Риск-менеджмент в страховой компании – тренды и перспективы Ладыгина Елена Васильевна Советник генерального директора по управлению рисками АО «АльфаСтрахование»
|
Управление рисками сегодня пронизывает почти всю деятельности страховых компаний, их партнеров и клиентов. О том, как строится риск-менеджмент в крупной страховой организации в современных условиях и почему расходы на XBRL не убьют страховой рынок, порталу «Страхование сегодня» рассказывает советник генерального директора по управлению рисками «АльфаСтрахование» Елена Ладыгина.
Мария Жилкина,
Медиа-Информационная Группа «Страхование сегодня» (МИГ)
Елена Васильевна, как Вы оцениваете уровень риск-менеджмента в России и какой подход к рискам практикуется в вашей страховой организации?
Россия активно сокращает разрыв с ведущими странами в плане развития и внедрения комплексной интегрированной системы риск-менеджмента. В компаниях консорциума Альфа-Групп используется стандартизированный подход к рисками, предполагающий наличие трех линий защиты – и мы выстраиваем у себя риск-менеджмент таким же образом. Первая линия защиты – это наш бизнес. Все наши сотрудники фронт-офиса, андеррайтеры, аналитики реально являются риск-менеджерами. Любое событие несет в себе риск, который они должны оценить, просчитать, а затем принять, отклонить, митигировать или переадресовать вопрос своему руководству.
Вторая линия – риск-менеджмент как функция. Собираем и форматируем все возможные риски компании, формируя «вселенную рисков». В 2016 г. рисков было более 200, в 2017 – около 150. Часть мы сократили и скомпоновали, сгруппировав в соответствии со стандартной международной типологией: страховые, кредитные, операционные, рыночные, стратегические, и другие. Мы оцениваем эти риски по их величине и вероятности наступления.
Но требуется именно комплексный подход, который позволяет оценить риск угроз и перспективы, вероятность и величину возможных доходов и потерь. Не все риски очевидны и количественно оценены, иногда можно пропустить сложные корреляционные зависимости или, наоборот, предсказать возможные цепочки последующих событий и провести комплексный сценарный анализ.
Для того чтобы проверять и оценивать работу первых двух уровней существует третья линия защиты – внутренний аудит. Наши аудиторы проверяют полноту риск-вселенной, тестируют возможные сценарии развития событий, рассматривают адекватность оценки тех или иных рисков. Отслеживают, как работают с рисками на местах, задействованы ли все необходимые процессы распознавания, оценки, управления и потенциальной эскалации отдельных рисков. Это более высокий уровень контроля, который не подчиняется бизнесу, а непосредственно совету директоров.
Это действительно позволяет минимизировать риски?
Страховой бизнес с точки зрения риск-менеджмента очень не прост. Ведь основным продукт страховой компании и есть «риск-менеджмент» и опознание будущих рисков клиентов. Задача наших андеррайтеров состоит в том, чтобы правильно оценить каждый из таких рисков в отдельности и по портфелю в целом, тарифицировать его, оптимально определить широту покрытия и исключения из него. Что это, как ни базовый риск-менеджмент.
Поэтому в страховой компании, с одной стороны, существуют готовые предпосылки к принятию риск-ориентированного подхода, с другой стороны, необходима определенная осторожность, чтобы не произошло подмены корпоративного риск-менеджмента «продуктовым».
Отличается ли подход к управлению рисками в вашей страховой компании и в финансовой группе в целом?
Не отличается – подход, и в банке, и в страховой компании, и в любом другом бизнесе консорциума в целом, одинаков. Просто есть несколько различные риски, и по-разному проявляется их влияние.
Как на внутреннюю структуру риск-менеджмента страховщиков повлиял объявленный некоторое время назад регулятором переход на риск-ориентированные подходы в страховом надзоре?
