Международные стандарты управления рисками: не Базелем единым

Сначала мы строим фундамент, а уж затем возводим дом. Так и внедрение международных стандартов и универсальных правил работы — это первое, что необходимо сделать для нормальной работы рынка …

Роб Кертис

Прежде чем вводить нормативные требования к небанковским участникам российского финансового рынка, следует изучить международный опыт. В данной статье проведен исторический экскурс стандартизации управления рисками в мире и дан краткий обзор основных международных стандартов риск-менеджмента. Также вскрыты проблемы, связанные со сложностью адаптации международных стандартов к российским реалиям.

РИСК, РИСК-МЕНЕДЖМЕНТ: НЕМНОГО ИСТОРИИ

Неприятие риска может очень широко варьироваться у различных людей.

Асват Дамодаран2.

Стратегический риск-менеджмент.

Принципы и методики

Этимология термина «риск» связана с мореплаванием. Слово «риск» означало утес, риф, напоровшись на который, суда терпели крушение3. И первоначально выражение «рисковать» означало «лавировать между скалами».

Любопытно, что вторая версия происхождения слова «рисковать» связана с игрой в кости4. Не исключено, что терминология правил игры в кости заимствована из сленга моряков эпохи Раннего Возрождения, больших почитателей азартных игр.

Попытки оценить шансы в игре в кости можно рассматривать как первые описания рисков. Однако первый практический механизм управления рисками связан со страхованием судоходных экспедиций и торговых судов от кораблекрушения и других негативных непредвиденных событий.

Два всемирно известных астронома — Галилео Галилей и Эдмонд Галлей непосредственно приложили свои знания к теории риска. Так, Великий герцог Тосканский просил Галилео составить практическое руководство по игре в кости.

Идя на поводу у своего «политического шефа», Галилео написал эссе «Об игре в кости», в котором дал детальный анализ исходов, получаемых при бросании одной и нескольких костей, а также сделал выводы о частоте различных

комбинаций и указал типы исходов. По сути, это была первая научная монография по игре в кости с описанием рисков. Собственно говоря, теория риска и риск-менеджмента берет свое начало из этой работы великого итальянского астронома.

Еще более революционный прорыв в теории риска и риск-менеджмента совершил Э. Галлей. На его долю выпало изучение и анализ демографических данных города Бреслау за 1687—1691 гг. Галлей составил демографические таблицы, на основе которых произвел для того времени уникальные расчеты, касающиеся продолжительности жизни, уровня смертности в зависимости от тех или иных профессий, прогноз данных о налогоплательщиках, количестве иждивенцев, людей, которые будут годны для несения военной службы, и многие другие расчеты. Анализ Галлея наполнил теорию вероятности конкретным содержанием и в конечном счете подключил его к управлению риском.

Однако после опубликования таблиц и выводов Галлея в 1693 г. правительству Великобритании и страховым компаниям потребовалось почти 100 лет для осознания важности этих результатов по вопросу страхования жизни и по вопросу процентной ренты [1].

«К 1725 г. математики уже соревновались друг с другом в составлении таб­лиц ожидаемой продолжительности жизни, а британское правительство для пополнения бюджета продавало права на пожизненную ренту. К середине XVIII в. в Лондоне уже вовсю велись операции по страхованию мореплавания»[2].

Профессор Чикагского университета Фрэнк Найт в 20-х гг. ХХ столетия, за несколько лет до Великой экономической депрессии, хорошо сформулировал проблему современной экономики: «В экономике проблема неопределенности неизбежна, потому что сам экономический процесс нацелен в будущее». Эта фраза предопределила будущее мировой экономики на пару десятилетий. До этого ни один из великих математиков и философов прошлого публично не подвергал сомнению методологию, которая гласила: если четко зафиксировать факты и проанализировать их с помощью законов, станет понятно будущее.

