несет поддержка качества и целостности данных. Не менее трудным является выполнение требований к достаточности капитала для международных компаний, представляющих широкий спектр услуг. Не хватает согласованной информации о событиях, связанных с операционными рисками в конкретной области и на межотраслевом уровне.

Отсутствие определений и консенсуса касательно моделей рисков/данных и методологий, а также трудности в поиски точных экономических показателей, описывающих операционные риски — это проблема, как для поставщиков, так и для руководителей риск-менеджмента, директоров по информатизации, а также банковских надзорных органов. Разработка моделей критически важна для всей рисковой и IT архитектурной стратегии (в плане сбора данных, контроля качества, нормализации и отображения, скорости потока, а также оценки рисков).

Финансовые учреждения требуют гибкой архитектуры, которая соответствовала бы развивающимся отраслевым требованиям. Поэтому необходимо внутри компании иметь хороших специалистов по управлению рисками, а если их нет, то обращаться к внешней помощи консультантов.

Эту проблему надо рассматривать не как дополнительную статью расходов, но как одно из средств к достижению цели — более эффективного размещения капитала, а значит и роста прибыли. От руководства, при этом, требуется не малая заинтересованность.

Все это усугубляется конкуренцией между бизнес-подразделениями, использующими разные методы и продукты разных поставщиков для решений одних и тех же задач.

Технологические проблемы

Недостаток общекорпоративного подхода и плана риск-менеджмента, а также видение операционных рисков как последовательности не взаимосвязанных задач или проектов — вот основная причина несогласованности в расчете рисков. Необходима законченная стратегия.

Некоторые поставщики, владеющие пакетом с ограниченными возможностями, поддерживают и даже стимулируют тактику фрагментарного внедрения управления рисками, обещая в дальнейшем обеспечить общекорпоративное решение. Однако специалисты Gartner утверждают, что предпочтителен централизованный проект. Можно поддерживать специализированную риск-менеджмент функциональность для различных подразделений и расширять ее, но в контексте широкой корпоративной инфраструктуры ORM.

Выводы

В условиях незрелого рынка не стоит использовать продукт, не признанный на рынке и не продемонстрировавший успешных внедрений. Эксперты не рекомендуют узкоспециализированных, разработанных на заказ проектов, которые могут не влиться в общую IT-архитектуру заказчика. Финансовым компаниям стоит четко ориентироваться на долгосрочные ORM-проекты.

Требования к поставщикам

Как уже говорилось, многие программные продукты первого поколения продемонстрировали свою несостоятельность в отношении требования Базель II и других законодательных актов.

Поэтому сегодня ряд поставщиков стремится предложить новую функциональность в области ORM, дабы обеспечить нарастающий спрос, способствуя повышению прибыльности бизнеса клиентов. Более 39 поставщиков заявляют о наличии готовых и полных продуктов.

На рынке наблюдается жесткая конкуренция и активное развитие функциональности. Однако сегодня рынок сильно фрагментирован. Некоторые разработчики позиционируют свои продукты, как средства управления рисками для крупных финансовых организаций. Другие «узкоспециализированные», доминируют на одном-двух локальных рынках, но не выходят на глобальный уровень. В результате выбор нужного поставщика является непростой задачей и существенно зависит от географии, методологии, опыта и сложности задач компании-клиента.

Аналитическая компания Chartis Research прогнозирует увеличение прибыли на рынке управления рисками до 1.55 млрд. долларов к 2011 году. Этот рост обусловлен:

  • заменой старых систем управления рисками, а также постоянным развитием ORM-технологии;
  • развитием управления рисками на ближнем востоке, в азиатско-тихоокеанском регионе и в Южной Америке, а также ростом некоторых вертикальных рынков (страхования, управления активами и пассивами), и как следствие — первичным внедрением проектов ORM;
  • явными преимуществами управления рисками для достижения стратегических целей.
  • Для выполнения регулятивных норм по оценке рискового капитала, а также для повышения эффективности компании, ORM инструменты должны включать:
  • стресс-тестирование рисковых моделей;
  • интеграцию с внешних базами данных о потерях;
  • многоформатные функции управления данными;
  • механизмы расчета капитала;
  • управление рисковыми правилами и показателями (risk policy and controls);
  • механизмы правил, описывающих бизнес-процессы, с инструментами моделирования;
  • аудит и сертификацию;
  • возможности оценки рисков в корпоративных масштабах, а также по отдельным подразделениям и направлениям бизнеса.

Интегрированная архитектура

Уже сегодня ряд поставщиков реализует управление операционными рисками на базе интегрированной архитектуры, в центре которой Хранилище данных для рисков и нормативных требований (risk and compliance data warehouse).

Компания Chartis Research предлагает один из вариантов этой архитектуры (см. рис. 1).


Рис. 1. Интегрированная архитектура управления операционными рисками

Заключение

Сегодня мы наблюдаем очередную волну инвестиций в системы управления операционными рисками. Финансовые организации пересматривают свой подход в связи с убытками, понесенными в результате кредитного кризиса, и неэффективностью имеющегося ПО. Некоторым финансовым фирмам удалось найти поставщиков, предлагающих гибкие интегрированные архитектуры ORM, обеспечивающие выполнение нормативных требований и повышение прибыльности бизнеса.

Публикации:

  1. Магический квадрант программного обеспечения для управления операционными рисками в финансовой отрасли (Magic Quadrant for Operational Risk Management Software for Financial Services), 6 июня 2008, Дуглас МакКиббен (Douglas McKibben), Дэвид Фюрлонгер (David Furlonger), http://mediaproducts.gartner.com/reprints/sas/vol5/article2/article2.html;
  2. Системы управления операционными рисками 2008.Ситуация на фрагментированном рынке (Operational Risk Management Systems 2008. Navigating through a fragmented market), март 2008, http://www.chartis-research.com/assets/RR08011.pdf.


[1] В Базельском соглашении выделяются три метода расчета капитала для покрытия операционных рисков:

  • подход базовых показателей (Basic Indicator Approach) - основан на ежегодном доходе финансового учреждения;
  • стандартизованный подход (Standardised Approach) - основан на ежегодном доходе каждого из бизнес-направлений финансового учреждения;
  • усовершенствованный (передовой) подход к измерениям (Advanced Measurement Approaches) — основан на внутренней инфраструктуре оценки рисков банка в соответствии с предписанными стандартами.

[2] cм. выше