Риск-менеджмент как функция, со штатом сотрудников, появился в «АльфаСтраховании» в конце 2014 г. Для компании создание подобного подразделения был назревшим решением и структура создавалась сознательно, чуть раньше чем Банк России предложил рынку риск-ориентированный подход. Регулятор совершил качественный скачок в работе, применив более строгий, банковский подход, что правильно. Но введение требований по наличию риск-менеджмента и внутреннего аудита – это лишь первая часть. Вторая часть риск-ориентированного подхода – это методология расчета наших резервов, оценки активов и т.д. Это регулятор тоже делает, но чуть медленнее, чем всё то, что связано со структурой, потому что это требует большей аккуратности. У каждой компании своя модель, и унифицировать это не так просто. Обязательным для всех страховщиков IFRS 9 станет только с 2021 г. И именно по этой причине нужно время, чтобы навести определенный порядок, и подтянуть все компании к нужному уровню.
Важный инструмент оценки систем риск-менеджмента – опросники, которые Банк России выдает на заполнение страховым компаниям. Уровень вопросов заметно повысился. И хотя Банку России еще предстоит очень большая работа, но уже первые шаги вселяют уверенность, что страховой надзор движется в правильном направлении.
Риск-менеджеры страховых компаний как-то взаимодействуют между собой? Может быть, у них есть профильные подразделения в СРО ВСС или какие-то рабочие группы?
Рабочие группы есть, кроме того мы регулярно общаемся по определенным вопросам – каско, ОСАГО, моделирования событий, борьба с мошенничеством. Но в этом участвует 3-5 компаний, у которых реально есть риск-менеджмент, и где осознают потребность в снижении рисков. Ведь основная задача не определить риск, и не оцифровать, а как его минимизировать, не свести до ноля, но хотя бы перевести из основного в остаточный – это уже большой путь. Остаточный риск тоже может быть достаточно велик, тогда компания делает выбор, что с ним дальше делать – принять риск, отказаться от него, перестраховать, копить свой резервный фонд и т.д. Но в любом случае грамотный владелец риска знает о нем.
Какими внутренними документами в страховых компаниях регламентируются все вышеописанные вещи?
У нас есть политика управления рисками, где прописаны подходы, градация, принципы работы с «матрицей рисков». «Матрицу рисков» и «вселенную рисков» мы актуализируем по мере изменения рисков. Мы также выбираем 10 ключевых рисков, к каждому из которых прикреплен «владелец риска». Часть из этих рисков закреплена в основных KPI компании, и на каждом заседании правления мы смотрим, как эти KPI выполняются, в какой зоне риска они находятся. С кредитными рисками в основном работает риск-комитет. Для всех инвестиций рассчитываются вероятности дефолта, устанавливаются лимитные ограничения для каждого эмитента, лимит на группы связанных лиц, и, если от бизнеса поступает требование увеличить лимиты, это выносится на риск-комитет, принимающий решение. Управленческая отчетность поступает ежедневно, поэтому мы точно знаем, что делать, если деньги задержались, нарушился лимит и т.д.
Что делает риск-комитет в случае, если во внешней среде появляется новый фактор, влияющий на систему рисков компании? Вот, допустим, появилась РНПК…
РНПК – это не риск, а возможность! Ведь есть такие риски, где ее участие целесообразно. Появление РНПК заставило нас по-новому посмотреть на свою перестраховочную программу, увидеть, насколько выгодны или не выгодны прежние размещения, с какой ценой мы идем размещаться. РНПК – это просто структура, с которой мы должны научиться работать. Мы смотрим, что нам даёт ее появление, а когда начинаешь комплексно смотреть на проблему, зачастую понимаешь, что это очень хорошо, что такой риск появился, заставил сместить фокус внимания и модифицировать свою работу. При резком изменении рынка и приходе нового крупного игрока все остальные встряхиваются и начинают тоже что-то делать для видоизменения деятельности, захвата дополнительной доли рынка, дополнительных каналов продаж и новых клиентов.
Какие возможности обнаружились, например, в связи с введением системы единого агента, вынуждающего продавать полисы ОСАГО в «токсичных регионах»?
