— Сергей, какие тренды в области GRC-систем (Governance, Risk, Compliance) учитывали разработчики в 2023-2024 годах?

— Наиболее актуальных трендов — три. Первый — это рост спроса на использование искусственного интеллекта со стороны крупных банков, которые стремятся автоматизировать процессы управления рисками. Второй тренд — интеграция всех функций управления рисками и внутреннего контроля с внутренним аудитом в одном решении, позволяющем выстроить непрерывный и взаимосвязанный процесс управления тремя линиями защиты: бизнесом, подразделениями управления рисками и внутреннего аудита. Еще одно преимущество такой централизации — возможность переиспользовать результаты работы смежных подразделений. Третий тренд, которому следует наша команда разработки, — обогащение атрибутами. Конечному пользователю сегодня нужны инструменты low-code/no-code для гибких настроек жизненных циклов и экранных форм.

— Чем в управлении рисками и в процессах внутреннего аудита банкам может помочь ИИ?

— Качественно обученные нейросети способны заменить человека в аналитических процессах. Например, интеграция в GRC-систему ML-моделей, способных автоматически из проводок выявлять потенциальные события операционного риска, позволяет одновременно снизить нагрузку на риск-менеджеров и увеличить объем обрабатываемой информации, обеспечивая полноту данных.

Также генеративные модели могут помогать сотрудникам первой линии защиты в банке, оперативно отвечая на их вопросы, связанные с управлением рисками. Такой чат-бот освобождает менеджеров от рутинных задач и способствует повышению риск-культуры в банке.

Еще одно применение генеративных моделей, которое требует более глубокого обучения модели, — формирование мероприятий по минимизации риска, составление списка контрольных процедур, а также описание самих рисков.

— Насколько сильны регуляторные требования к GRC-системам?

— Требования по управлению процессами в сфере операционного риск-менеджмента изложены в Положении Банка России № 716-П, а также в расчетах размера операционного риска.

При разработке нашего комплексного решения мы реализовали вариативную ролевую модель и гибкую настройку жизненного цикла событий в решении, чтобы заказчики имели возможность кастомизировать его под управление «своими» видами операционного риска: риском информационной безопасности, риском информационных систем, правовым риском и тому подобным, как этого требует Банк России.

Пул новых регуляторных требований по аутсорсингу и рискам недобросовестного поведения, который, как ожидается, вступит в силу в октябре 2025 года, мы готовы оперативно поддержать, когда финальный вариант будет опубликован Центробанком.

Подсистема учета событий позволяет сформировать подборку данных, облегчающую выполнение требований положения по обеспечению операционной надежности в банках и компаниях, которые относятся к числу профессиональных участников рынка ценных бумаг. Атрибутивный состав таких событий и инцидентов операционной надежности позволяет учесть все классификаторы и параметры, а также рассчитать показатели, которые требует регулятор.

Сергей Степаненко, директор дивизиона технологического развития управления рисками и ALM компании «Т1 Иннотех»

Лучшие практики управления операционными рисками, еще не закрепленные ЦБ РФ в нормативных документах, закрывает наш сервис ОРИКС. Банк России упоминает о том, что при сценарном анализе необходимо учитывать события, которые в целом происходят на российском финансовом рынке, а ОРИКС дает каждому его участнику возможность сравнить уровень операционного риска с обобщенными данными других банков.

Сервис берет за основу локальную отчетность. Банк России очень глубоко продумал насыщенную деталями классификацию, с разных сторон описал все виды убытков, понесенных от реализации операционного риска, установил ключевые показатели уровня риска. Все это позволяет составить полное представление о положении дел в той или иной кредитной организации. И сервис сравнительной аналитики показывает каждому банку, как соотносятся его результаты с результатами ближайших к нему конкурентов. При этом «метрику близости» (размер активов, тип банка и другие параметры) он задает сам.

В планах команды продукта ОРИКС — запуск сервиса внешних событий. Эти унифицированные, шаблонированные, с правильной подачей информации текстовые сообщения, основанные на анализе большого пула СМИ, могут дать риск-менеджерам банков полезные инсайты и использоваться ими для моделирования.

— Каков на сегодняшний день уровень проникновения вашего сервиса в банки?

— Сегодня инструменты для повышения риск-менеджмента интересны в первую очередь банкам из топ-30, но мы уверены, что ОРИКС будет полезен и средним, и даже небольшим банкам. Ведь чем меньше кредитная организация, тем более представительной будет выборка компаний, с которыми она может себя сравнивать. Банки второй полусотни располагаются кучно, и объектов для сравнения может быть больше трех.

— Какие факторы сдерживают проникновение сервиса сравнительной аналитики в банки?

— В России информация о случаях наступления операционных рисков считается крайне чувствительной, а культура раскрытия ошибок, на которых могли бы учиться другие, практически не сформирована. Как правило, против того, чтобы делиться такими данными, выступают службы, смежные с теми, что управляют рисками.

Именно поэтому облачный сервис ОРИКС, который подтвердил соответствие требованию ГОСТ Р 57580, все еще вызывает опасения некоторых внутренних пользователей в банках, пока не готовых передавать в общую систему собственную информацию. Иными словами, пока не все банки понимают ценность сравнительной аналитики для управления рисками.

— Не так давно вы объявили, что импортозаместили IT-систему для расчетов рисков при кредитовании в ВТБ. Чем может быть полезен другим банкам этот продукт?

— ВТБ требовалось перейти с зарубежного решения на импортонезависимое ПО для расчета активов, взвешенных с учетом риска. При этом банку был нужен современный и свободный технологический стек. Наша команда разработала RWA–калькулятор на технологиях открытого кода. У него два модуля оценки — по стандартизированному методу и с использованием подхода на основе внутренних рейтингов (ПВР). А поскольку мы планировали решение тиражировать, его нужно было сделать либо универсальным, либо очень гибким, способным адаптироваться к внутренним методологиям любых банков. Мы выбрали второй путь: предоставили бизнес-пользователям возможность через интерфейс с помощью настроечных таблиц задавать алгоритмы расчетов для большей части функционала.

— Какие возможности получает банк с использованием инструментов прогнозирования риск-метрик по процентному риску, риску ликвидности и управления динамическим балансом?

— Менеджмент приобретает инструмент для всесторонней оценки эффектов от принимаемых решений, в том числе тактических и стратегических шагов с учетом соотношения риск/доходность. Также можно анализировать потенциальные результаты изменения плановых объемов различных портфелей, структуры срочности продуктов или процентных ставок. Кроме того, эти сервисы позволяют прогнозировать состояние регуляторных метрик (нормативов) и т.д. Мощный движок поддерживает моделирование множества сценариев развития событий, обеспечивая тем самым устойчивость бизнеса.

— С какими ключевыми сложностями приходится сталкиваться в проектах внедрения решений этого класса?

— Внедрение промышленной аналитической системы порождает множественные вызовы. Все хотят сразу получать преимущества от ее использования, но для этого необходимы тщательная подготовка, сбор и систематизация входных данных, настройка интеграционных взаимодействий.

Настоящий прорыв в автоматизации, а значит — в качестве принимаемых бизнес-решений, возможен только при совместной работе поставщика ПО и клиента. Такое взаимодействие приводит к росту экспертизы в части ALM у пользователя, что позволяет реализовать возможности системы в полном объеме.