Введение. Управление рисками на примере ОАО «Сбербанк России Сотрудники первой линии защиты по риск менеджменту

Любовь Нисенбойм Директор группы корпоративного управления, управления рисками и обеспечения соответствия законодательным требованиям и стандартам, PricewaterhouseCoopers
Журнал «Консультант », №13 за 2011 год

Многие компании тратят огромные средства на реализацию проектов по повышению эффективности бизнеса, а результат все равно оставляет желать лучшего. Как максимально увеличить эффективность инвестиций и текущих операций? Какова роль управления рисками в процессе управления компанией? Как построить бизнес, в котором управление рисками является неотъемлемой частью всех процессов, выполняемых сотрудниками компании?

Внедрение эффективной системы управления рисками может сделать компанию более устойчивой к риску. Однако чтобы такая система работала, очень важно четко понимать и эффективно распределять роли и обязанности внутри компании, что будет способствовать принятию управленческих решений на базе полноценной информации о рисках.

Только опираясь на этот прочный фундамент, компании могут эффективно бороться с факторами риска.

В ответ на более пристальное внимание со стороны акционеров большинство российских компаний создали отдельные службы по управлению рисками. Это существенно повысило статус управления рисками в глазах руководства и совета директоров, но появились и новые проблемы.

Когда ответственность за управление рисками передается отдельной функциональной службе, другие бизнес-подразделения, как правило, слагают с себя эту функцию. В связи с этим некоторые риски неизбежно выпадают из поля зрения, что может привести к разрушительным последствиям.

PwC провело второй бизнес-завтрак для руководителей по управлению рисками и специалистов в данной области на тему «Управление рисками ответственность каждого». В мероприятии приняло участие более 60 человек.

Рисунок 1. Каков уровень поддержки системы управления рисками со стороны высшего руководства в вашей компании?

Главный вопрос, поставленный перед его участниками, заключался в том, как можно организовать деятельность по управлению рисками, чтобы она стала частью повседневной работы каждого сотрудника компании. Они поделились своим опытом в сфере укрепления так называемых трех линий защиты в модели взаимодействия в системе управления рисками, а также обсудили роли и обязанности для каждой из линий защиты.

Управление рисками — ответственность каждого

Управление рисками — процесс для российских компаний далеко не новый. Многие из них внедряют комплексные системы управления рисками, ни в чем не уступающие передовым мировым практикам. Компании, которые получили наибольшую выгоду от внедрения, утверждают, что создание общекорпоративного подхода к управлению рисками зачастую может потребовать пересмотра ролей и обязанностей руководителей и сотрудников, а иногда и всей организационной структуры предприятия.

По данным опроса руководителей крупнейших компаний мира, проведенного PwC, большая часть руководителей этого ранга планируют существенно изменить систему управления рисками, а не какие-либо другие элементы своей корпоративной стратегии, организационной или операционной модели. Тем не менее, когда мы спросили участников бизнес-завтрака по управлению рисками о реальном уровне поддержки со стороны руководства в границах системы управления рисками в их компаниях, только 35% охарактеризовали существующий уровень поддержки как достаточный.

В ходе обсуждения участники отметили важность участия руководства в развитии системы управления рисками и формировании культуры компании, определяющей последовательность действий сотрудников и принятие тех или иных решений в своей ежедневной деятельности с учетом существующих рисков.

Однако для эффективного функционирования системы управления рисками одной поддержки со стороны руководства недостаточно. Необходимо наладить модель взаимодействия, которая позволила бы четко сформулировать и разграничить роли и обязанности в системе управления рисками. Совет директоров и высшее руководство компании должны осуществлять надзор за внедрением и эффективной работой трех линий защиты. Эта модель определяет функции, обязанности и ответственность бизнес-подразделений, службы управления рисками и контроля и службы внутреннего аудита в рамках системы управления рисками.

Воспитание культуры управления рисками, или Три линии защиты

Первая линия защиты

Как укрепить ответственность руководства и структурных подразделений?

Руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.

Рисунок 2. Каков уровень вовлеченности структурных подразделений в процесс управления рисками в вашей компании?

На вопрос о вовлеченности структурных подразделений в процесс управления рисками лишь четверть участников ответили, что структурные подразделения в их организации принимают активное участие в этом процессе, т.е. действительно своевременно выявляют риски, подготавливают необходимую отчетность и внедряют мероприятия по управлению ими. И хотя многие сотрудники могут неохотно реагировать на запросы подразделения по управлению рисками, стоит отметить, что уровень вовлеченности сотрудников в процесс управления рисками существенно выше, чем раньше.

К интересным выводам приводят результаты голосования участников по вопросу о том, как закреплены роли и обязанности в рамках системы управления рисками в их компаниях. В большинстве компаний, где структурные подразделения неохотно принимают на себя ответственность за управление рисками или же пассивны в этом процессе, эти роли и обязанности в рамках системы управления рисками либо не документированы вообще, либо документированы в политике или регламенте по управлению рисками, о существовании которых многие сотрудники даже не подозревают. Зачастую это и является одной из основных причин того, что структурные подразделения неактивно или неохотно участвуют или не до конца понимают свою роль в управлении рисками. Как показывает практика работы с крупными российскими организациями, указанные роли и обязанности в рамках системы управления рисками редко бывают прописаны в должностных инструкциях. Лишь 21% опрошенных ответили, что они задокументированы и реализуются.

Рисунок 3. Как определены роли и обязанности в рамках системы управления рисками в вашей компании?

Вторая линия защиты

В чем состоит роль современного подразделения по управлению рисками?

Эти подразделения разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения должны отслеживать деятельность других структурных подразделений в границах системы управления рисками и анализировать информацию о рисках, получаемую от них. Функции типичного подразделения по управлению рисками включают консультирование, координирование, поддержку и обучение сотрудников компании в области управления рисками.

В случае если в компетенцию данного подразделения входит ответственность за своевременное выявление, оценку рисков и управление рисками, система управления рисками не будет функционировать эффективно. Когда мы спросили в чем же действительно должна заключаться роль современного подразделения по управлению рисками, были перечислены следующие функции:

• разработка и внедрение методологического подхода к управлению рисками;
• координация действий компании в области управления рисками;
• консультирование и методологическая поддержка подразделений компании по вопросам управления рисками;
• координация и подготовка отчетности о рисках;
• обучение сотрудников по вопросам управления рискам;
• мониторинг выполнения плана мероприятий по управлению рисками структурными подразделениями, координация работы со службой внутреннего аудита;
• разработка и внедрение мероприятий по совершенствованию системы управления рисками.

Третья линия защиты, или Как организовать независимую оценку результатов управления рисками?

Третья линия защиты организации включает внутренних аудиторов и совет директоров. Служба внутреннего аудита дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Совет директоров принимает это заключение как руководство к действию и выделяет службе внутреннего аудита необходимые ресурсы. Под надзором комитета по аудиту служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры эскалации проблем.

Рисунок 4. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду вашей компании?

Совет директоров задает тон в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками («аппетит к риску»). Комитеты по аудиту, по управлению рисками и по вознаграждениям помогают совету директоров осуществлять всеобъемлющий контроль над эффективностью системы управления рисками организации.

В ходе обсуждения в группах участники бизнесзавтрака указали на важность взаимодействия между внутренними аудиторами, подразделением по управлению рисками, руководством и советом директоров. Однако они подчеркнули, что отсутствие четких разграничений в обязанностях сотрудников службы внутреннего аудита и сотрудников подразделения по управлению рисками, которое зачастую является частью службы внутреннего аудита, может этому препятствовать.

