Концепції ризик-менеджменту у банках

У цій статті розглядаються основні концепції ризик-менеджменту (управління ризиками) та встановлюються параметри, які банки мають намагатися досягти у своїй роботі.

Для банку ризик — це потенційна можливість недоотримання доходів чи зменшення ринкової вартості капіталу банку внаслідок несприятливого впливу зовнішніх чи внутрішніх чинників. Такі збитки можуть бути прямими (втрата доходів або капіталу) або непрямими (накладення обмежень на здатність досягати своїх бізнес-цілей). Зазначені обмеження стримують здатність банку здійснювати свою поточну діяльність або використати можливості для розширення бізнесу.

Ризик-менеджмент – це система управління ризиками, яка включає стратегію і тактику управління, спрямовані на досягнення основних бізнес-цілей банку. Ефективний ризик-менеджмент включає:

• систему керування;
• систему ідентифікації та вимірювання;
• систему супроводу (моніторингу та контролю).

Поняття управління ризиками (ризик-менеджменту)

Управління ризиками – це процес, за допомогою якого банк виявляє (ідентифікує) ризики, проводить оцінку їх величини, здійснює їх моніторинг та контролює свої ризикові позиції, а також враховує взаємозв’язки між різними категоріями (видами) ризиків. Комплекс дій ризик-менеджменту має на меті забезпечити досягнення наступних цілей:

• ризики повинні бути зрозумілими та усвідомлюватися банком та його керівництвом;
• ризики мають бути в межах рівнів толерантності, встановлених наглядовою радою банку;
• рішення щодо прийняття ризику повинні відповідати стратегічному завданню діяльності банку;
• рішення щодо прийняття ризику мають бути конкретними та чіткими;
• очікувана прибутковість має компенсувати прийнятий ризик;
• розподіл капіталу має відповідати розмірам ризиків, яким наражається банк;
• Стимули для досягнення високих результатів діяльності повинні узгоджуватися з рівнем толерантності до ризику.

З погляду ризик-менеджменту, банківська діяльність зводиться до прийняття ризику та отримання за це відповідної компенсації (економічної вигоди).

Мета управління ризиками – сприяти підвищенню вартості власного капіталу банку, одночасно забезпечуючи досягнення цілей багатьох зацікавлених сторін, а саме:

• клієнтів та контрагентів;
• керівників;
• співробітників;
• наглядової ради та акціонерів (власників);
• органів банківського нагляду;
• рейтингових агентств, інвесторів та кредиторів;
• інших сторін.

Поняття комплексності системи ризик-менеджменту

Процес управління ризиками повинен:

• охоплювати всі види діяльності банку, що впливають на параметри його ризиків;
• бути безперервним процесом аналізу ситуації та оточення, у яких виникають ризики;
• сприяти прийняттю управлінських рішень щодо впливу на ризики та/або на рівень вразливості (експозиції) банку до таких ризиків.

Рішення щодо управління ризиками можуть передбачати, зокрема, уникнення ризику: відмова від його прийняття; його мінімізацію, у тому числі за рахунок пом’якшувальних факторів та/або передачі (трансферту) ризику на інших осіб (через похідні інструменти або страхування), встановлення лімітів на експозицію банку та інші методи впливу на ризик (носія ризику) або рівень вразливості банку до нього .

Управління ризиками має відбуватися на рівні організації, де виникає ризик, а також за допомогою функцій незалежної перевірки та контролю ризиків — на найвищих рівнях управління і на рівні наглядової ради.

Банки повинні намагатися створити комплексну систему ризик-менеджменту, яка забезпечила б надійний процес виявлення, оцінки, контролю та моніторингу всіх видів ризику на всіх рівнях організації, в тому числі з урахуванням взаємного впливу різних категорій ризиків, а також сприяла б вирішенню питання конфлікту завдань між необхідністю отримання доходу та мінімізацією ризиків (див. Організаційне та функціональне забезпечення ризик-менеджменту в банках).

