История Жерома Кервеля, трейдера Societe General, проводившего торговые операции "на стороне", вызвала широкий резонанс по всему миру, заставив вспомнить Ника Лисона и прочих трейдеров, поставивших крупные банки на грань разорения. Возможно ли повторение похожей истории у нас, в России? Это выяснял корреспондент Ъ МАКСИМ ИВАНОВ.
С одной стороны, мошенничество сотрудников компании относится к ее внутренним проблемам. Однако в случае с Societe General история с трейдером-энтузиастом, наторговавшим на "лишних" √4,9 млрд убытков, перестала быть внутренней проблемой банка. Она переросла в масштабную силу, определившую, в числе прочего, и монетарную политику США, пусть и на небольшой срок вызвав панику на европейских торговых площадках, которая стала толчком к снижению ставки ФРС в январе.
Возможно все
По мнению Ольги Балакиревой, начальника управления анализа рисков ОАО "Банк БФА", сложно представить повторение такой ситуации в России: "Во-первых, у наших акционеров и инвесторов не сформировалось настолько сильное доверие к управляющим, чтобы делегировать огромные полномочия одному лицу. Во-вторых, в западных компаниях основной упор при построении системы риск-менеджмента делается на автоматизацию, где риск-менеджеры привыкли доверять системе, в то время как в России уровень автоматизации ниже и риск-менеджерам чаще приходится работать с первичными источниками информации. В-третьих, в России лучше развиты процедуры проверки сотрудников службой внутренней безопасности и личная неформальная ответственность каждого трейдера".
Впрочем, особо уповать на техническую отсталость как панацею от пресловутого человеческого фактора не приходится, считает большинство экспертов.
"Апеллируя к случаю с Societe General (когда действия одного человека фактически никак не ограничивались и решения принимались единолично), можно сказать, что в такой ситуации как раз-таки и могут возникать подобные колоссальные потери, — уверен начальник отдела управления рисками "КИТ Фортис Инвестментс" Дмитрий Тимофеев. — Если бы у Жерома Кервеля были ограничения (лимиты) на его индивидуальную позицию, если бы все его возможные операции были бы просчитаны отделом риск-менеджмента (и с учетом вероятных потерь как раз были бы выставлены лимиты) — то я более чем уверен, что банк не понес бы таких потерь. Поэтому в любом банке, инвесткомпании, где службы внутреннего контроля и риск-менеджмента существуют только номинально (или не функционируют должным образом, не контролируют бизнес-процессы по всей вертикали компании), такие ситуации могут случиться с высокой вероятностью".
Представитель крупного банка, пожелавший остаться неизвестным, еще более категоричен: "Возможно все. И случаи, и примеры такие уже были — и в банковской системе, и даже в инвестиционных (управляющих) компаниях. И если в банковской системе такое происходило в большинстве случаев из-за собственников, то на фондовом рынке — из-за ошибок менеджмента".
Люди и процессы
Участники рынка делают акценты на разных аспектах эффективного риск-менеджмента, описывая, каким он должен быть. Так, по мнению Дмитрия Тимофеева, залогом успешного функционирования любой системы безопасности и контроля является жесткая формализация и регламентация всех операций, процессов и принимаемых решений. "Если существует четкое представление о том или ином бизнес-процессе, то такие знания позволяют довольно эффективно анализировать слабые стороны этого процесса, возможные угрозы, — полагает эксперт. — На основании этого анализа можно модифицировать бизнес-процесс и минимизировать количество "слабых звеньев". Но эти знания (даже если они верны, получаются и анализируются регулярно) — ничто, если данная информация не доходит (или поступает нерегулярно) до топ-менеджмента и людей, принимающих конечные решения. Вывод — любая система внутреннего контроля, безопасности, риск-менеджмента не является эффективной, если не обеспечивает непрерывность информационных потоков, и эти потоки не доходят до "центров концентрации рисков".
Главный трейдер Юниаструм-банка Михаил Королюк подчеркивает, что в любой системе безопасности самым уязвимым звеном являются люди. "Причем в одиночку, как правило, ничего серьезного 'наворочать' не удастся, — рассказывает он. — А вот если будет сговор нескольких человек, то возможно появление внушительных убытков, поскольку среди сговорившихся могут быть и сотрудники, отвечающие за систему безопасности. Принципиально закрыть такие возможности, скорее всего, невозможно. В общем плане должна быть налажена система мотивации персонала, особенно ключевого. Люди должны видеть светлую перспективу от нормальной квалифицированной работы".
Вместе с тем, грешить на систему риск-менеджмента (как на группу процессов, поставляющих адекватную информацию людям "сверху") в случае с Жеромом Кервелем можно лишь с оговорками. Ведь информация о странных операциях неоднократно доходила до руководства банка — и с бирж, на которых операции совершались, и из других источников. Однако пока трейдер зарабатывал деньги, никаких действий не предпринималось. Так что человеческий фактор тут сработал целых два раза. В данном случае чрезмерное честолюбие Кервеля срезонировало с жадностью "контролеров", которые готовы были закрывать глаза на "левые" сделки, пока они приносили прибыль. Выходит, что система дала течь не в одном месте, а в двух, и это тоже нужно принимать во внимание, выстраивая систему риск-менеджмента в России.
Реальные примеры
Несмотря на то, что в теории рассказать о правильном построении риск-менеджмента могут многие, информация эта, как правило, весьма общего характера. Конкретными ее воплощениями поделился Дмитрий Тимофеев. Четыре краеугольных камня, на которых базируется система риск-менеджмента, по его мнению, таковы: "Во-первых, служба внутреннего контроля и отдел управления рисками являются полностью независимыми подразделениями, что позволяет осуществлять объективный контроль. Кроме того, в компании на регулярной основе проводится внутренний аудит независимыми экспертами со стороны акционеров, что позволяет получить объективную оценку контроля во всей компании. Во-вторых, в компании существует двухуровневая система контроля рисков. Первый уровень (разработанные процедуры, регламенты, политики) сконцентрирован внутри самих бизнес-процессов и минимизирует вероятность возникновения и величину возможных потерь. Второй уровень находится над самими бизнес-процессами (система ключевых индикаторов риска) и позволяет оперативно отслеживать вероятность реализации негативных сценариев, служит основой для принятия решений. В-третьих, информация, получаемая службой внутреннего контроля и отделом управления рисками на регулярной основе доводится до топ-менеджмента компании и до ответственных подразделений. В-четвертых, в нашей компании все решения принимаются коллегиально (через различные комитеты), что минимизирует риск принятия неверного решения одним человеком (т.е. снижает так называемый человеческий фактор)".
Дополняет коллегу Ольга Балакирева, которая рассказывает, что на все активные операции компании установлены лимиты, соблюдение которых отслеживается службой риск-менеджмента, подотчетной непосредственно руководству компании. Также вся информация об оценке портфелей и сводных позиций сверяется с бэк-офисом и с информацией из торговой системы; отслеживается размер полномочий и объем средств под управлением одного управляющего, четко разграничены пользовательские и административные права доступа к отчетности и информации во внутренней системе в соответствии с должностными обязанностями сотрудников.