Итоги и следующие шаги

Подводя итоги обсуждения, мы спросили участников о том, какая мера, по их мнению, может принести наибольшую выгоду для компании. Более трети всех участников посчитали, что именно налаживание взаимодействия между подразделением по управлению рисками и другими бизнес-подразделениями способно принести наибольшую пользу организации. Четверть участников отметили, что закрепление ответственности в рамках системы управления рисками путем внедрения КПД также способно принести пользу организации и укрепить риск-ориентированную культуру.

Необходимо добавить, что только совокупное внедрение всех предложенных мер способно принести реальную выгоду для организаций на российском рынке.

На мероприятиях, проводимых PwC, вопрос о преимуществах и выгодах от внедрения комплексных систем управления рисками поднимается довольно-таки часто. Мнения самих руководителей и сотрудников соответствующих подразделений показались нам очень интересными.

Сорок процентов участников отметили, что за последний год внедрение системы управления рисками способствовало укреплению корпоративного имиджа их компаний. По мнению еще трети участников, эта система помогает повышать эффективность и прозрачность отчетности для акционеров. Оба эти варианта указывают на неосязаемые выгоды от внедрения системы управления рисками, что, безусловно, также несет в себе определенные выгоды для компании.

Рисунок 5. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду в вашей компании?

Однако от внедрения системы управления рисками ждут в первую очередь именно осязаемых результатов, связанных с реальным сокращением неопределенности, предотвращением убытков и сокращением затрат. Лишь 19% участников отметили именно это преимущество (15%-ное снижение затрат на финансирование и 4%-ное уменьшение суммы страховых взносов). Означает ли такой результат, что система управления рисками не создает для компаний, работающих в России, выгод, которые возможно измерить в деньгах? Скорее, это может быть продиктовано тем, что в организациях не всегда четко сформулированы цели внедрения системы управления рисками и, соответственно, не всегда возможно эти выгоды измерить.

На сегодняшний день, риск является неотъемлемой характеристикой банковской деятельности. Он играет определяющую роль в формировании финансовых результатов деятельности банков, служит важной характеристикой качества активов и пассивов банков, и, таким образом, должен использоваться при сравнительном анализе их финансового состояния, положения на рынке банковских услуг.

Риски присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента -- это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, -- моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк -- абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах беспрецедентный. Сейчас внедрено в процесс и работает более 600 моделей различного уровня сложности. Очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все модели работают и показывают высокую предикативную способность.

В Сбербанке реализована "классическая" концепция трех линий защиты от рисков. Первая линия защиты -- это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты -- это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много -- ведь именно они видят "живого" клиента и "реальные" документы. Вторая линия защиты -- это риск-менеджмент. Сейчас в блоке "Риски" работает более 4 тыс. сотрудников -- это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты -- служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.

Основным банковским риском, особенно в российской практике, является кредитный риск. Управление этим риском является ключевой фактор, определяющий эффективность деятельности банка. Это риск невозврата или несвоевременного возврата кредита держателю актива, который в этом случае понесет финансовые потери. Это определяет актуальность темы дипломной работы.

На величину кредитного риска могут оказывать влияние как макро-, так и микроэкономические факторы. В условиях, когда экономика нестабильна, законодательство несовершенно, а во многих случаях и противоречиво, очень важно иметь эффективную систему управления кредитным риском. Поэтому банк должен разработать кредитную политику, документально оформленную схему организации и систему контроля над кредитной деятельностью.

Объект исследования - Новосибирское отделение 8047/0386 ОАО "Сбербанк России".

Целью данной работы является изучение теоретических основ и анализ кредитных рисков в организации на примере Внутреннего структурного подразделения ОАО "Сбербанк России" № 8047/0386 (далее ВСП)

Для достижения поставленной цели необходимо решить следующие задачи:

1. Рассмотреть теоретические основы кредитного риска;

2. Показать систему управления кредитным риском;

3. Проанализировать методику анализа кредитного риска;

4. Представить анализ управления кредитным риском на примере ВСП 8047/0386;

5. Разобрать основные недостатки в управлении кредитным риском;

6. Определить направления совершенствования управления кредитным риском.