При розробці та впровадженні комплексної системи ризик-менеджменту банку наглядова рада та правління повинні забезпечити наступне:

• запровадження організаційної структури та адекватних механізмів контролю;
• прийняття ризиків відповідно до очікувань акціонерів (власників) банку, стратегічного плану банку та нормативних вимог;
• поширення банку єдиного розуміння його корпоративної культури з управління ризиками;
• виділення необхідних ресурсів на створення та підтримання ефективної, комплексної та збалансованої системи ризик-менеджменту;
• відображення в систематизованій документальній формі організаційної структури та механізмів контролю, відповідний доступ до цих документів учасників процесу управління ризиками у банку;
• погодження організаційної структури та систем контролю бізнес-процесів банку з відповідними системами дочірніх структур та інших підконтрольних організацій таким чином, щоб не зашкодити контрольованій та стабільній діяльності самого банку;
• уникнення конфлікту інтересів усім рівнях банку;
• здійснення аналізу ризиків з урахуванням можливості виникнення екстремальних обставин (стрес-сценарії), на основі яких банк має визначити відповідні надзвичайні заходи, наприклад у формі плану дій на випадок кризових обставин (див. стрес-тестування);
• запровадження процедур та заходів запобігання стресовим ситуаціям, які можуть виникнути внаслідок певних внутрішніх факторів;
• розробка процедур та заходів моніторингу адекватної капіталізації банку;
• чітке формулювання політики (нормативного документа) банку з контролю ризиків та ведення справ відповідно до критеріїв надійності банківських операцій;
• систематичне проведення аналізу ризиків з метою ідентифікації, оцінки, контролю та моніторингу всіх ризиків;
• розробка та впровадження внутрішнього контролю, який би забезпечував належне дотримання вимог законодавства та нормативно-правових актів, виконання договірних та інших зобов’язань, дотримання положень та процедур, правил та норм, а також відповідної ділової поведінки;
• створення незалежного підрозділу з управління ризиками, який повинен мати відповідні повноваження, ресурси, досвід та корпоративний статус, щоб не мати жодних перешкод у доступі до потрібної інформації, у формуванні та наданні управлінських звітів за результатами своїх досліджень;
• створення служби внутрішнього аудиту, незалежної від операційних підрозділів банку та відокремленої від процесів поточного внутрішнього контролю, що входять до складу певних компонентів тих чи інших бізнес-процесів. Сфера інтересів служби внутрішнього аудиту повинна охоплювати всі види діяльності та всі підрозділи банку.

Загальні підходи до мінімізації та оптимізації ризиків

Відповідно чи є залежність між ризиками і доходами, ризики можна розділити на дві групи:

• ризики, що піддаються кількісної оцінки (фінансові ризики). Наприклад, кредитний, ліквідний;
• ризики, що не піддаються кількісній оцінці (нефінансові ризики). Наприклад, юридична, репутація.

Ризики, якими існує залежність між ризиками і доходами розглядаються як такі, що піддаються кількісній оцінці, управління цими ризиками полягає в їх оптимізації. Ризики, за якими немає залежності між ризиком та доходами, кількісної оцінки не піддаються та управління ними зводиться до їх мінімізації.

Процес управління ризиками, зазвичай, немає метою усунення ризику, а спрямований забезпечення отримання банком відповідного винагороди за прийняття ризику. Виняток становлять деякі ризики, якими немає взаємозв’язку між їх рівнем і величиною винагороди банку (наприклад, юридичний ризик, ризик репутації, стратегічний ризик).

Багато ризиків, яким піддається банк, за своєю сутністю притаманні банківській діяльності і випливають із посередницької функції перерозподілу грошових ресурсів, яку виконують банки (наприклад, кредитний ризик). Для таких ризиків банк прагне оптимізувати співвідношення між ризиком та доходами, максимізуючи прибутковість для заданого рівня ризику або мінімізуючи ризик, який необхідно прийняти для забезпечення бажаного рівня доходності. Таким чином, проявляються два підходи до управління ризиками, що піддаються кількісній оцінці.

