Ирина Кремлева в ранге вице-президента возглавляет блок «Риски» Сбербанка России. На протяжении более чем 15 последних лет дисциплина управления рисками является главной предметной областью, на которой сосредоточена ее профессиональная деятельность. По ее мнению, путь к эффективному управлению рисками лежит через формирование корпоративной риск-культуры. И эта культура должна пронизывать всю организацию — в управлении рисками должны участвовать все сотрудники банка.
Управление рисками — это стратегический подход к управлению или бизнес-процесс? Или, может, это некая методология?
Риск-менеджмент — самая интересная профессия на Земле, я в этом абсолютно уверена. Наверное, потому, что риск-менеджмент — это сразу всё: и серьезная математика, и построение бизнес-процессов, и автоматизация, и даже немножко религия.
Если серьезно, особенно интересно заниматься рисками в непростые времена, когда всё вокруг меняется с невиданной скоростью. Именно в непростые времена на первый план выходит риск-культура организации. Пока в организации есть противостояние «подразделения рисков — и все остальные» и работа строится по принципу «главное — договориться с рисками», мы уязвимы. Всегда найдется ситуация, которую мы не предусмотрели, сбой, который не предвидели. Как только каждый сотрудник (от рядового операциониста до руководителя любого уровня) начинает понимать, что именно он защищает банк от рисков и что от решений, которые он принимает, зависит совокупный уровень риска, мы непобедимы — никакие шоки и турбулентности нам не страшны.
В Сбербанке России стартовала глобальная стратегическая программа «Риск-культура», она призвана кардинальным образом изменить прежде всего мышление всех без исключения сотрудников банка.
Культура риск-менеджмента актуальна только для финансового сектора или есть и другие сектора, где тщательное, трепетное отношение к рискам жизненно необходимо?
Риски, на мой взгляд, присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о ваших персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента — это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, — моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк — абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах у нас беспрецедентный. Сейчас у нас внедрено в процесс и работает более 600 моделей различного уровня сложности. Я не случайно все время возвращаюсь к процессам — очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все наши модели реально работают и показывают высокую предиктивную способность. С недавнего времени мы начали пилотный проект по построению моделей, основанных на Больших Данных, — очень интересные и впечатляющие результаты получаются!
Какие подразделения банка непосредственно участвуют в управлении рисками? Как распределяются их роли?
В Сбербанке реализована «классическая» концепция трех линий защиты от рисков. Первая линия защиты — это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты — это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много — ведь именно они видят «живого» клиента и «реальные» документы. Вторая линия защиты — это риск-менеджмент. Сейчас в блоке «Риски» работает более 4 тыс. сотрудников — это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты — служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.
Какие ИТ-инструменты применяют те, кто работает на различных уровнях защиты?
На самом деле я уверена, что без ИТ-инструментов управление рисками невозможно, особенно в таком банке, как Сбербанк России. Любой, даже самый продвинутый риск-инструмент останется только красивой теорией, если не будет встроен в строго регламентированный и автоматизированный ежедневный процесс.
В Сбербанке используется огромное количество ИТ-систем, поддерживающих систему управления рисками, созданных как внутренними разработчиками, так и внешними. Построение системы риск-менеджмента в современной трактовке этого термина в нашем банке стартовало с проекта «Кредитная фабрика», предусматривавшего кардинальное изменение процесса розничного кредитования. Это прекрасный пример ситуации, когда управление рисками невозможно без ИТ-инструментов.
В основе технологии «Кредитной фабрики» лежит сложнейший ИТ-комплекс, он объединяет в себе целый ряд систем как внутренней, так и внешней разработки. Именно в рамках проекта «Кредитная фабрика» в банке появился целый ряд ИТ-решений, которые сегодня являются архитектурным стандартом: это и единая система управления доступом пользователей к информационным ресурсам, и корпоративная сервисная шина данных, и многие другие решения.
ИТ-комплекс «Кредитная фабрика» умеет обращаться к множеству информационных ресурсов, содержащих информацию о потенциальном заемщике. На основании собранной информации определяется маршрут проверки заемщика, уровень принятия решения. Сегодня в системе работает более 300 автоматически выбираемых маршрутов и более чем в 80% случаев решение о выдаче кредита принимается автоматически. Такой уровень автоматизации очень удобен, во-первых, для клиента. Например, для зарплатных клиентов, о которых мы всё знаем, срок принятия решения о предоставлении кредита составляет два часа. Во-вторых, очень удобен для банка — после внедрения новой автоматизированной технологии качество портфеля существенно улучшилось, по ряду продуктов уровень потерь сократился в 2,5 раза. Более того, такой уровень автоматизации позволяет существенно повысить эффективность управления. Мы умеем оперативно реагировать на изменение качества входящего клиентского потока и макроэкономических условий. В среднем раз в два дня мы внедряем ту или иную настройку риск-технологий.