В выпускной квалификационной работе применялись методы: метод системного анализа, метод включенного наблюдения, метод анализа документов.

Практическая значимость работы заключается в том, что полученные в процессе исследования результаты и основанные на них выводы могут быть непосредственно использованы в работе ВСП 8047/0386 ОАО "Сбербанк России", при успешной адаптации и выявлении реального экономического эффекта есть возможность распространения данной практики во всей филиальной сети ОАО "Сбербанк России".

Законодательное регулирование

Л.В. Костикова, ОАО «БИНБАНК», руководитель центра внутреннего контроля департамента внутреннего контроля и аудита, член Института внутренних аудиторов
Н.Е. Цангль, руководитель службы внутреннего аудита ОАО «ТрансФин-М», заместитель директора Банковского института НИУ Вшэ, руководитель финансовой секции Института внутренних аудиторов, к.э.н.

В срок до 1 октября 2014 года кредитные организации обязаны привести свои учредительные и внутренние документы в соответствие с новой редакцией Положения Банка России № 242-П. Новая трактовка понятий «внутренний контроль» и «внутренний аудит», организационные требования, цели и задачи служб внутреннего контроля и внутреннего аудита все больше приближают форму их функционирования к концепции «три линии защиты», соответствующей международным стандартам.

А.С. Яковенко, НТЦ «ОРИОН», консультант по вопросам в области ПОД/ФТ

В один из основных комплексов мероприятий «антиотмывочного» законодательства - идентификацию клиентов, их представителей, выгодоприобретателей, бенефициарных владельцев - в 2014 году внесены значительные изменения. В каких случаях проводится упрощенная идентификация? Каковы способы и порядок ее проведения при предоставлении клиенту - физическому лицу электронного средства платежа? В какие сроки кредитная организация должна обновлять сведения, полученные в результате идентификации, и пересматривать уровень риска? Какие меры должна содержать программа идентификации, самостоятельно разработанная банком?

Банковский надзор

Д.Н. Козлов, ОАО Банк ЗЕНИТ, департамент рисков, начальник управления операционных рисков и контроля, доцент, к.т.н.
Ю.Н. Юденков, МГУ имени М.В. Ломоносова, факультет политологии, доцент, к.э.н.

Система внутреннего контроля в кредитной организации функционирует в первую очередь в соответствии с требованиями Банка России и лишь потом - в соответствии с рекомендациями корпоративного управления. Нормотворчество методологов Банка России - процесс непрерывный и ускоряющийся. В новой редакции Положения № 242-П используется много новых терминов, но не объясняются их сущность и процедуры внедрения, в частности термин «регуляторный риск». Разберемся с этим объектом контроля.

Т.А. Цыпурко, ГПБ (ОАО), департамент внутреннего контроля, директор управления методологии и развития

Несмотря на то что российский регулятор предписывает кредитным организациям обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, в какие сроки) не существует. Банк России рекомендует применять систему показателей, характеризующих качество системы органов и направлений внутреннего контроля, а также критерии, приведенные в новой редакции Положения № 242-П. С одной стороны, регулятор предлагает механизм, который кредитная организация может применить самостоятельно, с другой - он пока не может заставить участников оценки давать честные ответы на адресованные им вопросы.

Контроль потенциальных потерь

А.Л. Поспелов, Банк России, начальник управления Главного управления безопасности и защиты информации
П.В. Ревенков, Банк России, начальник отдела Главного управления безопасности и защиты информации, д.э.н.

Если в следующие пять лет пользователей дистанционного банковского обслуживания станет вдвое больше, какие риски грозят банкам по причине такого возрастания технической составляющей? Какие проблемы связаны с недостатками в обеспечении информационной безопасности в банках? Это и расширение профиля операционного риска, и неподготовленность сотрудников в вопросах обеспечения информационной безопасности в условиях дистанционного обслуживания, и другие факторы.

