Первая линия защиты от рисков

Авторы: Михаил Токун, Наталья Садова, члены Ассоциации «Институт внутренних аудиторов»

Читайте предыдущие статьи цикла «Введение во внутренний аудит»:

  1. Понятие внутреннего аудита и различие между внешним и внутренним аудитом

  2. Внутренний аудит: риски и контроли

  3. Виды внутреннего аудита

Повышению результативности любого бизнеса способствует надежные и эффективные системы внутреннего контроля и управления рисками. Ответственность за бесперебойное функционирование этих систем несет руководство компании, которое призвано внедрить интегрированную систему управления рисками и внутреннего контроля с учетом отраслевой специфики.

При построении интегрированной системы, помимо отраслевой принадлежности, необходимо учитывать размер организации, нормативно-правовую среду, в которой она осуществляет деятельность, корпоративную культуру и ряд других факторов.

В 2013 году международный Институт внутренних аудиторов (The IIA) разработал модель Трех линий защиты. Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.

Модель «Трех линий защиты»

Первая линия защиты

Структурные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители структурных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в курируемых бизнес-процессах.

Вторая линия защиты

Подразделения, отвечающие за управление рисками в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру. В компетенцию этих подразделений не должна входить ответственность за своевременное выявление и оценку рисков, т.к. этим занимаются подразделения первой линии защиты.

Во вторую линию обычно входят подразделения, ответственные за управление рисками, систему внутреннего контроля, безопасность, комплаенс, юридическое сопровождение и т.п. Они обеспечивают непрерывный мониторинг процесса разработки и функционирования контрольных процедур, относящихся к первой линии защиты, консультируют по вопросам управления рисками, проводят обучение сотрудников компании.

Сопоставление 1-й и 2-й линий защиты:

Третья линия защиты

Совет директоров оценивает и утверждает уровень рисков компании с учетом стратегических целей и задач в области управления рисками. Комитеты по аудиту, по управлению рисками и др. помогают совету директоров осуществлять контроль над эффективностью системы управления рисками организации.

Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы управления рисками. Совет директоров принимает это заключение как руководство к действию. Под надзором комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.

Необходимо четко определить функции и обязанности лиц, принимающих участие в процессах управления рисками и внутреннего контроля, обеспечив эффективное взаимодействие и обмен информацией между ними, а также подготовку соответствующей отчетности.

Внутренний аудит может использовать в своей деятельности результаты работы других субъектов системы внутреннего контроля, которые осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

С целью четкого разделения зон ответственности в организации создается Карта гарантий.

Карта гарантий – документ, который отражает покрытие рисков и бизнес-процессов контрольными функциями компании, а также позволяет более эффективно координировать работу структурных подразделений, осуществляющих контрольную функцию на различных уровнях.

Карта гарантий может включать следующую информацию:

  • перечень бизнес-процессов компании;

  • перечень рисков компании;

  • владельцы риска (ответственные за управление рисками организации);

  • субъекты системы внутреннего контроля, осуществляющие мониторинг/оценку в отношении каждого из рисков.

При разработке Карты гарантий используются внутренние документы компании, а именно: классификатор рисков и процессов, карта рисков и другие документы, определяющие взаимодействие субъектов системы внутреннего контроля, осуществляющих мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

УДК 336.71

УПРАВЛЕНИЕ ОПЕРАЦИОННЫМИ РИСКАМИ В КОММЕРЧЕСКОМ БАНКЕ

А.В. Закоян

Ереванский Государственный Университет

В статье рассматриваются проблемы организации и координации работ по созданию и поддержанию системы управления операционными рисками в коммерческом банке. Реализация комплекса предлагаемых мероприятий обеспечит создание современной системы управления операционными рисками. Это позволит усилить контроль за уровнем операционные рисков в коммерческом банке и повысит качество процессов управления такими рисками.

Ключевые слова: операционный риск, реестр рисков, риск- аудит, бизнес -процесс, идентификация рисков, фактор риска.

