Трудности в применении количественных методов анализа риска связаны с недостатками развития теории и практики риск-менеджмента. Можно отметить следующие ключевые проблемы теории:
• в современной картине мира подчеркивается случайная природа риска, тогда как значительная часть рисков имеет хаотический, а не случайный характер6. Кроме того, игнорируется взаимосвязь рисков и общность их природы. Например, отсутствие связи рыночных и кредитных рисков с операционными рисками – одно из самых глубоких заблуждений представления о рисках;
• слабо развит математический аппарат, предназначенный для выявления связей, корреляции и, следовательно, диверсификации портфеля. За исключением корреляции и коинтеграции, сфера применимости которых весьма ограничена, остальные меры зависимости нелинейно связанных величин либо не разработаны, либо малоизвестны. Риск-менеджмент основывается лишь на современных концепциях. Например, гипотетически модель реальных опционов могла бы в будущем вытеснить из практики общепринятую сейчас концепцию дисконтирования денежных потоков7;
• господствующая в наши дни необернулли-анская школа практически ориентируется на дисперсию как показатель изменчивости факторов риска. Этот подход неявно подразумевает ориентацию на ожидаемое значение квадратичной функции полезности фон Неймана – Моргенштерна8, тогда как парадокс Мориса Алле9 показал, что подобные теории не описывают полноценно предпочтения по риску. Иначе говоря, сегодня почти весь риск-менеджмент построен на дисперсии, а этот показатель не отражает реальных предпочтений людей и является лишь очень грубой их моделью;
• «классический» западный риск-менеджмент не вписывается в иные культурные контексты. Например, исламское право и страхование запрещают спекулятивный риск и процент, социалистическая экономика сталкивается с рисками дефицита, в индусском праве имеет место неограниченная срочность долга и ограничение суммы процентов и т.д.
Перечисленные проблемы теории управления рисками ведут к проблемам на практике, среди которых:
• разноголосица стандартов. Например, стандарты FERMA или проекты ISO 31000 или COSO (в отличие от Базель-II) не оперируют традиционными показателями риска (волатильность, VaR) и однобоко трактуют риск как потери;
• риски рассматриваются изолированно, нет целостной картины угроз и возможностей бизнеса. Не прослеживается корреляция различных рисков и не оценивается вклад риск-менеджмента в стоимость бизнеса;
• VaR: дороговизна «оценок сверху». Резервирование капитала под риск с таким чрезмерным запасом, как 95 или 99%, приводит к огромной упущенной прибыли, и любая модельная ошибка также дорого стоит;
• стихийность KRI. Нет строгого алгоритма выбора или построения KRI в каждом конкретном бизнес-процессе, индивидуальность решений в каждой отрасли и даже на конкретных предприятиях;
• не используется финансовая математика в управлении операционными рисками за исключением актуарных и аналогичных им расчетов;
• упрощенный подход к выявлению риск-аппетита и согласованию интересов сводится к примитивным инвестиционным декларациям, процедурам непосредственного утверждения лимитов и приоритезации рисков, при которых искажаются или не учитываются предпочтения по риску собственников и др.;
• создание систем управления рисками подменяется выполнением требований регуляторов (так называемые SOX-проекты по внедрению стандартов COSO и выполнению требований статьи 404 закона Сарбейнса – Оксли, проекты по внедрению Базель I и Базель II и т.п.);
• частые затруднения в распределении функций между подразделениями риск-менеджмента, внутреннего контроля, внутреннего аудита и др.