Наиболее распространенные в настоящее время методы оценки рисков основаны на определении чувствительности целевых показателей к изменению факторов риска и изменчивости этих факторов риска. Теоретически все виды рисков могут оцениваться с помощью расчета популярных показателей возможных потерь: Value-at-Risk (VaR), условный – conditional – VaR (cVaR), стресс-тестирование и т.п. VaR показывает величину, которую не превысят потери под воздействием рисков за определенный период с данной вероятностью. Например, недельный 95% VaR, равный 1 млн руб., означает, что за пять рабочих (торговых) дней потери под воздействием рисков не превысят 1 млн руб. с вероятностью 95%.
(VaR) показывает величину ожидаемых потерь в случае, если они превышают VaR. Продолжая предыдущий пример, недельный cVaR, равный 3,5 млн руб., означает, что если потери превысят VaR (в данном случае – если потери больше 1 млн руб.), то в среднем они составят, например, 3,5 млн руб. за неделю. Стресс-тестирование показывает, сколько составят потери в случае реализации сценариев стресса (рыночного шока или сбоев бизнес-процессов и т.д.). Например, потери в случае скачка обменного курса на 10% составят 10 млн руб.
Чувствительность для рыночных рисков часто оценивается с помощью тех или иных показателей эластичности (например, дюра-ция – эластичность стоимости по процентной ставке) или так называемых «греческих» показателей: дельта, гамма, вега, ро, тета, скорость, особенность, очарование и др.2 Изменчивость измеряется подразумеваемой, исторической или экспоненциально взвешенной исторической волатильностью с учетом корреляций между риск-факторами.
Систематические и индивидуальный риски (беты и альфа)3 в составе волатильности могут быть выделены с помощью регрессионного анализа.
При оценке кредитных рисков, как правило, используются матрицы миграций кредитных рейтингов, включая частоты дефолтов, уровни восстановления и величину потерь в случае дефолта, кредитные спрэды, расстояние до точки дефолта и т.п.
Для оценки операционных рисков VaR может рассчитываться «снизу» – по деревьям штатного и нештатных сценариев завершения бизнес-процессов или «сверху» – как остаточный уровень VaR, необъясненный рыночными и кредитными рисками. Также можно применить методы самооценки, риск-аудита и рейтинговых оценок, анализа истории (статистики) потерь, определения ключевых показателей риска (Key Risk Indicators, KRI). Самооценка подразумевает ответы на вопросы анкет о рисках самих владельцев рисков, то есть персонал каждого подразделения описывает риски на своих участках работы путем собственной оценки.
Риск-аудит может проводиться внутренними и внешними оценщиками, например сюрвейерами, перед заключением договора страхования. По его итогам оценка риска может быть выражена в виде рейтинга. Ключевые показатели риска (KRI) – это показатели, характеризующие концентрацию рисков, в том числе накопившиеся негативные события в бизнес-процессах и т.п. Например, отклонение (невыполнение) плана по тем или иным целевым показателям деятельности (KPI) может служить в качестве KRI. Или количество (либо доля в общей массе событий) отказов, аварий, задержек, несчастных случаев, производственного брака, судебных исков, негативных публикаций в прессе и пр. за период. Иногда это и контроли рисков (например, количество нарушений лимитов).