Финансовый сектор не сопротивляется Basel II
Банковский бизнес сегодня невозможен без использования информационных технологий. Любой сбой в ИТ-инфраструктуре моментально приводит к реализации риска события в случившийся инцидент. Поэтому в ведущих мировых банках, где уже давно отлажены бизнес-процессы, связанные с управлением кредитными, рыночными, страновыми и прочими видами риска, на первый план вышло управление ИТ–рисками, как фундаментальной составляющей всех остальных угроз и основы нововведений, касающихся операционных рисков, в соглашении Basel II. Большинство этих ИТ–рисков в современном бизнесе связаны с конфиденциальностью, доступностью и целостью данных — основными компонентами информационной безопасности. Угрозы стабильности банковскому бизнесу весьма специфичны и многочисленны. Для четкого понимания, что и каким образом приводить в соответствие с требованиями законодательства и стандартов необходимо представлять полную картину спектра рисков кредитной организации. Карта рисков коммерческого банка
Очевидно, что банкам, начав работу над управлением каким либо риском, в том числе ИТ, придется управлять и всеми остальными рисками. Как комментирует Елена Розанова, руководитель практики риск–менеджмента российской группы компаний Energy Consulting, «это связано с эффектом трансформации одного риска в другой. Например, сбой компьютерных систем (операционный риск) приводит к простою дилингового центра и убыткам на бирже (рыночный риск). Далее идут юридические разбирательства с клиентами (риск бизнес события) и т.д.» «Кроме того, соглашение Basel II выделяет репутационные угрозы в отдельный вид рисков. Здесь как нельзя лучше проявляется взаимосвязь различных рисков, так как ущерб имиджу компании наносит реализация, например, операционного риска. В этой связи наиболее тяжелые последствия провоцирует утечка конфиденциальной информации или персональных данных клиентов. Отмыть репутацию после такого инцидента очень сложно», — добавляет Алексей Доля, руководитель аналитического центра InfoWatch. Эксперты связывают появление второй редакции соглашения Basel II (The International Convergence of Capital Measurement and Capital Standards: a Revised Framework) в том числе и с попыткой систематизации и выработкой методов управления столь сложной системой рисков. Basel II — это документ, опубликованный Базельским комитетом по банковскому надзору, содержащий критерии регулирования банковской деятельности. Методология измерения и определения достаточности капитала, изложенная в Basel II, основана на теории и практике построения и функционирования системы управления рисками банковской деятельности. Его положения уже применяются в Евросоюзе, США и ряде стран Азии. В России соглашение вступит в силу в 2009 году. Одна из основных идей документа — стимулирование банков управлять рисками и уменьшать их величину. Награда за это — уменьшение сумм резервов на покрытие этих рисков. Вторая редакция Basel в отличие от первой требует учитывать при резервировании капитала не только рыночные и кредитные, но и операционные риски. Если посмотреть на карту банковских рисков, станет очевидно, что управление операционными рисками представляет для банков наибольшую сложность. Перед данным обзором не ставиться задача углубления в юридические тонкости этого документа, тем более что CNews не раз освещало эти вопросы. Целью данного исследования является практическое преломление требований соглашения к изменению и созданию новых бизнес — процессов в банках и ИТ, как одному из способов их реализации на практике. Информационные технологии и управление рисками Требования к ИТ-инфраструктуре никак не прописаны в соглашении Basel II напрямую, однако, очевидно, что реализация положений Basel II в полной мере не возможна без существенной модернизации информационной системы банка. Исследование компании Accenture показывает, что банк с активами в 200 млрд долларов при использовании соответствующей по функциональности ИТ-системы по управлению рисками может достичь экономии в 265 млн долларов (в том числе за счет сокращения издержек на поддержание многочисленных баз данных и совместного использования аналитических средств). Но это в идеальном случае. Однако высокая стоимость подобного решения приводит к тому, что среди 97 американских банков, опрошенных аналитическим агентством Gartner, около половины не интегрируют системы управления