Деякі ризики часто є ціною, яку необхідно заплатити за право займатися певним бізнесом, наприклад, юридичний ризик. Як правило, такі ризики банк прагне або змушений знизити до певного граничного рівня, намагаючись при цьому зазнати мінімальних витрат. У цьому випадку проявляється підхід до мінімізації ризиків, які не піддаються кількісній оцінці.

Джерела та механізми контролю ризиків

Ризики діяльності банку виникають з урахуванням як внутрішніх (ендогенних), і зовнішніх (екзогенних) чинників. Значна частина зовнішніх факторів знаходиться поза контролем з боку банку і банк не може мати повної впевненості щодо результатів майбутніх подій, які можуть вплинути на банк, та часу їх виникнення.

Основними факторами, що впливають на рівень зовнішніх ризиків, є політичні та пов’язані з ними економічні. Решта всіх чинників (демографічні, соціальні, географічні) розглядаються крізь призму політичних та економічних чинників.

Серед великої кількості зовнішніх ризиків можна виділити п’ять основних груп:

1. ризик форс-мажорних обставин – пов’язаний із виникненням непередбачених обставин, які негативно впливають на діяльність банку та/або його партнерів (стихійні лиха тощо);
2. країновий ризик — пов’язаний із можливістю настання несприятливих для діяльності банку умов у політичній, правовій, економічній сфері країни, де здійснює свою діяльність банк;
3. зовнішньополітичний ризик — зумовлений змінами міжнародних відносин, а також політичною ситуацією в одній із країн, що впливають на діяльність банку або його партнерів (війни, міжнародні скандали, імпічмент глави держави, закриття кордонів);
4. правовий ризик – пов’язаний із змінами законодавства різних країн;
5. макроекономічний ризик – виникає через несприятливі зміни кон’юнктури на окремих ринках або всієї економічної ситуації в цілому (економічна криза). Окремо слід виділити складову макроекономічного ризику – інфляційний ризик, пов’язаний із можливою втратою первісної вартості активів.

Реалізація зовнішнього чинника ризику, якому піддається банк, може поставити під загрозу безперервність своєї діяльності. Тому в процесі аналізу ризиків банк обов’язково повинен враховувати можливість виникнення екстремальних обставин (стрес-сценарій). Таким чином, банк має розробити відповідні невідкладні заходи у формі плану дій на випадок кризових обставин, що підлягає регулярному оновленню та тестуванню. Такі плани дій є невід’ємною складовою механізмів контролю ризиків банку.

Банк також повинен забезпечити наявність процедур та заходів щодо попередження стресових ситуацій, спричинених внутрішніми причинами. Банк повинен здійснювати моніторинг ризиків для забезпечення обґрунтованого та надійного взаємозв’язку між загальними параметрами його ризиків та капіталом, фінансовими ресурсами та фінансовими результатами (надходженнями) через відповідні механізми контролю.

Методики кількісної оцінки ризиків повинні базуватися на критерії економічної вартості капіталу та необхідності підтримки капіталу на рівні, який необхідний для компенсації ризиків.

Підходи до розподілу функцій ризик-менеджменту

Банк повинен забезпечити чіткий розподіл функцій, обов’язків та повноважень ризик-менеджменту, а також чітку схему відповідальності відповідно до такого розподілу.

Розподіл функцій та повноважень має охоплювати всі організаційні рівні та підрозділи банку. Велике значення надається розподілу функцій ризик-менеджменту між спостережною радою та правлінням банку. Загальну стратегію управління ризиками у банку визначає наглядова рада, а загальне керівництво управлінням ризиками здійснює правління.

Необхідно також приділяти належну увагу розподілу функцій та повноважень ризик-менеджменту між операційними (фронт-офіс) та контрольними службами (аудит), особливо коли йдеться про забезпечення належного виконання функцій внутрішньобанківського контролю.

