У червні цього року Нацбанк прийняв положення № 64 «Про організацію системи управління ризиками в банках України та банківських групах». Документ зобов'язує всі кредитні установи створити нову систему управління ризиками до лютого 2020 року.Як зараз українські банки справляються з цим завданням, і що їм ще належить зробити, «Мінфіну» розповів Міхаель Куніш, партнер, керівник практики з управління фінансовими ризиками KPMG в Україні.

- Яка різниця між моделлю управління ризиками, що використовується в Україні, і тією, що використовується в Європі?

Головна відмінність полягає в тому, що європейські банки довше працюють у більш досконалому регуляторному середовищі (зокрема, вимоги ‘Базель ІІ’ та відповідні державні вимоги до мінімальних стандартів управління ризиками, затверджені в різних європейських країнах). Вимоги ‘Базель ІІ’ набрали чинності у 2008 році, тому ми можемо сказати, що, враховуючи період впровадження, найбільші зміни функції управління ризиками відбулися в європейських банках приблизно у 2005 році. Друга хвиля вдосконалення пройшла після кризи 2008/9 рр. і вона супроводжувалося посиленням регуляторних вимог. Оскільки ЄЦБ взяв на себе роль головного регулятора щодо найбільших банків у єврозоні, ця тенденція навіть посилилася, що в результаті привело до гармонізації вимог до цих банків та їх дочірніх компаній. Це також впливає на іноземні дочірні підприємства в Україні, оскільки вони в першу чергу виконують вимоги групи, що узгоджуються з їх моделями ризику. Отже, західні банки застосовують вимоги ‘Базель ІІ’ до управління ризиками вже протягом 10-15 років і пройшли вже кілька етапів посилення регулювання, що покращило їх здатність оцінювати ризики і управляти ними, але важливішим є те, що банки підвищили свою культуру ризиків і зробили управління ризиками основною частиною управління банком та процесу прийняття рішень.

Ми спостерігаємо, що в Україні управління ризиками було досить слабким, що пояснюється, головним чином, двома причинами:

• З 2004 року НБУ видав лише деякі перші рекомендації щодо управління ризиками, але банки не виконували їх належним чином, а НБУ належно не контролював їх виконання. Однак ці вимоги змінюються і пристосовуються до нового середовища, в якому працюють банки, як ми бачили це в Європі. Тому осучаснення вимог та більш жорстке регулювання підштовхне банки до вдосконалення їх функцій управління ризиками.
• Значна частина власників і керівників банків розглядає вимоги щодо ризиків як чисто формальні вимоги, які не впливають на процеси банку і не мають з ними реального зв’язку. Це позбавляє багато українських банків належних інструментів та інфраструктури, необхідних для кількісної оцінки ризиків, та призводить до того, що функція управління ризиками у таких банках залишається слабкою і їм бракує відповідного персоналу та знань.

- Якими є найбільш типові проблеми банків зі слабкою функцією управління ризиками в Україні (якщо необхідно, ми можемо не згадувати Україну)?

Ми хотіли б зазначити такі типові проблеми:

• Вимога до управління ризиками розглядається як формальна регуляторна вимога/вимога групи, а не як ключова функція контролю та прийняття рішень, яка допомагає бізнес-підрозділам брати на себе «правильні» ризики
• Ризик-менеджмент обмежується кредитним ризиком та ризиком ліквідності, при цьому іншим видам ризиків, а також їх інтегруванню у процес прийняття рішень приділяється недостатня увага
• Відсутність можливостей та інструментів для належної оцінки ризиків, яка дозволяє здійснювати їх економічно значиме кількісне визначення
• Конфлікти інтересів в організаційній структурі
• Слабкий зв'язок і обмін інформацією з Наглядовою Радою
• Відсутність культури ризику: «управління ризиками є відповідальністю підрозділу управління ризиками», яке однак не має належного права участі у прийнятті рішень

Усі ці проблеми трансформуються у величезні збитки для банків в умовах загальносистемної кризи, що призводить до банкрутства або необхідності вливань капіталу.