операционными рисками и инструменты оценки эффективности бизнеса. Только одна треть совместно учитывает риски и взаимоотношения с клиентами. И всего 6% координируют свои действия в области ИТ с регулирующими документами. Какую же ИТ систему можно назвать идеальной для поддержки Basel II? По мнению специалистов немецкой компании SAP AG она должна отвечать четырем требованиям. Во-первых, быть стандартной платформой, поддерживающей централизованный процесс управления бизнесом и обеспечивающей законодательно необходимую степень детализации и связность информации. Во-вторых, быть построенной на основе процессной идеологии в масштабах всей территориально распределенной организации, и охватывать все бизнес — направления и продукты банка. В-третьих, быть открытой и иметь модульную структуру, поддерживающую приложения иных разработчиков. Это должно способствовать адаптации к специфическим потребностям того или иного банка. В-четвертых, быть способной к поддержке требований национальных регулирующих органов. При этом должны быть достигнуты определенные цели. Всесторонний контроль и управляемость данными — за счет применения централизованного репозитория, способного к модификации хранимых данных в случае изменения модели учета рисков при адаптации ее к национальным стандартам и стратегиям риск-менеджмента в конкретной фирме. Вследствие покрытия системой сразу трех видов рисков — кредитного, рыночного и операционного — решение должно обеспечить достаточную открытость для использования как встроенных, так и иных методов обработки рисков по выбору банка. При этом должно сохраниться контроль над версиями продуктов, способность к аудиту, открытость методик расчета компонентов и доступность к первичным документам. Большинство банков хранят данные в большом количестве баз — как внутренних, так и внешних. В результате иногда бывает невозможно быстро консолидировать данные из всех этих источников. Поэтому система должна иметь центральную платформу, которая может хранить и агрегировать разнообразные данные. И наконец, необходима возможность создания гибких отчетов для обеспечения требований национальных стандартов. В результате всего этого должно быть обеспечено формирование единого информационного пула данных, возможность анализа всех информационных потоков, настройка «сквозных» бизнес-процессов в банках, а также контроль и реакция на изменения в реальном времени. Только при таком сочетании технологий, по мнению SAP AG, будет достижима сущность концепции Basel II: «Управление рисками — это элемент каждого продукта, процесса и взаимоотношения». Типичная архитектура ИТ-инфраструктуры для управления рисками в банках Программные продукты для Basel II должны включают в себя функциональность, которая обеспечивает извлечение, управление, моделирование и хранение данных. Кроме того, в них используются компоненты расчета операционных, кредитных и рыночных рисков для раскрытия финансовой информации, оценки капитала и стресс — тестирования. Механизмы расчета кредитных и рыночных рисков должны включать, как минимум, следующие компоненты: расчет капитала, отчетность по достаточности капитала, расчет PD/LGD, оценку экономического капитала, рисковую окупаемость капитала (risk-adjusted return on capital — RAROC), управление залогами, стрессовое тестирование и сценарный анализ. Механизм расчета операционных рисков должен включать организационную рисковую инфраструктуру, отображение бизнес-процессов, запись (фиксацию) потерь, связанных с операционными рисками, аудит и сертификацию, отчетность, ключевые рисковые индикаторы (key risk indicator — KRI), сценарный анализ, расчеты капитала. Кроме того, все элементы должны иметь стандартные интерфейсы и легко интегрироваться как между собой, так и иными элементами банковской ИТ инфраструктуры. Этапы интеграции решений по управлению рисками при помощи специализированной платформы
Кто из производителей программного обеспечения способен представить подобное решение? И какие банки способны на покупку их продуктов и последующее сопровождение? Банки пытаются решить для себя очень сложную проблему. Из-за высокой стоимости самих решений, а так же связанных с ними ИТ сервисов довольно часто приходится выбирать между элементами аутсорсинга и собственными ресурсами. Компания Celent, специализирующаяся на аналитических исследованиях в области риск — менеджмента, разработала методику оценки позиционирования вендоров на основе четырех категорий — технологичность продукта, функциональный охват, количество клиентов и широта клиентских сервисов — ABCD Celent. Ориентированность производителей ПО для Basel II на различные группы банков*
