УПРАВЛЕНИЕ РИСКАМИ

Проблема рискованности инвестиций в совершенствование ИТ-инфраструктуры предприятий не теряет своей актуальности. Потенциальные сложности в процессе интеграции, относительно высокая вероятность убыточности, низкого экономического эффекта или неудачной модернизации бизнес-процессов заставляют риск-менеджеров компаний в поте лица просчитывать все возможные варианты по одной или нескольким методологиям, оценивая перспективность того или иного проекта. Однако ИТ не только являются объектом риска, но могут служить и инструментом для анализа и управления рисковыми ситуациями. Использование соответствующих приложений существенно облегчает решение проблем, связанных с определением целесообразности тех или иных ИТ-инвестиций, а также и прочих задач риск-менеджмента, стоящих, например, перед кредитными организациями. Оставленные на произвол судьбы системные, операционные и иные риски нередко оборачиваются глобальными убытками, а ведь в большинстве случаев их можно избежать или хотя бы минимизировать.

Принципы работы

Системы риск-менеджмента, как и любые другие автоматизированные инструменты управления предприятием, основаны на той или иной математико-экономической модели, с помощью которой происходит оценка входных параметров, в данном случае рисков, производится их анализ и выдается некий результат, скажем оценка степени риска нового инвестиционного проекта или предоставления кредита определенному лицу. Поскольку проблема управления рисками очень стара, к настоящему времени разработано несколько отличающихся по широте охвата и сложности методологий количественной их оценки, в отдельных случаях ориентированных на отраслевую специфику. Наиболее распространены решения для оценки финансовых рисков. По сути, именно потребности банков служат одной из основных причин появления ИТ-решений, где концепция риск-менеджмента выступает в качестве основной фнукции, а не реализуется в форме второстепенного по важности модуля. Отдельная система риск-анализа предпочтительна не только для банков, но приобретать ее целесообразно далеко не всем организациям - ведь кто-то рискует больше, и тогда стоит потратиться, а кто-то меньше. О практическом воплощении принципов риск-менеджмента будет подробнее рассказано далее, а сейчас вернемся к существующим методологиям.

Наверное, наиболее популярна в мире методология VaR (Value at Risk), использующая понятия и методы теории вероятностей. VaR дает статистическую оценку возможных грядущих убытков и строится на предположении о том, что исторические взаимосвязи, факторы и параметры в будущем останутся без изменений. Данный подход не свободен от недостатков. Например, в случае форс-мажорных обстоятельств (обвала рынка, валютного кризиса и т. д.) потери могут значительно превысить рассчитанные. Довольно популярна и оценка рисков, учитывающая наряду с вероятным ущербом еще и возможный экономический эффект (ведь нередко самые рискованные вложения сулят и наибольшие доходы). Данный подход известен как RAROC (Risk-Adjusted Return On Capital). Несмотря на то что RAROC был разработан для банковской деятельности, его можно отнести к категории "широкопрофильных" методологий, так как затрагиваемая им проблема финансовых рисков - а это прежде всего кредитные и валютные риски, а также риск ликвидности - актуальна для целого ряда коммерческих структур. Кроме того, RAROC отличается от многих других методологий своей простотой. В качестве единственного выходного параметра в ней используется некоторое значение RAPM (Risk-Adjusted Performance Measurement) - соотношение между предполагаемой финансовой отдачей инвестиции и риском ее проведения. Риск выражается в максимально возможных потерях организации и в общем виде рассчитывается по следующей формуле:

Риск = Стоимость инвестиции x x Эластичность*1 индикатора x x Потенциальное изменение индикатора

_____

*1 Эластичность - серия экономических относительных показателей, характеризующих чувствительность одной величины к изменению другой (например, уровень снижения спроса при повышении цены на тот или иной товар).