С моей точки зрения, таких возможностей очень много, хотя, возможно, бизнес со мной и не согласится. Люди начали думать, применять математические и статистические методы, оценивать риск немножко по-другому, лучше понимать разницу между каналами продаж. Перестали думать «Этот регион токсичный, и мы туда не пойдем», а начали замечать, что в этом токсичном регионе есть множество разных кластеров, и если мы их правильно оценим, то какие-то кластеры могут оказаться прибыльными.
А какие возможности открываются в связи с переходом на XBRL?
Все, что касается приведения отчетности банков и страховых компаний к единообразию для меня как риск-менеджера это плюс – нам удобнее использовать единые формы для анализа. Самостоятельное заполнение форм страховщиками несет риск того, что кто-то предоставил неправильные данные, поставил данные не в тот столбик и т.д., в результате неверны все общие результаты. Для тех, кто занимается аналитикой, кто работает с цифрами переход на XBRL это совсем неплохо. Ну а для тех, кто работает с процессами, это дополнительный вызов. Да, у финансистов или IT-шников появятся дополнительные задачи, но никакого вызова бизнесу тут нет.
Осталось объяснить это их акционерам, которым и так надоели бесконечные затраты и убытки. Все же нельзя отрицать, что это станет дополнительным фактором, ускоряющим уход страховщиков с рынка…
Я бы не была так категорична. Конечно, переход на единый формат отчетности требует дополнительных расходов. Но мне кажется более проблемной другая часть этого вопроса – как митигировать те самые операционные риски (как правильно обучить людей, как вовремя подготовиться к переходу, как выбрать самого подходящего разработчика, и т.п.), которые появляются в связи с изменениями подходов и процессов составления и передачи отчетности. Всегда есть возможность аутсорсить этот процесс, нужно только правильно выбрать внешнего исполнителя. Что касается цены, то, учитывая высокую волатильность страхового бизнеса, мне кажется странным, что такого рода расходы могут заставить компанию вообще уйти с рынка. Возникает вопрос, способна ли такая компания адекватно выплачивать своим застрахованным, если даже дополнительные операционные расходы не позволяют ей остаться на плаву.
Если акционер хочет иметь компанию и не нести никаких затрат на модернизацию, а ему в этом мешают новые требования, то это и есть расчистка рынка. Для нормальной здоровой компании с адекватными собственниками все это не проблема. И это не вопрос размера. В Lloyd’s of London 80 синдикатов и 50 агентов разного размера, с деньгами и частных инвесторов, и крупных страховых компаний, и нефинансовых организаций, но там есть порядок, они имеют возможность вести анализ и строить модели: выдержит ли рынок очередной убыток, типа Катрины, землетрясения в Сан-Франциско или 11 сентября. При том, что нередко даже это не помогает, когда просчитанный сценарий был мягче, чем оказалась реальность. Это и есть риск-менеджмент.
Но разве это не является общим репутационным риском для всей страховой отрасли? Факты невыплат ударят по доверию ко всем страховщикам…
Да, правильно. Но для этого и нужен регулятор. Иначе, не будь регулятора, что тогда делать? Пять крупных компаний должны поделить между собой все оставшиеся убытки и идти помогать ради доверия к отрасли? Ведь эта «малышня» реально создает ситуацию, из-за которой растет риск того, что к нам люди не будут приходить страховаться, рынок перестает доверять страховщикам. К счастью, существует регулятор, есть РСА и другие объединения, они ведут все необходимые изменения, касающиеся управления риском отрасли.
ВСС, преобразованный в СРО, озвучил идею создания на его базе глобального всероссийского центра управления рисками, аккумулирующего информацию от страховщиков и госорганов и вырабатывающего определенные рекомендации по защите от рисков. Насколько все это реально осуществимо и при каких условиях?
Сделать это можно, конечно. Чтобы осуществить такой проект, нужна база, состоящая из нескольких основных элементов. Во-первых, нужна историческая база событий – всех природных и техногенных катастроф, которые происходили у нас. Не уверена, что возможно собрать такую базу по реальным и страховым убыткам.