Питер Бернстайн [2] описал ранее существовавшую точку зрения: «До этого момента представители классической экономической науки рассматривали экономику как свободную от риска систему, автоматически ведущую к оптимальным результатам. Они уверяли, что ее стабильность гарантирована. Если люди решали, что лучше копить, а не вкладывать деньги, процентные ставки падали, ободряя инвесторов и разочаровывая вкладчиков, после чего равновесие восстанавливалось. Если руководители предприятий принимали решение о быстром расширении производства, а домашние хозяйства не имели достаточных сбережений, чтобы дать кредиты на этот рост, процентные ставки начинали расти, и равновесие восстанавливалось. В такой экономике, за исключением, пожалуй, кратковременных периодов приспособления, не могло быть длительной недобровольной безработицы или недостаточных прибылей. Отдельным инвесторам и фирмам приходилось, конечно, рисковать, но экономика в целом была свободна от риска».

Первое упоминание профессии управления рисками было зафиксировано в корпоративном секторе США в 1916 г., что обусловлено включением в число функций менеджера обеспечение безопасности. По сути, изначально управление рисками в компаниях было связано с оценкой и минимизацией потерь при травматизме на производстве. До этого момента все управление рисками сводилось к страхованию от ряда неблагоприятных случаев. Переход от страхования к более детальному управлению рисками ознаменовал становление профессии риск-менеджмента — на это ушло 70 лет. К началу 90-х гг. XX в. в обязанности управляющего рисками вменялось создание превентивных мероприятий в организации, направленных на избегание ряда неприемлемых последствий и снижение затрат при страховании от несчастных случаев, стихийных бедствий и иных неблагоприятных для корпорации последствий.

Финансовый риск-менеджмент как самостоятельная область деятельности имеет сравнительно недолгую историю — около 40 лет. Становление этой дисциплины относится к 1973 г. и связано с тремя значительными событиями:

- окончанием политики фиксированных валютных курсов (крах Бреттон-Вудской системы);

- началом работы Чикагской биржи опционов (Chicago Board Options Exchange);

- публикацией американскими экономистами Блэком, Шоулзом и Мертоном модели оценки стоимости (европейских) опционов.

Финансовый риск-менеджмент прошел три стадии развития, в процессе которого были сформированы новые методы и подходы к оценке основных видов финансового риска (рыночный риск, кредитный риск, риск ликвидности, риск стоимости деривативов и др.).

Первый качественный этап в области методологии оценки, контроля и управления финансовым риском отмечен появлением в конце 80-х—начале 90-х гг. XX в. модели стоимостной меры риска VaR (Value-at-risk, «стоимость под риском»). VaR означает абсолютный максимальный размер потерь при владении финансовым инструментом. Показатель VaR сперва завоевал признание крупных финансовых институтов и лишь затем получил одобрение регуляторов финансового рынка. Последнее стало возможно в результате раскрытия методологии банком J.P. Morgan своей системы управления риском в рамках системы RiskMetrics в 1994 г. Таким образом, первый качественный скачок в области финансового риск-менедж­мента был связан с оценкой, контролем и управлением рыночным риском (риском негативной переоценки финансового инструмента).

Второй этап развития финансового риск-менеджмента связан с оценкой и контролем за кредитным риском и пришелся на вторую половину 90-х гг. ХХ в. Первопроходцем здесь снова выступил банк J.P. Morgan, который обобщил свои методы оценки и контроля за рыночным риском к оценке кредитного риска ссудного портфеля (по аналогии с методом VaR для рыночного риска). Разработанная J.P. Morgan система CreditMetrics была опубликована в 1997 г. Благодаря этим двум разработкам J.P. Morgan у рисковиков появилась возможность рассчитывать интегральный показатель ожидаемых потерь вследствие рыночного и кредитного рисков. Это впервые позволило говорить об интегрированном риск-менедж­менте (применительно к финансовым рискам).

Третий этап в сфере финансового риск-менеджмента начался в конце 1990-х гг., и с каждым годом процесс набирает обороты. В отличие от первых двух этапов, третий этап уже не связан с классическими финансовыми рисками, а имеет непосредственное отношение к операционному риску. В настоящее время участники финансового рынка пытаются разработать общий подход к количественной оценке операционного риска в виде «операционного VaR».