Celent выделают четыре сегмента вендоров ПО Basel II. Первый — минимум функционала и технологических особенностей. Второй — высокий уровень риск-аналитики и ограниченность финансовой функциональности. Третий — наличие инструментов финансового менеджмента и инструментов составления отчетов для риск-менеджеров при минимуме технологический особенностей. Четвертый — максимум функционала и технологических особенностей. Позиционирование вендоров ПО Basel II
Примечания: — радиус — пропорционален клиентской базе (чем больше клиентов — тем больше круг) Первый вывод — практически никому не нужны продукты с ограниченным набором современных технологий. Очевидно, что риск технологического отставания от конкурирующих банков становится критичным фактором. Второй вывод — без сервисного сопровождения работать на этом рынке невозможно. Более того, качество сервисов и количество клиентов можно объединить в единую категорию. Третий вывод — на сегодняшний день максимальным спросом (по количеству инсталляций) пользуются решения вендоров из нижних квадратов. Это связано с тем, что количество средних и небольших (по мировым меркам) банков выше, чем крупнейших кредитных учреждений. В результате в клиентском списке SAS, Algorithmics и Fermat (которые, в основном, и формируют правый нижний квадрат) достаточно много средних банков. А они не готовы к инвестициям в продукты с максимальной функциональностью (в отличие, например, от клиентов SAP). Вероятно, эта тенденция сохраниться и далее. Согласно другому исследованию, на этот раз проведенному Gartner в конце 2006 года, в мире насчитывалось 37 вендоров, производящих программные продукты, хотя бы частично реализующие функциональность Basel II. При этом учитывались только те компании, которые получили выручку по этому направлению более 5 миллионов долларов от минимум 5 клиентов за продукты, адаптированные последнему релизу Соглашения. Список вендоров, вошедших в магический квадрат Gartner, и их программные продукты (в алфавитном порядке).
«Магический квадрат» отражает мнение компании Gartner и является аналитической репрезентацией состояния рынка ПО для Basel II к концу 2006 года. Здесь сравниваются компании по набору критериев, разработанных Gartner для конкретного рынка. В него попали вендоры, в решениях которых имеются калькулятор рыночных, кредитных и кредитных рисков, а так же выполнены специфические для Basel II требования по управлению данными. По вертикали оценивается способность производителей реализовать тот или иной продукт в коммерческом виде. По горизонтали — «полнота видения проблемы», т.е. Магический квадрат Gartner — ПО для Basel II , 2006
В целом картина получается достаточно похожей с представленной аналитиками Celent. Небольшие банки предпочитают нишевые продукты с неполным функционалом, ввиду общей дороговизны. Лидеры покупают полнофункциональные решения у тех компаний, которые способные их создать и сопровождать. Количество клиентов у ведущих производителей ПО для Basel II в региональном разрезе
Количество клиентов у ведущих производителей ПО для Basel II с учетом градации банков по размеру капитала
Суммарный капитал банков — клиентов ведущих производителей ПО для Basel II
Опыт внедрения информационных систем для управления рисками в банках Banca Nazionale del Lavoro – ведущая банковская группа Италии (670 филиалов; 22300 служащих; 3 миллиона клиентов, входит в сотню наиболее успешных банков мира) с целью соблюдения требований нормативных документов по управлению рисками (Basel II) приняла решение о приобретении решения SAS Risk Management. Целью проекта было разработка надежного механизма, способного оценивать вероятность неплатежеспособности клиента, особенно в корпоративном сегменте, и использовать полученные результаты в качестве основы для разработки более совершенных моделей управления рисками. В конечном счете, банк хотел научиться самостоятельно проводить стресс — тесты моделей и гипотез с целью расчета «рисковой стоимости» для всего банка по элементам рисков. Джованни Парилло (Giovanni Parrillo), руководитель по кредитной политике банка так оценил результаты проекта: «Мы добились точности 80% при прогнозировании