Вторая составляющая – это данные об объектах, которые страхуются и перестраховываются, и с этим есть большая проблема. Возможно, есть какие-то стартапы, которые могут это делать, но достоверных сведений пока не собрано. Дислокация предприятий известна с точностью до определенной территории, где помимо них есть и другие. Предприятия могут переезжать в течение года, не сообщая об этом страховому сообществу, зачастую, известен только адрес регистрации. До перестраховщиков же даже минимальные данные часто вообще не доходят. А ведь для того, чтобы что-то смоделировать, надо точно знать, где какие объекты находятся. И если уж делать так, как это делается в цивилизованном мире, нужно еще полностью знать тип здания. В Америке и Европе при расчетах в RMS или AIR (AIR Worldwide была зарегистрирована в 1987 г в Бостоне, RMS – в 1989 г в Стэнфорде, EQECAT – в 1994 г в Сан-Франциско), имеют полные сведения о здании – когда оно построено, какая этажность, из какого материала. Вплоть до того, какими гвоздями прибито – потому что есть специальные правила, что, например, в Майями, в связи с большим количеством ураганов, нужно использовать гвозди определенной толщины, с таким-то наклоном, с такой-то формой шляпки. Несмотря на наличие трех частных компаний, занимающихся моделированием природных катастроф, в 1992 году FEMA (Federal Emergency Management Agency) фондировал исследование, результатом которого стала методика оценки ущерба от землетрясений. Продолжением этой работы стала HAZUS – некоммерческая модель катастроф, которая открыта для пользователей и является общей методологией оценки потенциальных убытков при различных природных катастрофах (ураган, наводнения, землетрясение).
Третья составляющая – это географические зоны. Раньше было множество научных учреждений, занимавшихся сейсмологией, климатологией, и т.п. Ситуация в Крымске – пример последствий того, как у нас строят объекты в пересохших руслах рек, прокладывают там дороги, селят людей, а потом происходит событие – река возвращается в старое русло, и сходят селевые потоки – хотя опытные специалисты именно это и предсказывали. Информацию необходимо собрать и нанести на карту, и только потом уже моделировать.
И, наконец, четвертый элемент, который можно было бы не упоминать, потому что он у нас как раз есть и используется, это аппарат математики и статистики, позволяющий строить модели.
Вот если инициаторы проекта ВСС соберут это все и построят модели, они будут просто герои. Если они смогут сдвинуть этот гигантский камень – мы скажем им огромное спасибо, но в перспективе двух-трех лет я не вижу, как это возможно сделать. Это гигантская работа.
Но должны ли страховщики брать на себя расходы по этой гигантской работе?
Страховщики могут взять на себя часть расходов, для того чтобы минимизировать свои риски, это нормальная практика. На Западе молодые выходцы из MIT (Massachusetts Institute of Technology – Масачусетский Технологический Институт) во время написания дипломной работы начали изучать часть территории США, где часто происходили ураганы и землетрясения на предмет того, как это можно спроектировать. Они взяли портфель страховой компании, отобразили его на карте, проложили кривые, как эти ураганы проходили. Оказалось, на этом портфеле можно просчитать потенциальные убытки. Это такое же сценарное моделирование, как мы сейчас делаем на своем портфеле ценных бумаг – считаем, чем грозит кризис, подобный 2008 году, или вариант декабря 2014 года.
Созданная американцами модель оказалась очень востребованной. Они нашли деньги внешних инвесторов и начали делать все предметно и территориально, начали с Калифорнии, потом Майами, Техас... Затем они пошли в Европу, где в 1999 году произошли три крупных урагана в Германии, землетрясения в Греции. Они не охватывают территорию всего мира, но то, что они уже изучили, собирается на карты, доступ к которым дается страховщикам. Страховщики просто не берут на страхование те предприятия, которые не предоставили в базу данные о своем точном расположении, качестве здания, количестве людей, которые там могут находиться. Это уже стало там нормой рынка, но к этому шли достаточно долго – около 30 лет.