Считается, что численный контроль над операционными рисками вместе с контролем над финансовыми рисками позволит получить полную оценку принимаемых рисков профессионального участника рынка ценных бумаг.

За последние 40 лет можно выделить четыре основных направления оценки финансовых рисков:

• анализ чувствительности — сценарный метод исследования реакции на изменения внешних факторов;

• анализ волатильности — изучение меры колебаний целевого показателя относительно ожидаемого значения;

• анализ негативного риска (downside risk). Оценка VaR используется в дополнение к другим методам анализа риска. В частности, известны такие методы, как LVaR и SaR. Подход LVaR доопределяет классический метод VaR статистикой по гепам (разрывам графика цен) и называется «ликвидный VaR». Методика SaR — использует среднюю величину убытка (Shortfall-at-Risk) и применяется для анализа ожидаемого размера убытка в отличие от оценки граничной величины капитала (VaR);

• относительный анализ риска —рассматривает риск через сопоставление с бенчмарком (по выбранному индексу) [3, 4].

РИСК-МЕНЕДЖМЕНТ: МЕЖДУНАРОДНЫЕ СТАНДАРТЫ

Не важно, какого кот цвета — черный он или белый. Хороший кот такой, который ловит мышей.

Дэн Сяопин

Еще в начале 90-х гг. XX в. риск-менедж­мент рассматривался как фрагментарный, узкоспециализированный подход по управлению рисками. Наибольших успехов по управлению рисками к тому времени добились крупнейшие фирмы финансового сектора:

• страховые компании и перестраховочные общества, которые были вынуждены проводить оценку и экспертизу различных рисков, обеспечивая страхование частных корпораций и государственных образований от всевозможных негативных последствий;

• банковский сектор в связи с появлением сложных финансовых инструментов и сильной автоматизацией бизнеса.

За последние 25 лет произошел революционный переворот в области управления рисками: риск-менеджмент перестал быть исключительной заботой финансовых корпораций и стал активно применяться в других секторах экономики. Новая парадигма управления рисками предполагает переход от фрагментарного подхода с узкой направленностью на конкретные операции и виды деятельности компании к комплексному управлению рисками компаний, холдингами и целыми отраслями экономики (рис. 1). Государственные институты стран ЕС также активно стали применять передовые практики риск-менеджмента для решения экологических, технологических, социальных и иных задач.

Риск-менеджмент стал важной и неотъемлемой составляющей менеджмента, показатели риска стали фактором, влияющим на уровень вознаграждения и премирования, начиная от топ-менеджеров и кончая руководителями низших звеньев, а также одним из ключевых индикаторов KPI5.

С начала 90-х гг. XX в. мировая практика демонстрирует активное развитие процессов стандартизации в области риск-менеджмента (рис. 2). Распространение стандартов происходило как на страновом, так и на международном уровнях, а также на отраслевом уровне (банки и страховые компании) (табл. 1, 2, 3). Подтверждением тому являются национальные стандарты6 управления рисками, принятые в государствах с англосаксонским правом (Австралии,

Новой Зеландии, Японии, Великобритании, ЮАР, Канаде), а также стандарт, разработанный Комитетом спонсорских организаций комиссии Тредвея (COSO, США) [5], стандарт Федерации европейских ассоциаций риск-менеджеров (FERMA) [6] и стандарт по управлению рисками ISO 31000:2009 [7]. Одновременно с этим появились многочисленные требования регуляторов к построению и совершенствованию процесса управления рисками компаний, связанных с отраслевой спецификой. Среди отраслевых стандартов управления рисками наибольшую известность получили стандарты, затрагивающие деятельность страховых компаний, перестраховочных обществ (Solvency, Solvency II) и банков (Basel, Basel II, Basel III).

Стандартами в области риск-менедж­мента предусматривается унификация:

• используемой терминологии в данной области;

• составляющих процесса управления рисками;

• подходов к построению организационной структуры риск-менеджмента.

Однако, несмотря на проведенную внутри каждого стандарта управления рисками, терминологиями унификацию, методы и цели риск-менеджмента в различных стандартах отличаются. На рис. 1 представлены национальные и международные стандарты, терминология которых минимально различна. При попытке сов­мещения различных стандартов возможна путаница, так как дефиниция базовых терминов в них различна. Поэтому рассмотрим стандарты, получившие наибольшую мировую известность.