Е.В. Старостина, PwC, младший менеджер направления «Информационная безопасность»
В.Г. Наймарк, PwC, руководитель службы информационной безопасности региона Центральной и Восточной Европы

PC World называет BYOD самым ужасающим акронимом для IT-специалистов. Но корпоративные стандарты, похоже, все-таки проигрывают битву принципу «все свое ношу с собой». Насколько данная технология применима в банках? Каковы достоинства и недостатки BYOD? На что нужно обратить внимание IT-специалистам, службе внутреннего аудита и СВК, если принято решение внедрять данную технологию? Как минимизировать риски мошенничества и сохранять информационную безопасность банка при BYOD?

М.П. Бурдонова, АКБ «РосЕвроБанк» (ОАО), начальник управления нефинансовых рисков

Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонал разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.

Регламентация процессов и процедур

Н.С. Андреева, ОАО «Открытие Холдинг», глава внутреннего аудита

По мнению автора статьи1, СВК находилась на стыке второго и третьего уровня контроля, а иногда их совмещала или замещала. Теперь перед банками стоит задача разделить функционал между двумя службами - внутреннего контроля и внутреннего аудита. На ее решение направлены изменения, внесенные в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Какими будут подходы к организации системы контроля в банках и какими документами будет регламентирована деятельность двух контрольных служб?

О.Ю. Кашанова, Внешэкономбанк, заместитель начальника управления внешних проверок службы внутреннего контроля, аттестованный аудитор, к.э.н.

Открытие счета клиенту является одной из важнейших и своего рода уникальной услугой банка, и к различным аспектам внутреннего контроля открытия, закрытия и порядка ведения счетов клиентов, внутрибанковских и внебалансовых счетов сегодня проявляется особый интерес. Вопросы открытия и закрытия счетов четко регламентированы Банком России. Это упрощает деятельность контрольных служб кредитных организаций, но требует тщательного выявления несоответствий нормативным требованиям.

Комплаенс-контроль

Д.В. Чистов, КПМГ в России и СНГ, руководитель группы по системам комплаенс и ПОД/ФТ, директор

Какие подразделения банка должны входить в состав рабочей группы по FATCA? Удачным решением автор считает лидирующую роль службы комплаенса в подготовке банка к применению требований FATCA. Это созвучно и последним изменениям, внесенным в Положение Банка России об организации внутреннего контроля в кредитных организациях. Включение в службу комплаенс специалистов ПОД/ФТ и других областей, знающих банковские процессы и продукты, поможет банку провести работу по внедрению требований закона США на должном уровне и избежать претензий со стороны IRS или FATCA-аудитора.

В.В. Березанский, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, глава практики комплаенса
А.А. Килячков, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, менеджер

Казалось бы, чем может грозить антикоррупционный закон США компании, если она не эмитент и не резидент этой страны? Однако закон имеет экстерриториальный характер, и даже компании, которые не являются местными эмитентами или резидентами, могут попасть под юрисдикцию FCPA и понести ответственность, если они напрямую или через агента осуществляют любые действия на территории Соединенных Штатов, связанные с коррупционным платежом. Весьма поучительные примеры - известное дело Штрауба и не менее известное дело Штеффена.

М.А. Шалимова, Инвестиционный банк «Открытие Капитал», начальник управле- ния комплаенс, Международная ассоциация по комплаенсу (ICA), директор по развитию и сотрудничеству

Почему международный санкционный комплаенс становится существенным звеном в работе комплаенс-подразделения? Достаточно проанализировать режим международных санкций, установленных США и ЕС, чтобы ответить на этот вопрос. Требования режима носят экстратерриториальный характер, поэтому международный санкционный комплаенс необходим при взаимодействии с иностранными регуляторами, потенциальными международными инвесторами, контрагентами и другими международными стейкхолдерами, чтобы минимизировать репутационные и финансовые риски.

5. Координация работы всех департаментов в управлении своими рисками.

7. Контроль соблюдения стандартов минимизации рисков.