Целью управления операционными рисками в коммерческом банке (далее -банк) является создание саморегулирующегося механизма системы управления операционными рисками (далее — СУОР), обеспечивающего поддержание допустимого уровня операционных рисков банка для максимизации стоимости банка в интересах акционеров в долгосрочной перспективе. Для достижения цели управления операционными рисками банком должны решаться следующие задачи:

• реализация утвержденной политики управления операционными рисками всеми подразделениями банка, вовлеченными в процесс управления операционными рисками, путем разработки и внедрения необходимых внутренних нормативных документов, регламентирующих процесс управления и внутреннего контроля операционных рисков;

• создание системы принятия решений, учитывающей операционные риски, в частности, обеспечение эффективности работы коллегиальных органов банка в области принятия решений по управлению операционными рисками;

• создание механизма мотивации подразделений банка к эффективному управлению и контролю операционных рисков, присущих их деятельности;

• создание и развитие методологии по управлению операционными рисками, в том числе:

— поддержание эффективного механизма своевременной идентификации, мониторинга и оценки возможных (потенциальных) негативных событий, связанных с операционными рисками,

— определение приемлемого уровня конкретных типов операционных рисков с точки зрения их значимости для банка, с учетом экономической целесообразности затрат на их анализ и мониторинг,

— создание и развитие методологии оценки прямых и косвенных потерь, понесенных банком в результате реализации операционных рисков, а также оценка объема капитала, резервируемого под операционные риски банка,

• определение порогов или ограничений для присущего и остаточного операционных рисков;

• поддержание эффективной системы внутреннего контроля в области управления операционными рисками;

• обеспечение непрерывности бизнеса в нештатных и кризисных ситуациях;

• организация процесса сбора и регистрации данных о реализованных рисковых событиях и их последствиях;

• принятие адекватных мер для снижения/избежания потерь (убытков) или передачи рисков третьим лицам (страхование);

• обеспечение надлежащего разделения обязанностей между подразделениями банка, ответственными за разработку, реализацию и оценку эффективности систем управления операционными рисками и внутреннего контроля;

• создание культуры управления операционными рисками на исполнительском и управленческом уровнях организационной структуры банка.

Операционным рискам подвержены все бизнес-процессы и направления деятельности банка. Под потерями от реализации операционных рисков подразумевается понесение прямых и косвенных потерь , обусловленных факторами операционных рисков. К возможным потерям от реализации операционных рисков могут относиться:

• прямые потери от реализации рисков, в том числе такие, как:

— денежные выплаты на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством страны,

— денежные выплаты клиентам и контрагентам, а также сотрудникам банка в целях компенсации во внесудебном порядке убытков, понесенных ими по вине банка,

— затраты на восстановление деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств,

— снижение стоимости активов,

— досрочное списание (выбытие) материальных / нематериальных активов;

• косвенные потери от реализации рисков (потери нефинансового характера, а также упущенная выгода), в том числе такие, как:

— поступление жалоб со стороны клиентов (массовых или со стороны отдельных клиентов),

— появление негативных сообщений в СМИ (региональных, федеральных, мировых),

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

— отток клиентов банка (в том числе отказ отдельных клиентов от услуг банка),

— поступление официальных запросов от регулятора и/или других надзорных органов страны.

Концепция оценки операционных рисков подразумевает использование остаточного и присущего рисков. Присущий операционный риск — операционный риск, рассматриваемый без учёта каких-либо контрольных процедур, влияющих на его уровень, т.е. риск, изначально присутствующий в деятельности банка в силу объективных причин. Этот риск оценивается без учета любых имеющихся (возможных) мер по его снижению. Оценка производится в соответствии с рейтинговой шкалой (горизонт оценки -1 год). Остаточный операционный риск-это операционный риск, рассматриваемый с учетом всех фактически действующих в банке контрольных процедур, влияющих на его уровень, т.е. присущий риск после принятия мер по его контролированию и ограничению (снижению). Этот риск оценивается с учетом контроля и других мер воздействия (с учетом их эффективности). Оценка остаточного риска также реализуется на основе рейтинговой шкалы (горизонт оценки -1 год).

Факторы операционных рисков классифицируются по нескольким критериям , что позволяет более полно учесть многомерность проявления данного вида риска. Классификация факторов рисков по категориям (типам) источников риска приведена ниже (таблица 1).

