Мировое сообщество идет к более эффективному управлению банковскими рисками, внедряя новые базельские стандарты, и того же направления придерживается Банк России. При этом ЦБ РФ обращает внимание, что без соответствующих IT-систем переход на продвинутые методы невозможен.
В ходе конференции SAS RISK FORUM, прошедшей в Москве 21 октября 2014 года, Михаил Бухтин, начальник управления моделирования рисков департамента банковского регулирования Банка России, рассказал о планах внедрения Центробанком продвинутых подходов к оценке рисков в рамках перехода на стандарт Базеля II. Подход на основе внутренних рейтингов к расчету кредитного риска (ПВР) является альтернативой стандартизированному подходу к оценке кредитного риска, предполагающему использование фиксированных коэффициентов кредитного риска по различным группам активов, которые определяются регулятором.
В феврале 2014 года на официальном сайте Банка России были опубликованы проекты нормативных документов, определяющих порядок расчета величины кредитного риска на основе внутренних рейтингов и порядок рассмотрения Банком России ходатайств банков о применении подхода на основе внутренних рейтингов к расчету кредитного риска. В марте 2014 года прошло обсуждение этих проектов с банковским сообществом, и вступление в силу принятых документов планируется с 1 марта 2015 года.
Пока данный подход планируется применять только для банков, размер активов которых на дату подачи ходатайства о получении разрешения составляет свыше 500 млрд рублей. Переход на продвинутые методы оценки кредитных рисков эти банки могут осуществлять в добровольном порядке, начиная с 1 марта 2015 года, при условии получения разрешения со стороны Банка России. При этом Михаил Бухтин отметил, что и другим банкам ничто не мешает готовиться к такому переходу.
Представитель Центробанка также указал, что хотя данный переход является добровольным, как только банки согласились на его применение, это накладывает на них ряд очень серьезных обязательных требований, это не просто «какой-то проект риск-менежмента». Внутрибанковские рейтинговые системы подлежат проверке на предмет соответствия минимальным требованиям как на момент подачи заявки в регулирующий орган на использование ПВР в целях расчета достаточности капитала, так и в процессе его применения банком после получения такого разрешения. Минимальные требования предъявляются к классификации кредитных требований и определению дефолта; к корпоративному управлению и внутреннему аудиту; к системе стресс-тестирования; к разработке моделей параметров риска; к построению и использованию рейтинговых систем; к глубине и качеству статистических данных; к информационным системам и их валидации.
Михаил Бухтин особенно отметил, что многие банки до сих пор не готовы подключать IT-подразделения к этой работе: «Мы пишем, что, например, поддержка количественных моделей оценки кредитных рисков должна быть частью IT-стратегии банка, должна контролироваться советом директоров и должны выделяться бюджеты и ресурсы. А некоторые банки пишут: “А зачем? У нас в IT-стратегии этого нет. Пусть это будет частью стратегии управления рисками”». Это, по мнению представителя Центробанка, говорит о том, что роль и место IT в поддержке количественных моделей в этих банках очень сильно занижены.
«Может быть, это какая-то доморощенная система для расчета, но не интегрированная в общее IT-пространство организации, — заметил Михаил Бухтин. — А здесь должен быть сквозной поток обработки данных. Поэтому мы все равно будем настаивать, если будем давать разрешение на расчет требований к капиталу, чтобы это проходило через все области деятельности банка, включая высшее руководство, IT-подразделение, информационную систему, риск-менеджмент, бизнес-процесс кредитования. Потому что если это будет просто расчетная система, которая живет сама по себе, а система деятельности банка, принятия решений и мониторинга будет жить отдельно, то тогда основная цель недостижима, тогда нужно оставаться на стандартизированном подходе».
В качестве итога Михаил Бухтин посоветовал банкам меньше увлекаться моделями количественной оценки, рейтингованием и т. д. и все-таки обратить внимание на интеграцию с данными, на IT-платформы, потому что на них ЦБ РФ будет базировать свою оценку готовности банка к такому серьезному шагу, как расчет капитала на основе новых продвинутых подходов.
Пока, как заметил Михаил Бухтин, из 12 банков с капиталом свыше 500 млрд рублей полной готовности нет ни у одного, всем нужно работать от трех до шести месяцев.
На вопрос аудитории, будут ли применяться продвинутые подходы к расчету операционных рисков, Михаил Бухтин ответил, что Центробанк просто не видит интереса банков к этой теме. По его словам, только один банк изъявил желание работать с операционными рисками с применением продвинутого подхода. И если банки хотят, чтобы ЦБ РФ включил такой переход в план работ, им нужно быть активнее — как минимум написать соответствующее письмо в Банк России. То же касается и применения продвинутого подхода в расчете рыночных рисков.
Конечно, у банков остается вопрос, эффективен ли вообще переход на Базель II, и соответствующий вопрос был задан аудиторией. В ответ представитель ЦБ заметил, что вопрос не только в эффективности, а это «политический мейнстрим», которому нужно следовать, иначе у банков будут проблемы с привлечением зарубежных инвестиций. При этом, по его словам, Базель II действительно помогает банкам, а вот Базель III приносит ужесточение, «чтобы банкиры не заигрывались», поскольку банки — третий элемент финансовой структуры государства.
МНЕНИЕ ЭКСПЕРТА
Владимир Кузнецов, Заместитель руководителя практики аудита и консалтинга компании «Астерос Информационная безопасность» Астерос.
При проведении оценки эффективности использования системы управления рисками информационной безопасности (СУРИБ) в финансовой организации немаловажное значение имеет возможность ее интеграции в единую систему управления рисками (Enterprise Risk Management, ERM). При этом следует обратить внимание на наличие автоматизированного сбора исходных данных, необходимых для оценки рисков. Например, перечня активов и уязвимостей. Это может быть реализовано с помощью SIEM-систем. Наравне с этим защищаемые активы необходимо связать с бизнес-процессами компании.
Процессы СУРИБ должны быть реализуемы на практике, а алгоритмы оценки — обеспечивать сравнимые результаты. Это дает возможность отслеживать динамику уровня рисков за необходимый период. Соблюдение этих принципов позволяет выстроить эффективную СУРИБ, которую можно использовать для принятия обоснованных решений руководством финансовой организации.
С точки зрения функциональности СУРИБ должна обеспечить ведение и актуализацию перечней активов финансовой организации, каталога угроз ИБ, а также определение соответствия «угроза-актив». При анализе вероятности рискового события и ущерба от него необходимо предусмотреть как количественную, так и качественную их оценку. Кроме того важно, чтобы СУРИБ давала возможность оценивать «чистые» и «остаточные» риски ИБ, задавать уровень значимого риска ИБ и варианты обработки, а также формировать план реализации защитных мер. Стоит отметить, что автоматизация процессов управления рисками ИБ позволяет значительно повысить качество их выполнения.
Стоит отметить, что реализация СУРИБ, отвечающей описанным выше критериям и параметрам, позволяет значительно повысить эффективность функционирования всей системы управления рисками организации. В качестве «помощника» для решения этой задачи нами разработана автоматизированная методика оценки и обработки рисков ИБ.
Начать дискуссию