Ключевые цели и задачи

Схема 1. Процедуры (компоненты), с помощью которых банк управляет своими операционными рисками

Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:

Случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;

Несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;

Сбои в функционировании систем и оборудования;

Неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).

Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.

Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей . Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).

Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):

3.3.1. По типу риска:

1. Риски техногенного, природного, социального характера.

2. Риски сбоев техники, программ, простоев.

3. Риски нарушений прав сотрудников, условий труда, конфликтов.

4. Риски ошибок в процессе обслуживания клиента или контрагента.

5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.

6. Риски мошенничества и злоупотреблений с участием сотрудников банка.

7. Риски мошенничества и злоупотреблений с участием третьих лиц.

Эти типы рисков детализированы в Приложении 1.

3.3.2. По значимости:

1. Экстремальный (символьное обозначение AAA, красная зона).

2. Критичный (AA, красная зона).

3. Высокий (A, красная зона).

4. Средний (BB, желтая зона).

5. Низкий (B, желтая зона).

6. Допустимый (C, зеленая зона).

Эта шкала риска детализирована в Приложениях 2.1 и 2.2.

3.3.3. По бизнес-линии:

1. Банкинг физических лиц.

2. Банкинг юридических лиц.

3. Платежи и расчеты лиц, не являющихся клиентами банка.

4. Агентские услуги.

5. Биржевая и внебиржевая торговля.

6. Финансирование корпораций.

7. Управление активами.

8. Брокерские услуги.

Эти бизнес-линии детализированы в Приложении 3.

Могут использоваться и иные классификации риска.

Для управления операционными рисками в банке существуют три линии защиты :

1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

Риск-координаторы (начальники департаментов и назначенные лица);

Эксперты по инцидентам;

Регистраторы (все сотрудники подразделения).

2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:

Комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);

3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

Субъекты, управляющие операционными рисками

Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

Риск-координаторы;

Эксперты по инцидентам;

Регистраторы.

Перечисленные субъекты, безусловно, имеются во всех департаментах банка , так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.

Если эти субъекты департаментов не оформлены должным образом , то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления и обучения.

4.1.1. Риск-координаторы.

4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников . Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора .

4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Система раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы всех департаментов в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.

От организации службы внутреннего контроля во многом зависит эффективность бизнес-процессов предприятия, так как она не только проверяет достоверность бухгалтерских данных, но и позволяет минимизировать риски компании.

Учет по МСФО должен подвергаться оценке со стороны внутренних контролеров, ведь с помощью достоверных данных можно добиться поставленных менеджментом компании целей, например, выйти на IPO, привлечь инвестиции и т. д. Рассмотрим особенности организации внутреннего контроля на предприятии с помощью данной статьи.

Важность внутреннего контроля трудно переоценить, так как зачастую на основе уже проведенных процедур внутреннего контроля (или аудита) проводится и внешний аудит, результаты которого предоставляются внешним пользователям отчетности.

Зарубежный опыт организации системы внутреннего контроля

Широкое распространение и популярность получила так называемая модель трех линий защиты внутреннего контроля (см.рис.). Идея этой модели состоит в том, что система внутреннего контроля на предприятии может быть организована по-разному, в зависимости от стадии его развития.

В России подход трех линий защиты при построении системы внутреннего контроля пока только получает свое распространение. В настоящее время должного внимания организации службы внутреннего контроля не уделяется, особенно в средних компаниях. Служба внутреннего контроля скорее ассоциируется с проверкой наличия и использования активов, ликвидацией задолженности, а также с проверкой качества бухгалтерской (финансовой) отчетности и оптимизацией налогов и сборов. На наш взгляд, такой формат организации службы внутреннего контроля нуждается в пересмотре, так как понятие внутреннего контроля более обширное и включает в себя анализ и оценку операционной эффективности предприятия, а также оценку качества управления рисками.