В зависимости от природы источника возникновения риска факторы операционных рисков дополнительно подразделяются на внешние и внутрен-

ние . Внешние факторы операционных рисков обуславливаются окружающей средой банка, действиями сторонних физических или юридических лиц и могут стать причиной таких рисковых событий, как природные катастрофы и бедствия, сбои в энергоснабжении и предоставлении коммунальных услуг, воровство, грабеж. Внутренние факторы операционных рисков обуславливаются внутренней средой банка, действиями со-

Классификация факторов

трудников банка, внутренними процессами и системами банка и могут являться причиной таких рисковых событий, как неотраженные в отчетности операции, неавторизованное совершение операций, исковые требования к банку в связи с нарушением требований законодательства. Разделение факторов рисков на внутренние и внешние в рамках выделенных категорий факторов приведено ниже (таблица 2).

Таблица 1

операционные рисодв

Категория (тип) фактора риска Описание фактора риска, являющегося источником соответствующего вида операционного риска

«Люди» Случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации.

«Системы» Сбои в функционировании систем и оборудования.

«Бизнес-процессы» Несовершенство структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля.

«Внешние события» Неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.

Таблица 2

Разделение типов операционных рисков по влияющим факторам

Категория (тип) фактора риска «Внутренний»/»Внешний» фактор

«Люди» Конкретный фактор риска из данной категории может относиться как к внешним (в случае, когда действия, направленные против интересов банка, совершены сторонними лицами), так и к внутренним (в случае, когда действия, направленные против интересов банка, совершены сотрудниками банка) факторам.

«Системы» Внутренний

«Бизнес-процессы» Внутренний

«Внешние события» Внешний

Рисковые события классифицируются по следующим критериям: источники возникновения (в разрезе категорий

риск-факторов, ставших источниками операционных рисков); направления деятельности банка; виды объектов риска:

материальный актив или вид деятельности; типы последствий рискового события. В зависимости от места возникновения риска факторы операционных рисков подразделяются на внешние и внутренние. Внешние факторы операционных рисков обуславливаются окружающей средой банка, в т.ч. действиями сторонних физических или юридических лиц. Внутренние факторы операционных рисков обуславливаются внутренней средой банка, действиями сотрудников банка, внутренними процессами и системами банка и подразделяются на системные и человеческие, в зависимости от того, что привело к возникновению рискового события: действие системы или действие сотрудника. В зависимости от преднамеренности действий, приводящих к возникновению рискового события, факторы рисков делятся на преднамеренные и непреднамеренные. Целью классификации операционных рисков является оптимизация средств идентификации, оценки, мониторинга и управления различными типами операционных рисков.

СУОР является неотъемлемой частью системы комплексного управления рисками в банке и состоит из методологии, бизнес-процессов, подразделений-участников и отдельных функций, согласованное исполнение которых позволяет банку эффективно управлять операционными рисками. Основными элементами СУОР являются : самостоятельная идентификация и оценка рисков подразделениями банка; ведение реестра операционных рисков банка; риск-аудит; сбор и регистрация данных о рисковых событиях и их последствиях; система отчетности об уровне операционных рисков; интегрированная оценка операционных рисков; применение принципов управления операционными рисками при принятии решений; обеспечение непрерывности деятельности и планирование работы банка на случай непредвиденных (форс-мажорных) ситуаций; мероприятия по

оптимизации уровня операционных рисков банка.

Структурными подразделениями банка в отношении операционных рисков, возникающих при исполнении ими функций в пределах собственной компетенции, а также операционных рисков, возникающих на стыке деятельности подразделений, должна периодически проводиться самостоятельная идентификация и оценка операционных рисков банка, задачами которых являются: создание культуры управления операционными рисками на исполнительском уровне организационной структуры банка; постоянное улучшение оперативного управления операционными рисками силами самих подразделений; сбор данных о наиболее эффективных методах контроля и оперативного управления операционными рисками; разработка и внедрение мероприятий контроля и оперативного управления операционными рисками; мониторинг операционных рисков для всех основных направлений деятельности банка; предоставление информации для обновления реестра операционных рисков банка. Полномочия по выбору метода управления и определению мер по минимизации того или иного операционного риска определяются его рейтингом (группой риска). По факту выявления операционного риска подразделение банка оценивает операционный риск, определяет метод управления операционным риском (страхование, обоснованное принятие, отказ от вида деятельности, минимизация), при необходимости разрабатывает меры минимизации риска, предоставляет подразделению по управлению рисками банка информацию для обновления реестра операционных рисков банка.