Но в момент, когда они начали, не было сегодняшних технологий, спутниковых систем наблюдения…
Думаю, сейчас это сделать легче. Но у нас и плотность ниже, чем в США.
Еще одна проблема – это зрелость страхового рынка. Там-то этот продукт оказался очень востребованным, потому что практически все страхуют свое имущество. В Майами невозможно иметь незастрахованное жилье практически на уровне законодательства. Некоторые, впрочем, и там не страхуются, считая, что ураганы случаются раз в пять лет, тарифы высокие, и проще не платить за страховку, а раз в пять лет просто перестраивать дом. Еще одна проблема единой базы рисков заключается в том, что пока все участники страхового сообщества не договорятся – ничего не сдвинется. А при том уровне конкуренции, какой есть сейчас между страховщиками, сдача данных до последней координаты приведет к тому, что та самая маленькая компания, которая не может оплатить переход на XBRL, придет и подхватит этот бизнес.
Если Банк России, ВСС или кто-то вклинится и скажет, что мы теперь сдаем данные в единую базу и делаем только так, то 70 % рынка эти сведения подавать будут. Так что несмотря на все разговоры о том, как сильно уже зарегулирован наш рынок, есть вещи, которые действительно надо проводить сверху. К сожалению, одна-две страховые компании сдвинуть рынок не могут.
Какие новые проблемы ожидают риск-менеджеров страховых организаций в 2018 году?
Большинство из этих рисков присуще не только нашей организации или страховому рынку, а миру в целом. Сюда входят киберриски, риски природных катастроф, риски крупных пожаров, взрывов, изменение климата.
Кроме того, мы выделяем изменения рынков – неопределенность, возросшую конкурентную борьбу, стагнацию, слияния и поглощения. А также правовые и регуляторные изменения, новые технологии, потеря репутации или стоимости бренда.
И последнее, но не маловажное – это риск недостаточности новых идей и талантов.
Основной челлендж для риск-менеджмента в страховой компании – убедить андеррайтеров в том, что они остаются риск-менеджерами, управляют отдельными рисками и портфелем, но при этом еще необходим риск-менеджмент как функция на уровне компании. Управление рисками компании в целом – не задача андеррайтеров или других сотрудников, это задача службы риск-менеджмента, которая анализирует риски компании, риски рынка, риски регуляторной среды и все остальное, а также – и этот вопрос очень важен – риски кумуляции. К сожалению, это большая проблема, в России не так много людей этим занимаются. У каждого страховщика есть своя продуктовая линия и каждый контролирует только свои риски, не занимается риском кумуляции.
РНПК обещает, что как раз теперь этим займется…
Давайте вспомним 11 сентября 2001 года. Самый комплексный сценарий предполагал катастрофу следующего уровня – 2 пассажирских самолета сталкиваются в небе Нью-Йорка, и обломки падают на башни-близнецы и разрушают 7 верхних этажей. Какую кумуляцию мы получили на самом деле – 2 самолета, 2 здания, сотрудники множества компаний, которые находились на рабочих местах и т.д. Даже при покупке полного перестрахования предполагаемого сценарного риска, актуальные убытки были значительно выше. А если добавить сюда неопределенность в условиях и покрытии, участие в размещении нескольких брокеров, с отличающимися формами, то это классический пример того, сколько факторов должны учитывать андеррайтеры при комплексной оценке риска.
Сейчас много говорится о том, что сами риски меняются, усложняются и возрастают, и достоверно оценивать их на статистике прошлого невозможно. Это так?
Многие вещи можно продумать и смоделировать. Просто по тому же 11 сентября продумывали ситуации, которые не связаны с терроризмом, а убыток произошел в результате террористической акции, и выяснилось, что в некоторых договорах риск терроризма исключен, а в некоторых – нет. И там, где он исключен не был, пришлось платить.
То есть кому-то еще и отказывали в выплатах?
