Основные положения кодекса управления финансовыми рисками

«Эксперт РА» предлагает банкам и финансовым компаниям обсудить и внедрить в деловую практику применение единых правил в сфере построения систем риск-менеджмента, сформировав кодекс управления финансовыми рисками. Введение и применение публичного единого стандарта управления рисками в финансовых компаниях должно помочь участникам рынка стать надежнее и привлекательнее в глазах потребителей услуг, контрагентов, инвесторов, государства, а в масштабах экономики – не допустить повторения кризисных ситуаций 2008–2009 годов.

В ходе присвоения свыше 300 рейтингов кредитоспособности и надежности компаниям финансового сектора «Эксперт РА» накопил уникальную базу данных о действующих практиках риск-менеджмента финансовых компаний и банков. Обобщив эти знания, а также проведя ряд интервью с топ-менеджерами и специалистами банков, УК, НПФ, страховых компаний, мы сформулировали основные положения кодекса управления финансовыми рисками. Эти положения могут стать основой для единого стандарта организации систем риск-менеджмента для российского финансового рынка.

Сфера возможного применения кодекса управления финансовыми рисками.

1. Основные положения кодекса управления финансовыми рисками направлены на унификацию стандартов риск-менеджмента на российском финансовом рынке, повышение прозрачности финансовых институтов и рост доверия населения, инвесторов и органов власти к финансовому рынку.

В настоящий момент процесс управления финансовыми рисками на финансовом рынке России фактически никак не регламентирован. Каждая компания создает систему риск-менеджмента с нуля, руководствуясь западным опытом и отчасти – рекомендациями ЦБ РФ, пытающегося привить минимальные стандарты на банковском рынке. Ситуация, при которой внешние пользователи не способны получить информацию о качестве системы риск-менеджмента, снижает доверие к финансовым институтам, которое и так подорвано кризисом 2008–2009 годов.

2. Компании объявляют о своем присоединении к кодексу путем публикации соответствующего сообщения в средствах массовой информации или на корпоративной странице в сети Интернет.

Введение кодекса регулятором какого-либо рынка пока фактически невозможно (за исключением банковского рынка), поскольку даже минимальные требования к риск-менеджменту способны выполнить не более 10% участников страхового или пенсионного рынка и не более 20-30% участников рынка доверительного управления активами. Необходимо введение общих правил игры, которые, будучи изначально добровольными, стали бы постепенно правилом делового оборота, а в будущем послужили бы основой требований регуляторов.

3. Кодекс является обязательным для исполнения компаниями, заявившими о своем присоединении к кодексу. Контроль исполнения положений кодекса осуществляется рейтинговым агентством «Эксперт РА».

Компании, присоединившиеся к таким общим положениям, должны их соблюдать, т. к. в противном случае это дискредитирует саму идею единых минимальных стандартов риск-менеджмента. Контроль соблюдения возможен, например, через механизм регулярной сертификации.

А. Общие положения

1. Знание риска. Компания (группа компаний) должна самостоятельно выявлять, оценивать риски, возникающие в ходе ее деятельности, а также риски внешней среды, и предпринимать шаги по их контролю и снижению до приемлемого уровня.

В настоящий момент наиболее продвинутые в сфере управления рисками компании самостоятельно отслеживают риски, возникающие в ходе их деятельности. В то же время на страховом и пенсионном рынках имеет место быть практика аутсорсинга риск-менеджмента в аффилированные структуры, что провоцирует возникновение конфликта интересов и снижает эффективность риск-менеджмента.

2. Обязательность риск-менеджмента. Процедуры риск-менеджмента должны применяться ко всем финансовым операциям компании вне зависимости от надежности и давности сотрудничества с контрагентами.

На финансовом рынке распространена порочная практика, при которой при анализе риска по связанным сторонам процедуры оценки уровня риска проводятся не в полном объеме. Примеры – дефолты ряда банков, а также затруднения НПФ и СК – наглядно показывают высокую степень риска подобной практики.

3. Регламентация. Наличие системы управления рисками должно быть документально закреплено на уровне компании (группы компаний). Методики и регламенты, применяемые в ходе управления рисками, а также порядок их обновления, должны также быть закреплены документально.

Недостаточная регламентация системы управления рисками является серьезным фактором риска в случае обновления ключевого персонала компании. Кроме того, отсутствие регламентации обновления методик повышает вероятность устаревания используемых методов, а также непоследовательность в их использовании.

4. Обособленность. Подразделение, ответственное за управление рисками, должно быть организационно обособлено от подразделений, генерирующих риски.

Ситуация, при которой компенсация риск-менеджмента зависит от объема продаж, противоречит идее функционирования риск-менеджмента в силу возникновения конфликта интересов. Кроме этого, для более добросовестного исполнения своих обязанностей желательно выстраивание «китайской стены» между риск-менеджментом и подразделениями, чью деятельность он должен контролировать. Для принятия независимых решений целесообразна организация службы риск-менеджмента с прямым подчинением руководителю компании.