недействующих и нестандартных кредитов. Это позволило нам добиться поставленной перед нашими филиалами цели — сокращение займов клиентам с более высоким уровнем риска, достижение которой сократит недействующие и нестандартные займы на 10%. Мы сократили оборотное время при принятии решений по закладным. Автоматическая и более эффективная оценка означает, что мы можем обрабатывать увеличивающиеся объемы сделок и оптимизировать контроль займов. Мы расширяем наши сведения об отдельных клиентах, выявляя новые возможности продажи продуктов более высокого уровня или сопутствующих продуктов». Dresdner Bank — одна из крупнейших банковских групп в Европе (1100 филиалов и 50 тыс. служащих) — под воздействием усиливающихся кредитных рисков, присоединением к Соглашению Basel II и ростом требований к раскрытию информации со стороны Немецких финансовых регуляторов решился на коренную модернизацию системы управления рисками. Замене подверглось хранилище данных. Вместо старого было внедрено решение IBM «Data Warehouse». В качестве аналитического приложения использован один из продуктов BusinessObjects семейства BI. По словам Хайнца Шоттлера (Heintz Schottler), директора департамента ИТ банка, был предложен продукт с максимальной масштабируемостью, что было принципиально важно для тиражирования ПО по филиалам и видам рисков. В результате сейчас банк постоянно осуществляет мониторинг 50 факторов риска и рассчитывает совокупную величину рисков (CRI). The Bank of New York также начал свой путь к соответствию Basel II с построения хранилища данных, которое было соединено с 42 контролируемыми источниками рисков. В дальнейшем встала задача консолидации с помощью единой шины решений по расчету и управлению рисками как уже имеющихся в банке, так планирующихся к установке. В качестве этой платформы было выбрано решение Algorithmics — Algo Credit Administrator (ASA). Однако в ее составе отсутствовали некоторые модули, например учета рейтингов и учета потерь (одной из самых сложных задач для этого банка). В ходе проекта Algorithmics создал мощную модель по учету этих данных и карту технологических процессов для программной реализации этой модели. В дополнение была поставлена задача интегрировать эту модель с ASA, с тем чтобы клиенты банка могли участвовать в работе кредитного комитета банка (Credit Administration Suit for Basel II). В результате было построено web — решение, названное «Информационная система по учету кредитных рейтингов» (Credit Ratings Information System — CRIS). Nordea Group — еще одна крупная европейская финансовая группа (11 тыс. клиентов и 1198 офисов) приступила к подготовке со встречей с требованиями Basel Capital Accord. Для идентификации и управления рисками было выбрано решение компании SAP. Особенностью данного проекта стало то, что этот банк является одним из мировых лидеров по использованию интернет–банкинга (более 4 млн клиентов). Это потребовало разработки специализированных методик расчета рисков, генерируемых подобной массой удаленных пользователей. Однако, решение именно этой непростой задачи позволило банку значительно укрепить свой имидж и усилить конкурентные преимущества. Таким образом, в качестве промежуточного итога и прогноза развития ситуации на будущее на этом рынке, необходимо отметить следующий факт — чтобы добиться соответствия нормативам Базель II, требуется программное обеспечение, способное по максимуму использовать возможности индивидуальной компании по сбору информации, оценки и отчетности по конкретным рискам в организации. Кроме того, требуется решить вопрос с интеграцией этой системы с решениями по управлению эффективностью бизнеса в целом. Однако ряд ведущих мировых финансовых институтов рассматривают вопрос несколько шире. Вследствие эффекта трансформации рисков в стратегической перспективе необходимо будет использовать несколько более широкий подход, нежели заложенный в Basel II. Речь идет инструменте управления всеми корпоративными рисками — ERM (Enterprise Risk Management). Вадим Ференец / CNews Analytics |
Внутренние задачи банков по управлению рисками все более и более интегрируется с внешними требованиями как международных стандартов (Basel II), так и локальных законодательных актов. Однако крайне дорогостоящие мероприятия по соответствию этим требованиям не встречают у банковского сообщества серьезного сопротивления — выгоды от этого гораздо выше возможных потерь.