С целью анализа и мониторинга операционного риска банк должен осуществлять ведение реестра операционных рисков банка, риск-аудит, сбор и регистрацию данных о рисковых событи-

ях и их последствиях, ключевые индикаторы рисков; построение системы отчетности об уровне операционных рисков, эскалацию операционных рисков (система информирования и принятия решений в отношении рисков). Реестр операционных рисков банка представляет собой автоматизированную систему с возможностью ввода, поиска и обработки данных об операционных рисках. Реестр операционных рисков банка в обязательном порядке включает следующую информацию: описание операционного риска, объект риска, подразделение, при исполнении которым своих функций может реализоваться операционный риск, типы (классификация) операционного риска, рейтинг операционного риска, владелец риска, принятие решения о методе управления операционным риском (принятие, страхование, минимизация).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Риск-аудит представляет собой отдельный проект, направленный на идентификацию и выработку мер по минимизации операционных рисков наиболее критических бизнес-процессов и направлений работы банка. Риск-аудит должен проводиться совместными силами подразделения по управлению рисками банка и подразделений, участвующих в аудируемом бизнес-процессе. Ответственным за проведение риск-аудита является подразделение по управлению рисками банка в рамках своих полномочий и функциональных обязанностей. Подразделения, участвующие в аудируемом бизнес-процессе, обязаны предоставлять всю необходимую для проведения риск-аудита информацию своевременно и в полном объеме.

Задачами риск-аудита являются: выявление значимых операционных рисков бизнес-процессов и направлений деятельности, включая операционные риски на стыке работы различных подразделений; выявление ключевых моментов бизнес-процессов, способных привести к сбоям в операционной деятельности;

приоритезация выявленных операционных рисков и их рейтингование; принятие решения о методе управления и оптимизации уровня всех значимых выявленных операционных рисков, а также формирование перечня мероприятий по оптимизации их уровня; помощь подразделениям банка в оперативном управлении операционными рисками, присущими их деятельности. Для проведения риск-аудита должны выбираться особо значимые для деятельности банка направления, либо бизнес-процессы, для которых выявлен высокий уровень операционных рисков. Результатами риск-аудита являются идентифицированные, приоритезированные и рейтинго-ванные операционные риски аудируемых бизнес-процессов и направлений, а также согласованный со всеми заинтересованными подразделениями перечень мер по оптимизации уровня выявленных операционных рисков; пополнение и уточнение реестра операционных рисков банка и базы рисковых событий.

В банке должен осуществляться сбор данных о рисковых событиях и понесенных потерях с их последующей регистрацией в автоматизированном хранилище информации — базе рисковых событий. Подразделение по управлению рисками должно осуществлять мониторинг рисковых событий и потерь в отношении событий, связанных с операциями/функциями подразделений банка. В базе регистрируется информация о каждом событии, соответствующем одновременно следующим критериям: событие произошло в результате нарушений или ошибок в действиях работников банка, нарушений хода внутренних бизнес-процессов и функционирования систем банка, а также вследствие внешних, не относящихся к кредитному, рыночному, стратегическому и репутационному риску событий; событие обусловило и/или обусловит, и/или могло бы обусловить в будущем возникновение у банка факти-

ческих или потенциальных финансовых потерь; величина обуславливаемых рисковым событием потерь превышает установленный стоимостный порог. Собранные данные используются для идентификации направления деятельности и конкретных бизнес-процессов, наиболее подверженных операционным рискам, составления планов проведения риск-аудита бизнес-процессов банка и выявления наиболее критических для банка факторов операционных рисков. Подразделение по управлению рисками банка должно периодически осуществлять анализ и оценку реализованных рисковых событий и операционных потерь.

Ключевые индикаторы риска (КИР) представляют собой измеримые показатели , отражающие уровень подверженности того или иного процесса банка определенному операционному риску т.е. его значение может свидетельствовать о реализации рискового события или о возможности его реализации в будущем. Использование КИР позволяет оценивать и прогнозировать изменения уровня риска, то есть изменение значений КИР предшествует либо сопровождает изменения уровня риска. Мониторинг КИР позволяет своевременно принимать меры для сохранения приемлемого уровня соответствующего операционного риска, что делает КИР одним из наиболее эффективных инструментов контроля за уровнем операционных рисков.