Стандарт «Управление рисками организаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO) [5].

Данный документ представляет собой концептуальные основы управления рис­ками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками в рамках организации. Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов:

1) определение внутренней среды;

2) постановка целей;

3) определение (идентификация) рисковых событий;

4) оценка риска;

5) реагирование на риск;

6) средства контроля;

7) информация и коммуникации;

8) мониторинг.

Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый документ следует уже сложившемуся в стандартах по риск-менеджменту пониманию процесса.

В мировой практике стандарт, получивший название «Куб COSO» (рис. 3), устанавливает взаимосвязь между целями организации (стратегические, операционные цели, подготовка отчетности и соблюдение законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками.

1. Внутренняя среда

• Закладывает основы подхода к управлению рисками. Включает:

- совет директоров;

- философию управления рисками;

- риск-аппетит;

- честность и этические ценности;

- важность компетенции;

- организационную структуру;

- делегирование полномочий и распределение ответственности;

- стандарты управления персоналом.

2. Постановка целей

• Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение.

• Руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск-аппетита.

3. Оценка рисков

• Риски анализируются с учетом вероятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять.

• Риски оцениваются с точки зрения присущего и остаточного риска.

4. Выявление потенциальных событий

• Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности.

• Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

5. Реагирование на риск

• Руководство выбирает метод реагирования на риск:

- уклонение;

- принятие;

- снижение;

- передача.

• Разработанные мероприятия позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.

6. Контрольные процедуры

• Политика и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

7. Информация и коммуникация

• Необходимая информация определяется, фиксируется и передается в форме и сроки, позволяющие сотрудникам выполнять их обязанности.

• Эффективный обмен информацией в рамках организации по вертикали и горизонтали.

8. Мониторинг

• Весь процесс управления рисками организации отслеживается и по необходимости корректируется.

• Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менедж­менту в общественном секторе (ALARM) (2002) [6].

В отличие от рассмотренного выше Стандарта COSO ERM в части применяемой терминологии данный стандарт придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management — Vocabulary — Guidelines for use in standards). В частности, риск определяется стандартом как «комбинация вероятности события и его последствий» (рис. 4).

Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей которой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации.

В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операционные и финансовые, а также риски опасности.

Кроме того, в документе приведены:

1. Краткая характеристика ключевых стадий процесса риск-менеджмента, в рамках которой обращает на себя внимание подробное описание требований к детализации информации в отчетах о рисках в зависимости от потребителя данной информации (среди потребителей внутренних отчетов — совет директоров компании, ее отдельная структурная единица, конкретный сотрудник организации; внешних отчетов — внешние контр­агенты организации). В частности, отчет о рисках компании для внешних пользователей информации должен включать описание:

• методов системы внутреннего контроля, а именно характеристику зон ответственности менеджмента организации в вопросах управления рисками;

• способов идентификации рисков и их практического применения в действующей системе управления рисками организации;

• основных инструментов системы внутреннего контроля в отношении наиболее значимых рисков;

• действующих механизмов мониторинга и слежения за рисками.

2. Описание организационной структуры управления риском (совет директоров — структурная единица — риск-менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпоративном уровне (Программа по управлению риском организации).

В приложении к стандарту даны примеры используемых на практике методов и технологий анализа рисков.

Одним из наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают Стандарт по риск-менеджменту Австралии и Новой Зеландии.

Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транснациональных компаний.

Согласно Стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рис. 5). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированная на использование потенциальных возможностей при одновременном управлении негативными воздействиями».

Стадия 1. Определение окружения (среды)

Среди факторов, определяющих необходимость анализа и идентификации внутренней среды компании, следует выделить следующие:

• управление риском должно осуществляться в контексте определенных целей и задач организации;

• одним из основных рисков компании является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и прочих целей;

• четкая формулировка принципов организационной политики и целей компании будет способствовать определению основных направлений корпоративной политики в области управления рис­ками;

• цели и задачи компании по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единое целое.