Индикатором служит та или иная величина, определяющая специфику деятельности организации (например, курс валюты). Предельно возможным значением риска является капитал компании (во избежание финансовой неустойчивости). В соответствии со значениями RAPM для каждой области деятельности организации устанавливаются лимиты - количественные ограничения, накладываемые на определенные характеристики проводимых ею финансовых операций. Несколько упрощая, можно сказать, что капитал компании распределяется по направлениям бизнеса в соответствии с рискованностью осуществляемых финансовых операций, т. е. пропорционально значениям RAPM. Установка лимитов - основное средство оценки в риск-менеджменте, и различные количественные методы в конечном итоге сводятся к разным способам расчета этих самых лимитов. По завершении данных операций система, настроенная в соответствии с бизнес-стратегией организации, принимает решение о приемлемости риска, а иногда и введении в действие тех или иных антикризисных мер. Одна из наиболее популярных классификаций сознательно принимаемых рисков - GARP (Generally Accepted Risk Principles), разработанная аудиторской компанией Coopers & Lybrand. Согласно этой классификации можно выделить шесть основных групп рисков: рыночные, кредитные, риски концентрации, риски ликвидности, операционные риски и риски бизнес-события. Отсутствие налаженной системы анализа и принятия мер относительно любой из этих групп, как правило, приводит к повышенной корпоративной уязвимости. При разработке стратегии риск-менеджеры обычно создают модели управления для каждой из шести групп, однако оперируют при этом четырьмя основными механизмами. Помимо лимитной системы (локализации), ориентированной на фондовые, валютные и кредитные риски, существуют альтернативные методы политики риск-менеджмента. Во-первых, это диверсификация активов (диссипация), направленная на распределение средств в соответствии с рискованностью мало связанных между собою объектов вложений. Такой подход позволяет снизить риски концентрации и индивидуальной ликвидности. Во-вторых, аналитическая работа (компенсация, хеджирование) по снижению неопределенности развития ситуации, реализуемая с помощью систем мониторинга и оценки рисков. Хеджирование применяется при наличии валютных, процентных, фондовых рисков, а также при риске ликвидности. И наконец, последний способ - это отказ от сделок с критическим уровнем сомнительности, благодаря которому удается снизить риски новых проектов и инвестиций, а также риск ненадежности партнеров.

Таким образом, процесс анализа рисков можно свести к следующему базовому алгоритму:

- расчет различных типов риска в зависимости от индикаторов, т. е. величин, характеризующих проводимые операции;

- определение основных сценариев дальнейшего развития ситуации;

- выработка стратегии, направленной на достижение баланса между затратами на защиту от рисков и максимально возможными убытками;

- идентификация рисков: анализ ситуации, выявление причин, построение карты рисков и детальное их описание;

- мероприятия по снижению уровней рисков.

ИТ-составляющая

ИТ-решений для риск-менеджмента разработано сравнительно немного (а учитывающих российскую специфику еще меньше), частично в силу отношения к ним, во многом ошибочного, как к предметам "второй необходимости", частично в силу высоких требований, которым должны удовлетворять такие системы. Средства риск-менеджмента должны обеспечивать автоматизированный доступ к данным, их консолидацию и очистку, анализ, оценку и прогнозирование рисков, а также предоставление полученных результатов, желательно с использованием Web-технологий. И это всего лишь технические требования, а для полноценного функционирования системы некоторые преобразования требуется произвести и в управленческой структуре корпорации: создать документированные положения и внутренние правила управления рисками, адаптировать информационную структуру управления рисками к корпоративным реалиям. Таким образом, для полного цикла внедрения необходимы солидные денежные, временны/е и кадровые ресурсы, предоставить которые готовы далеко не все компании. Однако значимость рискового фактора для сохранения конкурентоспособности в условиях современной экономики постоянно растет, а вместе с ней увеличивается и спрос на соответствующие приложения. Судите сами, современный бизнес почти каждый день сталкивается с такими явлениями, как волатильность финансовых рынков, экономические, политические и социальные кризисы, резкое изменение рыночной конъюнктуры и т. д. В России к этому перечню еще стоит добавить известное давление со стороны государственных надзорных структур. Становится очевидным, что просто закрывать глаза на все эти потенциальные источники рисков уже нельзя. Большинство современных автоматизированных систем управления самого разного назначения, от ERP до Business Intelligence, комплектуется риск-модулями, и вполне вероятно появление в ближайшем будущем отдельного сегмента ERM-систем (Enterprise Wide Risk Management), пока представленных на рынке довольно скудно.

ERM-системы окажутся полезными в таких областях, как реализация маркетинговой политики, инвестиционная деятельность, соблюдение установленного порядка планирования и бюджетирования, создание управленческой отчетности, защита от юридических рисков, контроль за соблюдением лимитов, работа компании в чрезвычайной ситуации, управление кадрами, а также обеспечение физической безопасности (охрана, противопожарная служба). На сегодняшний день практически все существующие ERM-системы могут функционировать в четырех основных режимах: обычном, который применяется в стандартных условиях повседневной работы; контролирующем - активизируется на уровне отдельных департаментов при первых признаках повышения рискового уровня; чрезвычайном, подразумевающем переход в "боевую готовность" всех подразделений после того, как уровень тех или иных рисков превысит критическую черту; отладочном, используемом во время тестирования системы или интеграции новых модулей.