Консолидированная отчетность об уровне операционных рисков банка формируется подразделением по управлению рисками банка на основании информации базы рисковых событий и реестра операционных рисков и включается в состав управленческого отчета о рисках банка, который должен ежеквартально представляться правлению банка подразделением по управлению рисками. По мере развития методологии количественной оценки операционных рисков консолидированная отчетность об уровне

операционных рисков банка дополняется информацией об их количественной оценке. Банк должен осуществлять как качественную, так и количественную оценку операционных рисков . Качественная оценка производится путем присвоения операциям, бизнес-процессам и бизнес-направлениям рейтинга, характеризующего уровень их операционных рисков, что позволяет производить более глубокий анализ операционных рисков бизнес-процессов и операций, в том числе сравнивать различные варианты реализации бизнес-процессов, а также выявлять направления деятельности, наиболее подверженные операционным рискам. Для установления рейтинга

операционных рисков операции, бизнес-процесса и бизнес-направления с использованием системы балльной оценки определяются:

— тяжесть последствий реализации операционных рисков операции, бизнес-процесса и бизнес-направления, при этом балл присваивается исходя из наиболее существенного последствия реализации риска. Для присвоения баллов используются такие характеристики тяжести последствий, как величина потерь и качественное описание последствий;

— степень вероятности реализации рискового события. Для присвоения баллов оценивается вероятность реализации рискового события (вне зависимости от того, возникнут ли у банка потери в результате его реализации или нет);

— уязвимость банка к реализованным операционным рискам операции, бизнес-процесса и бизнес-направления. Для присвоения баллов оценивается вероятность возникновения потерь и последствий для банка в случае реализации рискового события.

Итоговый рейтинг операционных рисков определяется путем интеграции трёхбалльных оценок. Результаты рей-

тингования операций, бизнес-процессов и бизнес-направлений подлежат периодическому пересмотру по факту изменения бизнес-процессов и операций, в т.ч. реализации мероприятий по минимизации операционных рисков.

Количественная оценка позволяет оценивать уровень операционных рисков банка в целом и служит для определения объема капитала, резервируемого под операционные риски. Количественную оценку операционных рисков производит подразделение по управлению рисками банка. Она зависит от уровня развития системы управления операционными рисками и может быть рассчитана следующими методами: метод базового индикатора, стандартизованный метод. По мере накопления и систематизации исторических данных о рисковых событиях и их последствиях банк может перейти к оценке операционных рисков с использованием прогрессивного метода (Advanced Measurement Approaches), основанного на использовании внутренних моделей банка, исторических данных о величине убытков от операционных рисков, моделей с применением технологии оценки VaR.

В рамках эскалации операционны x рисков в банке должен осуществлятся ряд мероприятий: информирование органов управления банка в случае выявления условий, при которых требуется реализация эскалации; оценка рисков, выявленных в процессе эскалации; разработка мероприятий по изменению уровня рисков.

На этапе развития СУОР в качестве ограничений на операционные риски банк должен установить принципы управления ими, которые применимы при принятии любого бизнес-решения, а также проводить работы по обеспечению непрерывности деятельности банка на случай непредвиденных (форс-мажорных) ситуаций.

Обеспечение непрерывности деятельности представляет собой комплекс организационных, технических и программных мероприятий, направленных на минимизацию потерь банка в случае наступления незапланированных ситуаций, которые могут привести к остановке работы информационных систем, бизнес-процессов, повлиять на работу персонала. Для минимизации негативных последствий срывов операционной деятельности банк должен применять следующие меры:

— эффективное резервирование данных информационных систем,

— планирование оперативного восстановления информационных систем,

— обеспечение автономности работы подразделений, информационных систем и бизнес-процессов, осуществление контроля и оценки операционных рисков,

— планирование оперативного реагирования и восстановления бизнеса отдельных структурных подразделений в случае нарушения нормального функционирования бизнес-процессов.