В рамках рассматриваемой стадии управления риском также определяют спектр целевых показателей деятельности, составляют перечень элементов стратегии компании, параметров ее функционирования, на которые будут влиять процессы риск-менеджмента, обеспечивают баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует определить требуемые ресурсы и учетные процедуры.

Стадия 2. Идентификация рисков

На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на предыдущем этапе: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознание риска) причастными сторонами, как внутренними по отношению к организации, так и внешними. Особые требования предъявляются в отношении качества информации (максимально возможный уровень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников.

Важно, чтобы персонал, задействованный в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необходимость участия в данном процессе

специальных рабочих групп, составленных из экспертов различного профиля.

Стадия 3. Анализ рисков

Результатом прохождения рассматриваемой стадии является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Используют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.

Стадия 4. Оценивание рисков

Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском).

Оценка риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием. Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на первой стадии процесса (таким образом, решается задача обеспечения попадания всех значимых рисков в область анализа).

Стадия 5. Обработка риска

На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для компании в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками.

Альтернативные варианты обработки рисков:

• Избежание риска, осуществляемое либо посредством прекращения деятельности, сопряженной с недопустимым для компании уровнем риска, или выбора других, более приемлемых направлений деятельности, отвечающих задачам организации, либо в ходе избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности.

• Снижение вероятности реализации рискового события и (или) возможных последствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высокие издержки реализации, необходимые затраты требуют бюджетирования. Рекомендованные в рамках данной альтернативы процедуры: контроль; улучшение процессов; тренинги и повышение квалификации персонала; аудит и определение соответствия установленным правилам.

• Разделение риска с третьими сторонами. Необходимо учитывать, что передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им.

• Удержание риска. Данная альтернатива применяется в отношении остаточных, а также не выявленных рисков.

В рамках ISO разработаны и действуют стандарты, рассматривающие отдельные аспекты управления риском по ряду направлений деятельности, например, в нефтегазовой отрасли, в сфере эксплуатации промышленного и медицинского оборудования и др. В 2002 г. в целях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уровнях, вступило в силу Руководство (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»).

Следующим уровнем развития стандартизации в области риск-менедж­мента является подготовка общего стандарта ISO в области управления рисками. Стандарт ISO 31000 «Риск-менеджмент — Принципы и руководства по применению» (Risk Manage­ment — Principles and guidelines on implementation). Разработку данного документа в 2009 г. завершила Рабочая группа по стандартизации в области риск-менедж­мента, состоящая из представителей национальных органов по стандартизации 26 стран. Одновременно с этим был обновлен Стандарт Руководство ИСО/МЭК 73:2002, разработан Стандарт ISO/МЭК 31010 «Риск-менеджмент — Руководство по оценке риска» (ISO/IEC 31010 Risk Management — Risk assessment guidelines).

За основу при подготовке проекта Стандарта ISO 31000 разработчиками был принят рассмотренный выше стандарт Австралии и Новой Зеландии, о чем, в частности, свидетельствует схожесть использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных составляющих. Вместе с тем существуют некоторые отличия. Например, проектом Стандарта ISO 31000 стадии «Идентификация риска», «Анализа риска», а также «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляющих стадии «Оценка риска». Кроме того, отдельно подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного использования накопленной информации для целей управления, оценки затрат на создание и хранение документов и ряда других факторов.

Вместе с тем характеристика принципов риск-менеджмента и описание модели управления риском отделены в рамках стандарта от характеристики собственно процесса риск-менеджмента. Признается, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в организации, должен внедряться в организационную культуру, настраиваться под действующие в рамках организации бизнес-процессы.

Среди принципов управления риском, определяющих его эффективность, обращают на себя внимание следующие тезисы, приведенные в проекте стандарта:

• Риск-менеджмент создает стоимость, то есть вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельности, корпоративное управление, репутация.

• Риск-менеджмент — неотъемлемая часть организационных процессов в компании.

• Риск-менеджмент — составная часть процесса принятия решений в организации.