При организации службы внутреннего контроля на предприятии следует также учитывать стандарты COSO «ERM» (действующий до этого стандарт COSO отличается от COSO «ERM» направленностью последнего на управление рисками компании и повышение достоверности отчетности). Coso - это частная организация в США, созданная с целью разработки рекомендаций для управленческого персонала организаций в части внутреннего контроля, управления рисками, устранения случаев мошенничества с финансовой отчетностью и т. д. Ценность разработки модели внутреннего контроля данной организации заключается в том, что, сравнивая свои данные с ней, организации смогут оценить собственную систему внутреннего контроля.

Особенности организации эффективной службы внутреннего контроля

Есть и трудности, с которыми могут столкнуться компании при постановке службы внутреннего контроля на предприятии, в частности, это:

• неполный или частичный доступ к необходимой информации;
• недостаточное доверие к деятельности службы внутреннего контроля;
• отсутствие средств на организацию системы внутреннего контроля на предприятии, в частности, на содержание штата;
• различия между российскими и международными стандартами аудита и т. д.

Первую проблему можно решить путем обеспечения эффективного взаимодействия службы внутреннего контроля с другими подразделениями компании при поддержке менеджмента компании.

Очень важной задачей подразделения внутреннего контроля (аудита) остается повышение доверия к своей деятельности со стороны сотрудников других подразделений и менеджмента компаний. Зачастую специалисты внутреннего контроля, аудита, комплаенса воспринимаются остальными сотрудниками как специалисты, выполняющие «ненужную» работу и отвлекающие от основной работы. Такая ситуация не способствует повышению качества проводимых проверок. Каждая компания самостоятельно решает эту проблему, но все применяемые методы должны быть направлены на создание дружелюбной атмосферы внутри компании между ее сотрудниками.

Проблема недостаточного доверия к деятельности службы внутреннего контроля решается путем повышения доверия к специалистам такой службы (причем обеспечение эффективного взаимодействия между подразделениями компании также может повысить доверие). Немаловажное значение для повышения доверия к внутренним контролерам имеют также следующие факторы:

• профессиональные качества и компетентность;
• значимость и качество полученной контролерами информации.

Так, специалисты внутреннего контроля в идеале должны иметь сертификат аудитора, большой опыт работы, хорошо ориентироваться в вопросах бухгалтерского и налогового учета, МСФО. Кроме того, специалисты такого рода должны постоянно повышать свою квалификацию.

Что касается значимости и качества полученной внутренними контролерами информации, этот пункт влияет не только на эффективность учетной работы компании, но и на принятие управленческих решений ее менеджментом. Значимость и качество работы достигается с помощью составления рабочей документации аудиторов (см. таблицу ниже), объективности и полноты проверки ведения учета.

Описание модели трех линий защиты для управления рисками

Следующая проблема, которая может возникнуть при постановке службы внутреннего контроля, - это нехватка у компании средств на эти цели. Отметим, что в настоящее время организация внутреннего контроля - не прихоть компании, а требование времени, ведь исправление ошибок может занять больше времени. В зависимости от размера и вида деятельности компании можно подобрать оптимальное количество специалистов. Для небольшой компании будет достаточно одного-двух специалистов, можно также воспользоваться услугами аутсорсинговых компаний. В любом случае желательно заранее оценить возможные расходы и выбрать наиболее приемлемый для компании вариант.

Между российскими и международными стандартами, как учета, так и аудита, существуют различия, поэтому, если деятельность компании должна быть подвергнута оценке с точки зрения международных стандартов, следует задуматься о привлечении специалистов службы внутреннего контроля соответствующего уровня и квалификации.

Наиболее важный этап в работе службы по внутреннему контролю - это контроль за корректировками МСФО. Проверяемые операции условно можно подразделить на стандартные (типовые), нестандартные и на проверку рисков, которым может быть подвергнут бизнес.

Сложными участками учета, которые требуют внимания, являются также оценка активов и обязательств, отражение резервов, подготовка примечаний к отчетности, проверка данных, предоставляемых филиалами организации.