В целях согласованного оперативного реагирования и скорейшего восстановления работы при сбоях и незапланированных ситуациях в банке в установленном порядке должны разрабатываться и утверждаться планы работ при возникновении чрезвычайных, нештатных и аварийных ситуаций (отдельный план для ситуации каждого вида). Как правило, планы работ при возникновении данных ситуаций разрабатываются для потенциальных рисковых событий с низкой вероятностью реализации и высокой тяжестью последствий. Внедрение в банке новых бизнес-процессов должно осуществляться только после анализа планов работ на предмет покрытия риска в подобных ситуациях во внедряемом бизнес-процессе или соответствующей модернизации указанных планов. В разработке и актуализации планов работ при возник-

новении чрезвычайных, нештатных и аварийных ситуаций могут принимать участие следующие подразделения (в рамках своей компетенции): подразделения информационных систем, безопасности, хозяйственного обеспечения, управления рисками, внутреннего аудита и подразделения банка, отвечающие за разработку и внедрение продуктов и бизнес-процессов.

С целью предупреждения (предотвращения) всех типов операционных рисков и снижения возможных финансовых потерь банк должен использовать следующие общие принципы управления операционными рисками .

Общий принцип 1. Банк принимает следующие внутренние нормативные документы :

— положения о комитетах, постоянно действующих комиссиях и структурных подразделениях банка,

— положение о правлении банка,

— об организации системы внутреннего контроля,

— должностные инструкции сотрудников,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

— о порядке совершения банковских операций и управления операционными рисками соответствующих бизнес-процессов,

— методика определения (установления) лимитов полномочий,

— процедуры обеспечения безопасности деятельности банка,

— о процедуре осуществления ИТ-проектов по модернизации и разработке автоматизированных банковских систем,

— о порядке обслуживания и поддержания в работоспособном состоянии действующего программно-аппаратного комплекса банка,

— о порядке документооборота банка, а также о процедурах доступа к информации в банке,

— планы работ в случае чрезвычайных, нештатных и аварийных ситуаций.

Общий принцип 2. Банк проводит конкурсы (тендеры) на поставку:

— оборудования для кассовых узлов, хранения и транспортировки ценностей, противопожарного и другого оборудования, обеспечивающего безопасность банковской деятельности,

— операционных систем, программных продуктов, электронных систем коммуникации, оборудования, компьютерного оборудования, средств связи, банкоматов и т.п.,

— бытовой техники, предметов обстановки и иных товаров/услуг, используемых для оборудования помещений банка.

Общий принцип 3. Банк использует принцип разделения полномочий и недопущения конфликта интересов: в банке не допускается совмещение в одном независимом структурном подразделении полномочий (обязанностей) по осуществлению банковских операций, подверженных экономическим рискам, с любой из нижеперечисленных функций:

— оформление (по операциям, требующим сопровождения со стороны бэк-офиса),

— контроль соответствия рисков ограничениям, установленным по операциям,

— бухгалтерский учет операций,

— управление рисками.

Кроме того, нижеследующие подразделения банка организационно должны быть подчинены разным руководителям банка (филиала):

— подразделения, совершающие операции и, соответственно, подверженные экономическим рискам,

— подразделения, ответственные за отражение операций в бухгалтерской отчетности,

— подразделения, осуществляющие функции управления рисками.

В отдельных случаях вопрос о возможности совмещения полномочий (обязанностей) должен решаться с учетом

значимости таких операций для банка, их числа и объема, степени существенности возможных потерь, экономической эффективности бизнес-процессов, связанных с проведением операций, а также введения дополнительных ограничений и методов контроля сопутствующих операционных рисков (дополнительной авторизации операций, последующего контроля, автоматического исполнения контрольных функций и т.п.).

Общий принцип 4. Идентификация и оптимизация уровня операционных рисков для новых продуктов и процессов банка:

— в банке недопустимо осуществление новых банковских операций и процессов и предоставление продуктов при отсутствии нормативно-технологических документов или соответствующих решений коллегиальных органов, регламентирующих порядок их совершения;

— все нормативно-технологические документы, описывающие бизнес-процессы и изменения к ним, должны предусматривать обязательное согласование с подразделениями по управлению рисками, внутреннему аудиту и безопасности, а также со специализированным независимым подразделением, являющимся экспертом в области правовых рисков и пруденциальных норм деятельности, с целью соблюдения в описываемом в документе процессе принципов управления операционными рисками. В случае, если предмет нормативно-технологического документа затрагивает вопросы налогового законодательства, бухгалтерского учета, такой документ дополнительно должен предусматривать обязательное согласование со специализированным подразделением, ответственным за обеспечение соблюдения норм налогового законодательства и бухгалтерского учета в банке.