Розподіл обов’язків та підпорядкованість підрозділів повинні бути задокументовані та доведені до відома виконавців таким чином, щоб весь персонал банку розумів свої функції, обов’язки та повноваження, свою роль в організації та процесі здійснення контролю, а також свою підзвітність.

У світовій практиці розрізняють чотири взаємопов’язані етапи ризик-менеджменту:

1. ідентифікація (виявлення) ризику;
2. кількісна та якісна оцінка (вимірювання) ризику;
3. контроль риска;
4. моніторинг ризиків.

Оцінка ризиків повинна здійснюватися та/або підтверджуватись незалежною службою — підрозділом ризик-менеджменту, який має ресурси, повноваження та досвід, достатній для оцінки ризиків, тестування ефективності заходів щодо управління ризиками та надання рекомендацій щодо здійснення відповідних коригуючих дій.

Крім того, інші органи та підрозділи банку залучаються до процесу ризик-менеджменту в межах їхніх функцій та повноважень відповідно до принципів корпоративного управління.

Поняття збитків з погляду ризиків

Незалежно від розвиненості та складності своїх операцій банки повинні розрізняти очікувані та неочікувані збитки.

Очікувані збитки — це збитки, про які керівництво банку знає або має знати, що вони можуть мати місце (наприклад, очікуваний відсоток збитків за портфелем операцій з кредитними картками). Зазвичай такі збитки у тій чи іншій формі передбачають створення резервів.

Неочікувані збитки — це збитки, пов’язані з непередбаченими подіями (наприклад, системною кризою, міжнародною фінансовою кризою тощо). Буфером для поглинання непередбачених збитків виступає капітал банку.

Аналіз ризиків

Банк повинен забезпечити систематичне проведення аналізу ризиків, спрямованого на їх виявлення та оцінку їхньої величини. Метою аналізу має бути розуміння суті ризиків, яким піддається банк, та визначення того, чи узгоджуються вони з його завданнями, стратегією та політикою. Тому такий аналіз повинен здійснюватися постійно як на рівні установи в цілому, так і на рівні окремих підрозділів та включати виявлення, вимірювання та оцінку всіх видів ризиків, у тому числі зв’язок та взаємний вплив між різними категоріями ризиків.

Аналіз ризиків повинен охоплювати всі продукти, послуги та процеси банку та передбачати як якісну оцінку відповідних ризиків, так і оцінку їх кількісних параметрів (по можливості). Керівництво банку має знати результати аналізу ризиків та враховувати їх у своїй роботі.

Аналіз ризиків – це безперервний процес, який має враховувати:

• зміни внутрішніх та зовнішніх умов діяльності;
• нові продукти, послуги, процеси;
• плани на майбутнє.

В результаті аналізу ризику можна зробити висновок, що ризики банку не відповідають або перестали відповідати вибраним параметрам, або що вибрані параметри ризиків не відповідають або перестали відповідати завданням і стратегії банку. Може також виявитися, що організаційна структура та механізми контролю банку не узгоджуються із змінами у параметрах ризиків. Тому управління ризиками має супроводжуватися переглядом завдань, обраної стратегії, розробленої організаційної структури та механізмів контролю.

Аналіз ризиків може виявити ризики, які не були виявлені раніше та/або які не можна мінімізувати за допомогою відповідних процедур та засобів контролю. У такому разі банк повинен прийняти рішення про прийнятність таких ризиків та доцільність подальшого здійснення того виду діяльності, на якому ці ризики ґрунтуються.

Для забезпечення належного виявлення, розуміння та управління ризиками у їхній взаємодії між собою, вони не повинні розглядатися окремо один від одного. Аналіз, необхідний виявлення та узагальнення ризиків, повинен проводитися на рівні, що дозволяє охопити банк в цілому як на індивідуальній, так і на консолідованій основі.

Банк має забезпечити уникнення конфлікту інтересів. Аналіз ризиків повинен здійснюватися, а його результати повідомляти зацікавлені сторони без будь-якого впливу з боку керівників банку, відповідальних за той чи інший вид діяльності.