- Якими принципами слід керуватися в управлінні ризиками у банках? Чому важливим є створення культури управління ризиками?

Бізнес-модель банків в цілому зосереджена на сфері прийняття ризиків. Необхідно доводити до відома всіх підрозділів банку і це, і те, яким є їх спільний щоденний внесок в управління ризиками. Зазвичай банки впроваджують концепцію ‘трьох ліній оборони’, яка включає:

• бізнес-підрозділи на першій лінії
• підрозділи з управління ризиками, фінансовий, із забезпечення дотримання нормативних вимог, юридичний – як частина другої лінії
• внутрішній аудит — як третя лінія.

Роль першої лінії, наприклад, полягає у зниженні операційних ризиків шляхом належного виконання банківських процедур, спрямованих на уникнення шахрайства, зловживань та продуктів, до яких були застосовані санкції, тощо, а також у наявності відповідних правил ідентифікації клієнтів (KYC), які допомагають зрозуміти, чи є той чи інший клієнт в принципі бажаним для банку. Ця концепція разом з високою культурою ризику повинна бути одним з ключових пріоритетів для вищого керівництва. Спосіб досягнення цієї мети повинен починатися зі створення так званої атмосфери «тону, який задають нагорі», що є необхідною для розвитку культури управління ризиками.

- Якою є роль вищого керівництва та Ради директорів у сфері управління ризиками? Якою має бути ступінь їхнього залучення до цієї сфери?

Однією з основних тенденцій корпоративного управління сьогодні є посилення ролі Наглядової Ради (НР) в рамках організаційної структури. Зважаючи на те, що для багатьох українських банків НР залишається формальним органом, до якого застосовуються лише мінімальні нормативні вимоги, зміни в цій сфері мають бути дійсно фундаментальними. Якщо ми говоримо про управління ризиками, то НР несе кінцеву відповідальність за створення системи управління ризиками та контроль за її ефективністю. У рамках цієї широкої сфери відповідальності вона повинна затверджувати Заяву щодо допустимого рівня ризиків (Risk Appetite Statement), що визначає рівень ризиків, які банк готовий брати на себе, а також стратегію, політики та інші ключові внутрішні документи у сфері управління ризиками. Вона також повинна постійно отримувати і розглядати звіти щодо управління ризиками, затверджувати заходи, які забезпечують дотримання допустимого рівня ризику, та контролювати їх реалізацію.

Правління є ключовим виконавчим органом Банку. У сфері управління ризиками воно несе відповідальність за реалізацію стратегії управління ризиками, визначеної Наглядовою Радою, та забезпечує дотримання допустимого рівня ризику і лімітів ризику.

- Яким чином повинна бути побудована функція управління ризиками? Яким є її місце в організаційній структурі? Як вона повинна впливати на бізнес-процеси та організаційну структуру банку?

Управління ризиками (УР) — це основна контрольна функція банку на так званій «другій лінії оборони». Ключовою вимогою до її ефективності є незалежність, а також право вето при прийнятті ризиків. Цього можна досягти за умови виконання таких вимог:

• Директор з управління ризиками (Керівник підрозділу з управління ризиками) повинен стати однією з ключових осіб в організаційній структурі банку. Він повинен мати право брати участь у засіданнях усіх колегіальних органів банку і мати право вето на рішення, які потенційно можуть призвести до порушення лімітів ризику та допустимого рівня ризику. Він повинен звітувати безпосередньо Наглядовій Раді (без обов'язкового повідомлення Правлінню)
• якість і кількість персоналу з УР повинні бути достатніми для ефективного виконання обов'язків. Для цього підрозділ повинен мати достатній бюджет, який, зокрема, передбачає проведення тренінгів для професійного розвитку персоналу
• Персонал з УР повинен мати необмежений доступ до всієї інформації, необхідної для ефективного виконання його функцій

І дозвольте мені зазначити таке: підрозділ з управління ризиками не є еквівалентом функції управління ризиками. Щоб бути ефективною, функція УР повинна включати всіх керівників та працівників банку. Кожен з них повинен мати свою роль в управлінні ризиками. Для внутрішньої організації управління ризиками існують різні моделі, які залежатимуть від розміру банків, типу продуктів, географічної присутності та, у певній мірі, від способу організації бізнесу.