В дополнение к изложенным общим принципам банк должен определить принципы управления и инструменты

предотвращения/снижения операционных рисков в разрезе типов операционных рисков. Для разработки мероприятий по ограничению и нейтрализации выявленных факторов операционных рисков в банке используются следующие методы : перенос неблагоприятных финансовых последствий от реализации операционных рисков на стороннее лицо путем страхования операционных рисков, обоснованное принятие операционных рисков, отказ от вида деятельности, подверженного операционному риску, минимизация операционных рисков (с целью их снижения до приемлемого для банка уровня), управление капиталом и резервами для покрытия операционных рисков.

Методы управления операционными рисками могут быть направлены на: снижение вероятности понесения потерь от реализации операционных рисков; снижение величины ущерба банка в результате реализации операционных рисков; изменение типа негативных последствий для банка в результате реализации операционных рисков; снижение затрат банка в случае, когда реализация мер по минимизации рисков не является экономически обоснованной.

Реализация комплекса

рассматриваемых мероприятий является основой для организации работы по управлению операционными рисками в коммерческом банке (далее — банк) с целью создания саморегулирующегося механизма СУОР, обеспечивающего поддержание допустимого уровня операционных рисков банка для максимизации стоимости банка в интересах акционеров в долгосрочной перспективе. СУОР является неотъемлемой частью системы комплексного управления рисками в банке и состоит из методологии, бизнес-процессов, подразделений-

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

участников и отдельных функций, согласованное исполнение которых позволяет

банку эффективно управлять операционными рисками.

Комплекс рассматриваемых мероприятий разработан на основе фактически сложившейся практики управления операционными рисками в банке с учетом перспектив ее развития в ближайшие годы. С целью повышения эффективности СУОР рекомендуется: использование концепции оценки остаточного и присущего операционных рисков, ведение реестра операционных рисков банка, проведение риск-аудита в особо значимых для деятельности банка направлениях, использование ключевых индикаторов риска для оценки и прогнозирования изменения уровня операционных рисков, определение итогового рейтинга операционных рисков путем интеграции трехбалльной системы оценок и др.

Осуществление всех предложенных мероприятий устанавливает общие ориентиры, принципы и стандарты управления операционными рисками. Подробное

рассмотрение вопросов управления операционными рисками, в частности, порядка взаимодействия подразделений, порядка распределения и делегирования полномочий в процессе управления рисками, алгоритмов и методов управления операционными рисками осуществляется в нормативных и методических документах нижнего уровня (процедурах, инструкциях, положениях и методиках).

ЛИТЕРАТУРА

1. Банковские риски: Учебник/ коллектив авторов, под ред. О.И. Лаврушина, Н.И. Валенцевой. —

— М. КНОРУС, 2013 — 296 с.

2. Риск менеджмент в коммерческом банке: монография/коллектив авторов / под ред. И. В. Ларионовой. — М.: КНОРУС, 2014. — 456 с.

3. Сазыкин Б.В. Управление операционным риском в коммерческом банке. — М.: Вершина, 2008.

— 272 с.

4. Энциклопедия финансового риск менеджмента / Под ред. А. А. Лобанова и А. В. Чугунова. — М.: Альпина Бизнес Букс, 2007 — 878 с.

Рукопись поступила в редакцию 29.05.2015.

MANAGEMENT OF OPERARATIONAL RISKS IN COMMERCIAL BANK

A. Zakojan

Любовь Нисенбойм Директор группы корпоративного управления, управления рисками и обеспечения соответствия законодательным требованиям и стандартам, PricewaterhouseCoopers
Журнал «Консультант», №13 за 2011 год

Многие компании тратят огромные средства на реализацию проектов по повышению эффективности бизнеса, а результат все равно оставляет желать лучшего. Как максимально увеличить эффективность инвестиций и текущих операций? Какова роль управления рисками в процессе управления компанией? Как построить бизнес, в котором управление рисками является неотъемлемой частью всех процессов, выполняемых сотрудниками компании?

Внедрение эффективной системы управления рисками может сделать компанию более устойчивой к риску. Однако чтобы такая система работала, очень важно четко понимать и эффективно распределять роли и обязанности внутри компании, что будет способствовать принятию управленческих решений на базе полноценной информации о рисках.