На мой взгляд, современное розничное кредитование в принципе невозможно без всеобъемлющей и глубокой автоматизации, потому что операционные риски, в первую очередь те, что трансформируются в кредитные, которые могут возникнуть в ручной технологии, достаточно существенны и без автоматизации их не избежать.
Какие требования регуляторов — российских и международных — оказывают наиболее сильное влияние на управление рисками в Сбербанке? Какие риски чаще всего эти требования затрагивают?
Для Сбербанка сейчас главный проект по взаимодействию с регулятором — это подача заявки на соответствие стандартам Basel II в продвинутой версии (A-IRB — продвинутый подход, основанный на внутренних моделях). Именно то, что у нас есть большое количество моделей, реально использующихся в процессах и обладающих высоким качеством, позволяет нам надеяться, что по итогам валидации мы получим разрешение регулятора на использование продвинутого подхода.
/2014-10/10_14/13165362/Direktor_informacionnoj_sluzhby_(CIO.RU)_!!IMG_0051_(380).png)
Ирина Кремлева
Образование: МГУ им. М. В. Ломоносова, факультет вычислительной математики и кибернетики, специальность «прикладная математика»; кандидат физико-математических наук
Ирина имеет более чем 15-летний опыт работы в области управления рисками. Работала в «Пробизнесбанке», где участвовала в проекте реинжиниринга бизнес-процессов. Затем с момента создания работала в ВТБ-24, где занималась построением бизнес-процессов розничного кредитования и системы управления розничными рисками. В ОАО «Сбербанк России» — с июня 2008 года. С января 2013 года — в должности вице-президента ОАО «Сбербанк России», руководителя блока «Риски».
Каким образом происходит адаптация банка к новым требованиям регуляторов, какие бизнес-процессы при этом затрагиваются?
С точки зрения Сбербанка внедрение стандарта Basel II — естественное развитие риск-менеджмента, поскольку этот стандарт требует от банков ровно того, чем мы занимались в последние годы, — наличия правильной системы управления рисками, причем проходят проверку на соответствие стандарту прежде всего модели рисков. Они должны быть правильно построены — на корректном определении дефолта, с учетом правильной риск-сегментации, они должны пройти процедуру внутренней валидации, ну и главное — они должны быть встроены в процесс. Другими словами, модели должны быть не просто красивой картинкой, на которую предлагается взглянуть регулятору, а работать в реальной жизни с утра до вечера. Поэтому огромная часть проверки направлена на то, чтобы убедиться, что они действительно участвуют в принятии решений, и оценить, как они работают.
Внедрение стандартов Basel II — важный шаг не только для Сбербанка, но и для банковской системы в целом. Мы сейчас совместно с регулятором проходим путь адаптации этих стандартов к реалиям российской банковской системы — на примере Сбербанка. Этот проект очень важен для российской банковской системы в целом, и я очень рада, что Сбербанк играет в нем существенную роль. Мы готовы делиться накопленным опытом и знаниями, чтобы вместе с регулятором выстроить в России правильную систему управления рисками.
Внедрение любых стандартов должно помочь банковской системе, а не помешать, поэтому, учитывая реалии, ЦБ РФ дает импульс к развитию банковской системы: внедрение Basel II поможет сделать банки прозрачными, обеспечить акционерам требуемый уровень рисков и сделать процессы понятными, управляемыми, стандартизованными. С точки зрения ИТ-поддержки это существенный шаг вперед, потому что реализация управления рисками средствами ИТ — одно из требований стандарта Basel II, это гигантский шаг к правильному функционированию банка.
Какова структура операционных рисков с точки зрения Сбербанка? Кто и как (в том числе с помощью каких ИТ-инструментов) определяет эту структуру?
Внутри нашего блока «Риски» есть специальное подразделение — управление операционных рисков, оно определяет методологию: какие следует оценивать операционные риски, как они идентифицируются, фиксируются, измеряются. Что касается ежедневного управления этими рисками, то оно лежит на всех подразделениях банка — владельцах соответствующих бизнес-процессов. Блок «Риски» как методологическое подразделение внедрил систему SAS OpRisk Management, в которой риск-координаторы по всей стране фиксируют инциденты операционных рисков. Инциденты, конечно, классифицируются и по типам, и по размеру ущерба и возможных убытков. Что очень важно, в рамках процессов управления рисками делаются системные выводы о том, что нужно предпринять, чтобы эти инциденты больше не происходили. Ответственность за то, что системные меры предложены и реализованы, всегда лежит на владельцах процессов. Кстати, в нашей системе фиксируются инциденты не только в России, но и в зарубежных филиалах, и не только в самом Сбербанке, но и в группе в целом — наши дочерние организации фиксируют в ней свои инциденты.