ERM-системы обеспечивают управление рисками на уровне корпоративного капитала, поскольку анализ различных факторов риска ведется в единой среде. Концепция ERM пришла на смену другому подходу, выражавшемуся в параллельном функционировании не интегрированных между собой решений для разных типов рисков: рыночных, кредитных, операционных и т. д. Она стала практическим воплощением новой финансовой стратегии ряда компаний, проявившейся в 90-е годы, - стратегии, в рамках которой риск-менеджменту впервые отводилось одно из центральных мест. Данный подход получил название макрориск-менеджмента по аналогии с существовавшим в 80-е годы микрориск-менеджментом - своеобразным "каменным веком" отрасли, когда управление рисками было второстепенной задачей отделов планирования. В рамках ERM-подхода находят применение такие технологии, как drill-down и what-if. При реализации drill-down система позволяет детализировать риски от уровня корпорации в целом до конкретных отделов, групп рисков, типов операций и даже отдельных сделок и проектов. Инструменты what-if дают возможность прогнозировать изменения уровней рисков после совершения тех или иных операций.

На рынке систем

Как уже упоминалось, на рынке ERM-систем существует не так много тиражных продуктов, а те, что есть, ориентированы прежде всего на финансовый сектор - в основном на банки и страховые компании. Многие организации предпочитают использовать собственные разработки, поскольку они не требуют особых затрат, и к тому же в этом случае наиболее полно учитываются все актуальные для конкретной организации риски, и только они. Такая ситуация характерна в первую очередь для предприятий, ведущих какой-либо специфический бизнес. А вот производителям массовых решений во избежание негативного эффекта "коробочности" приходится создавать системы с многомодульной структурой. К недостаткам заказных решений следует отнести сложности с интеграцией и отсутствие долгосрочных гарантий. Впрочем, последний вариант нередко единственно возможный в том случае, если ИТ-инфраструктура и бизнес-процессы компании не поддерживаются продуктами от мировых лидеров в области разработки ERM-систем. К таковым можно причислить, в частности, следующие компании:

- QRM (Quantitative Risk Management) - ведущий американский разработчик банковского ПО, предлагающий четыре комплексных продукта: Balance Sheet Management Systems, Budgeting and Profitability Systems, Mortgage Banking Secondary Marketing System и Mortgage Servicing Valuation and Accounting System;

- RiskMetrics Group, специализирующаяся в первую очередь на управлении рыночными (системы RiskManager и RiskServer) и кредитными (комплекс Credit Solutions c модулями: CreditGrades, CreditManager, CDO Manager и Credit Exposure) рисками;

- Kamakura, представленная на рынке в основном своим продуктом KRM (Kamakura Risk Management), включающим семь модулей и поддерживающим все традиционные виды рисков и методы оценки/управления;

- SAS, пожалуй, наиболее активно продвигающая свои продукты в России. Ее визитная карточка - комплексное решение Risk Dimensions, состоящее из следующих модулей: - оценка и анализ рыночных, кредитных и других типов финансовых рисков; - доступ к коммерческим БД (Reuters, Bloomberg и др.); - статистический анализ и прогнозирование; - визуализация и анализ временных рядов; - оперативная аналитическая обработка данных (OLAP); - средства интеграции внешних функций и моделей.

Возможности как Risk Dimensions, так и ее конкурентов впечатляют, однако приобретение их продуктов далеко не всегда по карману среднестатистической российской компании. А потому по уже успевшей сформироваться на отечественном ИТ-рынке традиции среднюю нишу активно осваивают российские разработчики. Среди них:

- IntersoftLab - система "Корпорация Контур. Финансовое управление", тесно интегрированная с хранилищем данных "Корпорация Контур";

- ЦеСИ (Центр статистических исследований) - система RiskControl, поддерживающая широкий спектр математических методов оценки рисков;

-  "Прогноз" - система "Прогноз. Риск-менеджмент". Мало чем уступающая зарубежным аналогам ERM-система, реализующая основные математические методы оценки и анализа рисков;

- "СофтВел" - система Resourse NAVIGATOR. Профиль деятельности компании - комплексная банковская автоматизация, что нашло отражение и в наборе функций управления рисками.

В общем, "безрыбье" российским компаниям, в особенности банкам, решившим всерьез заняться управлением рисками, не грозит. Будем надеяться, что на отсутствие улова не будут жаловаться и разработчики соответствующего ПО. Все же риск-менеджмент - неотъемлемая часть современного бизнес-управления, а значит, и бизнес-культуры, к которой российское деловое сообщество стремится вот уже более десяти лет.