Да. Часть компаний заплатила за два события, а часть – за одно, и 10 лет шел суд за то, чтобы считать их одним событием. Как выяснилось, у двух брокеров, делавших размещение, были разные условия, а страховщики подписывали линии у обоих, не изучив досконально условия, и были при этом уверены, что подписывают одинаковые. После всего этого изменился взгляд на страхование и перестрахование, создали отдельный страховой пул по риску терроризма.
Сейчас аналогичная ситуация с кибер-рисками: до масштабного страхового случая никто не может полностью оценить размер опасности. Пока все относятся к этому легкомысленно, как к возможному перерыву в работе на 3 часа или немногим больше. А вот последний вирус «WannaCry» атаковал больницы NHS в Великобритании, где люди лежали под наркозом, на операционных столах, с подключенными аппаратами. Там это все было объединено в общую IT-систему, которую полностью вернули в работоспособное состояние только через 7 дней.
А как ваша компания работает с кибер-рисками?
Мы оценили для себя, что будет, если реализуется такой риск падения IT-системы. Вероятность получилась высокая, это реально может произойти, но возможный убыток не большой. – Мы составили планы реагирования, где-то добавили дублирующие элементы, где-то восстановили и зафиксировали ручные процессы, к которым мы можем вернуться, если возникнет такая необходимость. Возможно, мы потеряем в скорости и оперативности, но останемся на связи с нашими клиентами и сможем урегулировать убытки в ручном режиме до полного восстановления сервисов.
Так что все время появляются новые риски, новые угрозы и, благодаря этим рискам, новые возможности.
Какие возможности появляются благодаря кибер-рискам?
С одной стороны, у страховщиков появилась возможность разрабатывать и продавать продукты кибер-страхования. А с другой стороны имеется ситуация, когда компания работает 25 лет и уверена, что ее системы, не подвергавшиеся изменениям, нормально работают. Любой банк, страховщик, любое более-менее крупное предприятие имеет большое количество старых систем, в которых уже мало кто разбирается, и это все длится десятилетиями. И тут появляется такая угроза - придется пересмотреть систему, на это сразу же волшебным образом находятся деньги. Меняется структура, оценка, берутся дополнительные люди, уже никто не пытается все делать устаревшим образом. Если в «мирное время» кто-то скажет: «Давайте менять систему каждые 3-5 лет», ему скажут, что он сумасшедший. Но когда происходят такие вещи – все видят, что пришло время навести порядок, выделяются ресурсы, появляется возможность переосмыслить и дополнительно защитить свою систему. Хотя, конечно, у страховщиков все-таки больше оффлайновой составляющей в бизнесе, чем у какого-нибудь высокотехнологичного банка, поэтому у них и риск не такой острый.
Тогда, может, не стоит так подстегивать диджитализацию, а наоборот, придерживать ее с оглядкой на кибер-риски, сохранять оффлайновый документооборот?
Пожалуй, нет. Мы, понимая, что может возникнуть подобная ситуация, сделали проект по непрерывности. Всем ключевым сотрудникам задавался вопрос: представьте, что отключились все IT системы, что вы будете делать, как сможете восстановить процесс? Выяснилось, что многие процессы еще можно восстановить в бумажном виде, но некоторые – уже нельзя. В таких случаях строят параллельные структуры, например, добавляют вторую медицинскую кнопку, чтобы, если ляжет основная система в Москве, те, кто звонят в скорую помощь, переключались бы на Санкт-Петербург. Это менеджмент рисков таких перерывов в деятельности, которые мы себе позволить не можем. Мы считаем, что можем потерять данные (копируемые каждую ночь) за 1 день – и мы их сможем восстановить с бумажных носителей в течение дня. Заново введем, восстановим старые данные с того, что копируется каждые 24 часа, и будем работать дальше, на выдаче полисов и выплате убытков это никак не отразится. А вот риск того, что человек позвонил в предынфарктном состоянии, а у нас не работает телефон, мы допустить уже никак не можем. Это и есть живой риск-менеджмент, а именно – операционный риск-менеджмент. Он требует затрат, но это даже вопрос не репутации, а выживания бизнеса.