Какие группы рисков считаются наиболее критичными для бизнеса?
Понятие «интегрированный риск-менеджмент» (то есть возможность комплексного управления всеми своими рисками) применимо в отношении любых организаций. Первый шаг по его выстраиванию — идентификация рисков, которые организация считает наиболее существенными как с точки зрения возможных потерь, так и по экспертному мнению. После этого для каждой существенной группы рисков в обязательном порядке назначается владелец, он отвечает за управление этой группой и за выработку политики: как работать с этими рисками, что с ними делать и пр. Есть система комитетов, каждый из них отвечает за свою выделенную группу того или иного риска, который был идентифицирован как существенный.
Для Сбербанка, естественно, наиболее существенными являются кредитные риски (поскольку банк — крупнейшая в России кредитная организация), а также операционные. В общем, ничего удивительного, вполне стандартная для банковской системы ситуация.
Насколько различается управление рисками, относящимися к разным группам?
Конечно, различается. Есть, например, «экзотические» (с точки зрения риск-менеджмента) группы рисков, такие как бизнес-риски (риски того, что принятое бизнес-решение окажется неверным и в будущем принесет убытки), стратегические, регуляторные (риски того, что регулятор выпустит какие-то новые требования, которые существенно повлияют на наш бизнес). У кредитных рисков свои методы управления, у регуляторных — свои, у операционных — третьи и так далее.
«Обработку» каких групп рисков или отдельных рисков удалось полностью или почти полностью автоматизировать?
На мой взгляд, максимального уровня автоматизации удалось достичь в самых существенных группах рисков — кредитных и операционных. У нас полностью автоматизирован процесс кредитования и в розничной его части (я уже рассказала о проекте «Кредитная фабрика»), и в корпоративной. Для поддержки процесса корпоративного кредитования применяется система Oracle Siebel CRM. Фиксация инцидентов операционных рисков производится в системе SAS.
Что важно, банк последовательно идет по пути автоматизации системы отчетности. Как известно, управлять можно только тем, что можно измерить, — без таких оценок решение принимается на основе экспертного мнения, которое может оказаться абсолютно неверным. И по «Кредитной фабрике», и по корпоративному кредитованию при запуске процесса кредитования сразу же создается система отчетности. Идея состоит в том, что процесс обработки кредитных заявок подлежит измерению на ежедневной основе.
Какое место в управлении рисками занимают риски, связанные с ИТ?
С одной стороны, ИТ-инциденты — это классические примеры операционных рисков, поэтому мы точно так же фиксируем события операционного риска и делаем системные выводы о том, как нужно «закрывать» те или иные ИТ-риски. С другой стороны, управление этими рисками — понятие гораздо более широкое. В частности, управление ИТ-инцидентами — это отдельный процесс, который протекает внутри ИТ-подразделения.
Вообще говоря, ИТ и риски связаны неразрывно. Заместитель председателя правления Сбербанка Вадим Кулик является куратором и блока «Риски», и ИТ-блока. Это позволяет получать значительную синергию — мы и ИТ идем рука об руку и существенно обогащаем друг друга.
Какие приоритетные задачи для блока «Риски» вы видите?
Самая главная задача на текущий момент — донести важность ежедневного управления рисками до каждого сотрудника и предоставить ему для этого правильные инструменты. Например, если речь идет о корпоративном кредитовании, то необходимо правильно построить кредитный процесс — так, чтобы предотвращать или предельно минимизировать кредитные и операционные риски и максимально удобно для клиента и эффективно для банка выстроить обработку кредитных заявок. Мы отвечаем за то, чтобы в процессе работали правильные модели с высокой предиктивной способностью. У каждого заемщика должен быть максимально объективный рейтинг — тщательно взвешенная, правильная мера его риска. Глядя на этот рейтинг, люди, принимающие решение о выдаче кредита (члены кредитного комитета), должно точно понимать, что этот рейтинг означает. Таким образом, на блоке «Риски» лежит ответственность и за предоставление инструмента для оценки рисков, и за обучение всех участников кредитного процесса этому инструменту — что это такое, для чего он нужен и как с ним работать. И когда модель пройдет проверку регулятором, а каждый сотрудник, глядя на модель, которую ему предоставил блок «Риски», поймет, о чем она говорит, поверит ей и на ее основе примет решение, я буду считать, что наш блок свою миссию выполнил успешно. Пока же мы идем по этому пути.