• Риск-менеджмент должен быть специально «настроен» с учетом специфики деятельности организации.

• Риск-менеджмент учитывает существование человеческого и культурного факторов.

Модель управления риском в соответствии со Стандартом ISO 31000 «Риск-менеджмент представлена на рис. 6.

Обозначенные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходимую организационную структуру. Представленные в стандартах по риск-менеджменту подходы к организации процесса управления рисками носят общий внеотраслевой характер, отличаются различной степенью детализации. Стоит отметить, что более поздние итерации отраслевых стандартов — Basel II, Basel III и Solvency II (табл. 3) в качестве базового фундамента управления рисками используют методологию COSO ERM. Детальное сравнение различных стандартов представлено в табл. 4, которая является дополненной экспертами ПАРТАД на основе материалов [8 и 9].

СТАНДАРТЫ РИСК-МЕНЕДЖМЕНТА: ПРОБЛЕМЫ АДАПТАЦИИ

- Пейте виски.

- Это не виски, это чай со льдом.

- Больше таинственности.

- А, понял. Буду делать вид, что думаю, где настоящий виски.

К/ф «Трудности перевода»

Применение выше изложенных подходов в рамках построения корпоративных систем риск-менеджмента в России позволит:

• проводить оценку применяемых компанией подходов к организации управления рисками как экспертам в самой организации, так внешним стейкхолдерам; выявлять слабые и сильные стороны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов;

• сократить затраты на подготовку основополагающих документов корпоративной системы управления риском и внесение необходимых изменений в организационную структуру, сосредоточившись на «настройке» типовых подходов под требования бизнеса;

• повысить эффективность процесса передачи функций по проектированию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в случае, если компания планирует прибегнуть к подобным услугам) вследствие появления возможности переложения на единую терминологическую базу рекомендации по построению отдельных элементов единой системы, поступающих от различных третьих организаций;

• обмениваться опытом в области риск-менеджмента в практической и теоретической плоскостях, в том числе на национальном и международном уровнях.

Однако будет полезным осветить некоторые нюансы, связанные с российской спецификой. Исторически, со времен советского прошлого, стандартизация в России распространялась «сверху», централизованно. И принципиальные отличия стандартизации в мировой практике и России представлены на рис. 7. Особенности построения системы управления рисками в нашей стране и мире изображены на рис. 8, а влияние государства на риски хозяйствующего субъекта — на рис. 9.

Качественное изменение пруденциального надзора над небанковскими участниками российского финансового рынка [10] вызвало со стороны регулятора значительный рост нормативных документов, связанных с деятельностью этих институтов. В первую очередь это затронуло деятельность страховых компаний, негосударственных пенсионных фондов (НПФов) и компаний инфраструктуры фондового рынка. Проходящая на наших глазах очередная пенсионная реформа также внесла существенные коррективы в требования работы НПФов. Банк России в новых нормативных документах обозначил вектор развития риск-ориентированных подходов в надзорной деятельности над небанковским сектором. Ожидаемые требования к организации служб управления рисками НПФов, дополнительные требования в области внутреннего контроля, новые ограничения по инвестиционной деятельности привлекли внимание не только пенсионной индустрии, но и смежных небанковских секторов рынка.

Серьезные опасения участников рынка вызваны мнением отдельных представителей регулятора, допускающих приближение новых требований в отношении небанковских институтов к нормам Basel II, III. Между тем специфика деятельности небанковских институтов и существующее законодательство не позволяют использовать для некредитных участников финансового рынка «кальку» с банковских нормативов. Знаменательно, что главный аудитор Банка России Валерий Горегляд в статье «Карт-бланш. Не Базелем единым» [11] даже в контексте банковского сектора отмечает: «Прежде чем вводить новые требования к банкам, необходимо проанализировать опыт первопроходцев». Перефразировав этот тезис, можно сказать: «Прежде чем вводить нормативные требования к небанковским участникам российского финансового рынка, имеет смысл изучить международный опыт».