5. Опыт. Сотрудники подразделения, ответственного за управление рисками, должны иметь достаточный опыт деятельности в сфере финансового анализа и профильное образование.

Крайне опасна ситуация, когда существует формальный риск-менеджмент, осуществляемый некомпетентными или недостаточно подготовленными сотрудниками исключительно «для галочки».

6. Коллегиальность. В компании должен действовать коллегиальный орган, определяющий политику компании в сфере управления рисками (комитет по рискам). В случае наличия указанного органа в его состав должны обязательно входить представители подразделения, ответственного за управление рисками.

Значимые решения в любой компании финансового сектора должны приниматься коллегиальным органом для снижения вероятности субъективной ошибки и реализации рисков человеческого фактора. Коллегиальный орган (комитет) обязательно должен состоять более чем из одного человека. Также желательно наличие права вето представителей службы риск-менеджмента на принятие решений, имеющих критическое влияние на надежность компании.

7. Сохранение записей. Решения коллегиальных органов, ответственных за управление рисками, а также решения специализированных служб риск-менеджмента должны протоколироваться. Протоколы принятых решений, а также информация, ставшая основанием для их принятия, должны храниться компаниями в течение длительного периода времени.

Протоколирование решений коллегиальных органов и сохранение этих протоколов – важный элемент постконтроля, а также разделения ответственности за принятые решения. Протоколирование позволяет наладить эффективный контроль за исполнением принятых решений.

Б. Функции риск-менеджмента

1. Выявление риска. Своевременное выявление и оценка макроэкономических, кредитных, рыночных рисков, рисков ликвидности и рисков контрагентов по всем видам операций компании, возникающи как при проведении операций, так и при изменении внешних и внутренних условий бизнес-среды.

Служба риск-менеджмента должна выявлять все возможные риски, возникающие в результате принятия того или иного решения. Представители службы должны занимать максимально консервативную позицию по всем вопросам, находящимся в их поле ведения. Степень консервативности может устанавливаться руководством компании.

2. Снижение риска. Принятие решений по снижению уровня риска в компании, в т. ч. наличие права вето на решения, способные кардинально увеличить уровень принимаемого риска.

Основная деятельность службы риск-менеджмента – определение величины риска, который компания готова на себя принять, а также принятие решений по управлению риском внутри системы и передачи его вовне. Право вето со стороны риск-менеджмента позволяет гарантировать учет интересов риск-менеджмента при принятии решений.

3. Мониторинг. Мониторинг соблюдения установленных лимитов. Выявление и доведение до сведения комитета по рискам, а так же руководителей соответствующих подразделений всех случаев превышения лимитов.

Установленные внутри компании ограничения по уровню принимаемого риска должны неукоснительно соблюдаться. Контролировать этот процесс должны специальные сотрудники, чья компенсация не зависит от дохода компании.

4. Информирование. Предоставление руководству компании отчетов о величине риска, отчетов о состоянии лимитов и о нарушениях установленных лимитов.

Нарушение установленных внутри компании ограничений по уровню принимаемого риска должно наказываться. Руководство должно быть в курсе уровня принимаемого риска.

5. Обновление методик. Осуществление пересмотра методологий и моделей, используемых для измерения параметров рисков и степени подверженности риску с целью их соответствия существующей на финансовом рынке ситуации.

Используемые компаниями методики не могут существовать в отрыве от экономической ситуации. Необходимо регулярное обновление используемых методов, как на основе исторического опыта, так и макроэкономических прогнозов.

6. Сбор информации. Осуществление сбора справочной информации с целью анализа отдельных инвестиционных проектов и финансовых операций.

Сбор информации и статистики для целей риск-менеджмента другими подразделениями или внешними информационными агентствами повышает вероятность использования неполной/недостоверной информации.

В. Полномочия службы риск-менеджмента

1. Доступ к информации. Процедуры обмена информацией между подразделениями, принятые в компании, должны обеспечить беспрепятственный и своевременный доступ представителей службы риск-менеджмента к любой информации, способной оказать материальное влияние на финансовое положение компании.

Наличие в некоторых компаниях сложного документооборота между подразделениями и жесткой регламентации доступа к информации не должно являться препятствием для осуществления службой риск-менеджмента своих функций. Оперативный доступ к информации о деятельности подразделений является одним из залогов успешного функционирования службы риск-менеджмента.

2. Консультирование. Служба риск-менеджмента имеет право принимать решения и давать консультации по конкретным вопросам в пределах своей компетенции.

В случае наличия тех или иных сомнений сотрудники подразделений компании должны иметь возможность в рабочем порядке задавать вопросы представителям службы риск-менеджмента и получать ответы.

3. Лимитирование. Право, учитывая факторы подверженности риску, устанавливать и изменять при согласовании с комитетом по рискам соответствующие лимиты.

Служба риск-менеджмента должна рассчитывать максимальный объем риска на одного контрагента, а также максимальный объем каждого вида риска, который компания готова принимать на себя. Указанные лимиты должны утверждаться коллегиально, комитетом по рискам или аналогичным органом.