- Яких змін потребує сфера управління ризиками в період переходу на цифрову економіку / цифрові технології?

Технології принесуть зміни у такі дві сфери: 1) типи продуктів та спосіб, у який банки пропонують продукти; 2) спосіб, у який банки здійснюють свої внутрішні процеси.

Якщо банки рухатимуться більше у напрямку застосування інтернет-банкінгу та онлайн-заявок на кредити з прийняттям миттєвих рішень, то це потребує значних інвестицій в інфраструктуру та інструментарій. Перш за все, банку необхідно ідентифікувати клієнта — або як існуючого, або, якщо це новий клієнт, застосовувати, наприклад, систему розпізнавання обличь та перевірку документа, що засвідчує особу. Це вимагає належної інфраструктури, обробки та узгодження даних, а також безпечної комунікації та належного захисту даних про клієнта. Щоб прийняти своєчасне рішення, банк повинен мати всі документи, які є необхідними для підтвердження клієнта у його системі та перевіреними, з тим щоб застосувати після цього рейтингову чи скорингову модель. Або, як альтернатива, мати можливість проведення оцінки ризиків шляхом аналізу операції по рахунку клієнта за допомогою належних статистичних методів. Після цього повинно автоматично прийматися рішення за алгоритмом, що також вимагає повної автоматизації процесу рейтингу/скорингу. Це лише приклад процесу кредитування у сфері споживчих кредитів.

Загалом, банкам, зокрема в Україні, необхідно підвищувати ефективність та прискорювати процеси, щоб швидше реагувати на потреби клієнта. Для вдосконалення процесів у різних сферах можуть застосовуватися нові концепції, такі як робототехніка та комп’ютерне навчання — також за рамки управління ризиками.

- НБУ планує затвердити нові вимоги щодо управління ризиками. Який підхід слід застосовувати банкам, щоб досягти у цій сфері найвищої ефективності та відповідати вимогам регулятора?

Нові вимоги НБУ замінюють попередні рекомендації, які були видані 14 років тому. Вони ґрунтуються на поточних міжнародних стандартах Базельського комітету і узгоджуються з правилами ЄС, а також є наближеними до процедур, які застосовує ЄЦБ. Однак європейські норми змінювалися у напрямку посилення функції управління ризиками протягом останніх двох десятиліть поступово. Отже, функція управління ризиками в ЄС розвивалася еволюційним шляхом. Ситуація в Україні є іншою: українські банки, які орієнтуються лише на дотримання мінімальних державних регуляторних вимог, повинні здійснити революційні зміни протягом наступних півтора року. Тому підготовка повинна розпочатися найближчим часом з урахуванням етапу належного планування. Вона передбачає аналіз поточних можливостей та інструментів банків і порівняння їх з вимогами, а потім створення цільової картини того, яким чином банки хочуть дотримуватися цих вимог. Оскільки вони більшою мірою ґрунтуються на принципах, кожному банку доведеться віднаходити власний спосіб дотримання вимог і шляхи розвитку. Наостанок необхідно підготувати план переходу з чітко визначеними строками та відповідальними особами. Це уможливить цільове впровадження, а також досягнення такої трансформації протягом 1,5 років.

Наш практичний досвід роботи в різних країнах показує, що для ефективного виконання цього плану в банку має бути створено спеціальний офіс реалізації проекту з повною підтримкою всього керівництва банку. Для залучених до цього функцій реалізація дорожньої карти повинна бути одним з ключових обов'язків на весь період впровадження, а також ключовим КПД команди та правління.