Очевидно, что регулятору придется учесть небанковские особенности некредитных институтов и найти такой подход риск-ориентированного регулирования, который бы не входил в противоречие с банковским и небанковским секторами. К сожалению, в России спешат принимать решения, в то время как адаптация требования Solvency II для страховых институтов ЕС и Великобритании длилась почти 10 лет.

Следует отдать должное Банку России, который, находясь в цейтноте (руководство страны ждет от ЦБ РФ активное участие в регулировании и, по сути, в реформировании пенсионного и страхового секторов рынка), не вводит в срочном порядке узаконенные «наверху» нормативы, а стремится проанализировать опыт отраслевых российских СРО, разработавших свои отраслевые стандарты7. Проект требований к организации служб управления рисками в НПФах [12], подготовленный Банком России, а также Рекомендации по оценке системы оплаты труда в негосударственных пенсионных фондах [13] свидетельствуют о том, что регулятор подводит акционеров и топ-менеджеров НПФов к пониманию новой сущности риск-менеджмента, которая закреплена в международных стандартах. Эти документы Банка России демонстрируют, что в парадигме регулятора риск-менедж­мент — это не дополнительная нагрузка на собственные средства участников рынка, а инструмент выстраивания новой более качественной среды управления. В ней управление рисками и внутренний контроль являются неотделимыми составляющими менеджмента, а учет рисков — необходимым индикатором для KPI. Такая концепция наиболее близка идеологии COSO. В любом случае этот стандарт управления рисками и внутреннего контроля не вступает в противоречие с международными отраслевыми стандартами для участников финансового рынка — Basel III и Solvency II.

Список источников

1. Баранов А. В. Звездное небо над нами и нравственный закон внутри нас (I часть) // Инвестор.ру // http://www.investor.ru/article/33446/1815/

2. Peter L. Bernstein Against the Gods. The Remarkable Story of Risk . Бернстайн П. Против богов. Укрощение риска. М.: «Олимп-Бизнес», 2008.

3. Баранов А. В. Исторический экскурс о финансовом риск-менеджменте // Инвестор.ру // http://www.investor.ru/community/content/48/1800/

4. Баранов А. В. Служба риск-менедж­мента НПФа — назревшая необходимость // Рынок ценных бумаг. 2010. Ноябрь.

5. Управление рисками организаций. Интегрированная модель, сентябрь 2004 COSO ERM The Committee of Sponsoring Organizations of the Treadway Commission // http://www.valtars.ru/files/upload/Actual_info/coso_upravlenie_riskami_organizacii_integrirovannaya_model.pdf

6. Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров.

Русское общество управления рисками // http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version.pdf

7. Международный Стандарт ISO 31000 Риск-менеджмент — Принципы и руководства // http://www.pqm-online.com/assets/files/lib/std/iso_31000-2009(r).pdf

8. Шамонина М. А. Международные стандарты управления рисками: проблемы адаптации// Банковские технологии. 2007. Июнь.

9. Лансков П. М., Зенькович Е. В. Интегрированный подход к организации управления рисками и внутреннего контроля в рамках инфраструктурных институтов финансового рынка// Рынок ценных бумаг. 2014. Ноябрь.

10. Баранов А. В. Под мегарегулятором: что день грядущий нам готовит? // Там же. 2014. Март.

11. Горегляд В. П. Карт-бланш. Не Базелем единым// Независимая газета. 2015. 29 января.

12. Проект Указания Банка России «Об отдельных требованиях к организации системы управления рисками негосударственного пенсионного фонда» // Гарант.ру //http://www.garant.ru/products/ipo/prime/doc/70890632/?prime

13. Письмо Банка России Негосударственным пенсионным фондам от 20.04.2015 г. № 015-51/3497 «Рекомендации по оценке системы оплаты труда в негосударственных пенсионных фондах» // Вестник Банка России. 2015. № 38 (1634), 29 апреля.

14. Базовый стандарт управления рисками и внутреннего контроля участника финансового рынка — члена СРО ПАРТАД // http://www.partad.ru/materialy/all/insurance/

Александр Баранов, Заместитель генерального директора УК «Паллада Эссет Менеджмент», председатель Комитета ПАРТАД по внутреннему контролю и управлению рисками