4. Внешние коммуникации. Служба риск-мендежмента имеет право взаимодействовать с контрагентами/эмитентами (или представителями эмитентов в лице организаторов размещений) для открытия и/или пересмотра лимитов.

Сложная бюрократизированная процедура по взаимодействию с контрагентами, существующая в ряде компаний, существенно затрудняет своевременность предоставления информации службе риск-менеджмента. Эффективная служба риск-менеджмента нуждается в праве взаимодействия с контрагентами в рабочем порядке.

5. Доступ к руководству. Право напрямую вносить на рассмотрение первого лица компании информацию о тех или иных рисках, которым подвергается компания.

Представители службы риск-менеджмента должны иметь возможность выносить информацию на рассмотрение первого лица компании вне зависимости от формальной структуры подчинения. Отсутствие такой возможности потенциально ведет к несвоевременному информированию руководства компании о рисках ее деятельности.

6. Повышение квалификации. В целях повышения квалификации сотрудники службы риск-менеджмента должны иметь право проходить обучение, участвовать в деловых встречах и семинарах.

Представители службы риск-менеджмента не должны быть ограничены в формировании сети профессиональных знакомств, поскольку такая сеть является основным источником информации в случае внезапной непрозрачности контрагентов, вызванной ухудшением их финансового положения.

7. Контроль. Служба риск-менеджмента имеет право блокировать (до решения соответствующего комитета) действия, результатом которых может стать принятие на себя компанией чрезмерных рисков.

Служба риск-менеджмента должна обладать правом вето в отношении обычных операций компании в случае если продолжение таких операций ведет к принятию компанией чрезмерных рисков. Сложившаяся ситуация и предложения по ее решению должны выноситься на рассмотрение коллегиального органа в кратчайшие сроки.

Г. Анализ

1. Целостность анализа. При анализе рисков компания должна использовать как количественные, так и качественные методы анализа.

Использование максимально широкого спектра методов анализа позволяет максимально полно оценить риски, принимаемые компанией, а также снижает вероятность некорректной оценки.

2. Общепринятость. Наряду с собственными разработками компании должны использовать и методы анализа рисков, получившие распространение на финансовом рынке и признаваемые профессиональным сообществом.

Компании должны использовать проверенные временем и рынком методы анализа. Часто использование «уникальных» моделей ведет к некорректным результатам и некорректным выводам.

3. Регулярность. Мониторинг ключевых видов риска, которым подвержена компания, должен осуществляться на регулярной основе. Расчет количественных показателей риска должен осуществляться не реже, чем раз в месяц.

Волатильность мировых и российских рынков диктует необходимость регулярного анализа рисков, которым подвергается компания. И хотя мониторинг состояния компаний нефинансового сектора чаще чем раз в квартал затруднен, анализ изменения среды, в которой эти компании функционируют, обязателен чаще – по мере изменения конъюнктуры рынка.

4. Стресс-тестирование. Компания должна проводить тестирование своей устойчивости к ключевым видам риска на регулярной основе.

Проведение стресс-тестирования является важнейшим элементом подготовки компаний к кризисам на финансовых рынках. При этом периодичность стресс-тестирования должна зависеть от макроэкономической обстановки: если в «мирное» время оно допустимо на ежеквартальной основе, то в кризис желательно его проведение ежемесячно. Стресс-тестирование устойчивости к рыночным рискам должно проводиться чаще, чем к кредитным рискам.

5. Мультивариантность. Стресс-тестирование должно проводиться с использованием не менее чем двух сценариев.

Использование более чем одного сценария повышает вероятность разработки компанией адекватного плана поведения в чрезвычайных условиях. При этом желательно формирование сценариев не только на основе исторических, но и гипотетических событий.

Создание полного текста кодекса и его применение

Создание кодекса должно проходить при участии всех заинтересованных сторон – представителей банков и финансовых компаний, профессиональных объединений и СРО финансового рынка, инфраструктурных компаний. Также в этом процессе важна позиция регуляторов финансовых рынков. Для эффективной реализации проекта «Кодекс управления финансовыми рисками» «Эксперт РА» предлагает создать рабочую группу из числа заинтересованных участников рынка, профессиональных объединений и органов власти. Результатом деятельности рабочей группы должен стать полный текст кодекса, формализованные правила присоединения к кодексу, контроля соответствия деятельности компаний требованиям кодекса, а также правила исключения компаний из числа соответствующих кодексу.

Применение кодекса. Кодекс должен стать важным инструментом для развития цивилизованной конкуренции на финансовом рынке и повышения надежности всех его участников. Кодекс управления финансовыми рисками может использоваться различными СРО и профессиональными объединениями в качестве одного из критериев членства или аккредитации при них. Соответствие кодексу также должно стать распространенным требованием для участия в тендерах на предоставление финансовых услуг. Кодекс рекомендуется к принятию органами власти в качестве важного элемента для формирования регуляторных требований к организации системы риск-менеджмента финансовых компаний.