Наиболее сложный подход к оценке, предлагаемый МСФО, - это оценка по справедливой стоимости. При наличии средств лучше всего обратиться к профессиональному оценщику, однако если такой финансовой возможности у компании нет, то можно самостоятельно определить справедливую стоимость.

МСФО предлагает несколько вариантов определения справедливой стоимости в зависимости от вида актива: стоимость на основном (ранее активном) рынке, стоимость на аналогичные активы, дисконтированная стоимость и т. д. Специалист по внутреннему контролю при проверке определения справедливой стоимости должен проверить документальное оформление определения справедливой стоимости актива, а также объективность и достоверность полученных результатов. На мнение пользователей отчетности во многом может повлиять информация, раскрываемая в примечаниях к отчетности. Следует тщательно продумать объем и масштаб раскрываемых данных и согласовать эту информацию с менеджментом компании.

Внимания к себе требует также начисление резервов. Порядок их учета регламентируется не только МСФО (IAS) 37 «Резервы, условные активы и условные обязательства», но и, в зависимости от специфики деятельности компании, МСФО (IAS) 11 «Договоры подряда», Разъяснением КРМФО (IFRIC) 6 «Обязательства, возникающие в связи с участием в специализированном рынке - отходы электротехнического и электронного оборудования».

Чтобы организовать эффективную службу внутреннего контроля, также следует нормализовать работу других подразделений, в частности отдела по МСФО, перепроверить методические материалы, в том числе учетную политику, на предмет ошибок и несоответствия данных учета. Важен также график документооборота - при задержке представляемых службе внутреннего контроля данных ее работа также будет выполняться гораздо медленнее.

Для обеспечения согласованной работы в процессе должны быть задействованы другие подразделения компании. Особенность проведения операций внутреннего контроля заключается в том, что контроль рассматривает не только отдельные направления (бухгалтерский учет, операции по объединению бизнеса) деятельности компании, но и целые бизнес-процессы, а также всю деятельность компании.

Таким образом, правильно организованная система внутреннего контроля на предприятии имеет важное значение для повышения эффективности деятельности компании.

Оценка возможных рисков

Мнение

Светлана Роганова , ведущий бухгалтер компании «Эльдорадо»

Практика эффективного внутреннего контроля

По нашему мнению, наиболее эффективная методика осуществления деятельности службой внутреннего контроля - это использование подхода на основе трех линий защиты. Если правильно перенять этот зарубежный опыт в России, риск того, что компания, например, допустит ошибки в бухгалтерской отчетности, будет невелик. В основе этого метода - проверка данных по трем «фронтам». Особенность подхода в том, что если одна из линий не заметит ошибку, то она будет нивелирована на следующей линии защиты. Работа третьей линии защиты наиболее ответственна, так как нужно проверить данные первых двух.

Сложность в практическом осуществлении проекта заключается в том, чтобы грамотно распределить специалистов по трем линиям защиты. Наше предложение: к первой линии защиты отнести бухгалтерию, отдел отчетности, ко второй линии - службу внутреннего контроля, отдел, отвечающий за риски, службу комплаенс (при наличии), к третьей - службу внутреннего аудита. Завершающей инстанцией по проверке данных будут выступать внешние аудиторы.

Несмотря на то что для многих компаний довольно дорого содержать штат службы внутреннего контроля и одновременно еще и внутреннего аудита, для крупного бизнеса это реальная необходимость в настоящее время, иначе из-за большого объема информации очень просто не заметить ошибку или не учесть соответствующий риск. Служба внутреннего аудита должна быть выше по рангу службы внутреннего контроля и осуществлять контроль за работой последней. Кроме того, службы могут помогать друг другу в методологической поддержке, в проведении взаимного контроля качества, разделении зон ответственности. При таком подходе можно сократить затраты на внешний аудит. Внутренние контролеры должны также плотно взаимодействовать с менеджментом компании и решать возникающие вопросы во взаимоувязке - эффективность службы внутреннего контроля в этом случае повысится в разы.