Только опираясь на этот прочный фундамент, компании могут эффективно бороться с факторами риска.

В ответ на более пристальное внимание со стороны акционеров большинство российских компаний создали отдельные службы по управлению рисками. Это существенно повысило статус управления рисками в глазах руководства и совета директоров, но появились и новые проблемы.

Когда ответственность за управление рисками передается отдельной функциональной службе, другие бизнес-подразделения, как правило, слагают с себя эту функцию. В связи с этим некоторые риски неизбежно выпадают из поля зрения, что может привести к разрушительным последствиям.

PwC провело второй бизнес-завтрак для руководителей по управлению рисками и специалистов в данной области на тему «Управление рисками ответственность каждого». В мероприятии приняло участие более 60 человек.

Рисунок 1. Каков уровень поддержки системы управления рисками со стороны высшего руководства в вашей компании?

Главный вопрос, поставленный перед его участниками, заключался в том, как можно организовать деятельность по управлению рисками, чтобы она стала частью повседневной работы каждого сотрудника компании. Они поделились своим опытом в сфере укрепления так называемых трех линий защиты в модели взаимодействия в системе управления рисками, а также обсудили роли и обязанности для каждой из линий защиты.

Управление рисками — ответственность каждого

Управление рисками — процесс для российских компаний далеко не новый. Многие из них внедряют комплексные системы управления рисками, ни в чем не уступающие передовым мировым практикам. Компании, которые получили наибольшую выгоду от внедрения, утверждают, что создание общекорпоративного подхода к управлению рисками зачастую может потребовать пересмотра ролей и обязанностей руководителей и сотрудников, а иногда и всей организационной структуры предприятия.

По данным опроса руководителей крупнейших компаний мира, проведенного PwC, большая часть руководителей этого ранга планируют существенно изменить систему управления рисками, а не какие-либо другие элементы своей корпоративной стратегии, организационной или операционной модели. Тем не менее, когда мы спросили участников бизнес-завтрака по управлению рисками о реальном уровне поддержки со стороны руководства в границах системы управления рисками в их компаниях, только 35% охарактеризовали существующий уровень поддержки как достаточный.

В ходе обсуждения участники отметили важность участия руководства в развитии системы управления рисками и формировании культуры компании, определяющей последовательность действий сотрудников и принятие тех или иных решений в своей ежедневной деятельности с учетом существующих рисков.

Однако для эффективного функционирования системы управления рисками одной поддержки со стороны руководства недостаточно. Необходимо наладить модель взаимодействия, которая позволила бы четко сформулировать и разграничить роли и обязанности в системе управления рисками. Совет директоров и высшее руководство компании должны осуществлять надзор за внедрением и эффективной работой трех линий защиты. Эта модель определяет функции, обязанности и ответственность бизнес-подразделений, службы управления рисками и контроля и службы внутреннего аудита в рамках системы управления рисками.

Воспитание культуры управления рисками, или Три линии защиты

Как укрепить ответственность руководства и структурных подразделений?

Руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.

Рисунок 2. Каков уровень вовлеченности структурных подразделений в процесс управления рисками в вашей компании?

На вопрос о вовлеченности структурных подразделений в процесс управления рисками лишь четверть участников ответили, что структурные подразделения в их организации принимают активное участие в этом процессе, т.е. действительно своевременно выявляют риски, подготавливают необходимую отчетность и внедряют мероприятия по управлению ими. И хотя многие сотрудники могут неохотно реагировать на запросы подразделения по управлению рисками, стоит отметить, что уровень вовлеченности сотрудников в процесс управления рисками существенно выше, чем раньше.

К интересным выводам приводят результаты голосования участников по вопросу о том, как закреплены роли и обязанности в рамках системы управления рисками в их компаниях. В большинстве компаний, где структурные подразделения неохотно принимают на себя ответственность за управление рисками или же пассивны в этом процессе, эти роли и обязанности в рамках системы управления рисками либо не документированы вообще, либо документированы в политике или регламенте по управлению рисками, о существовании которых многие сотрудники даже не подозревают. Зачастую это и является одной из основных причин того, что структурные подразделения неактивно или неохотно участвуют или не до конца понимают свою роль в управлении рисками. Как показывает практика работы с крупными российскими организациями, указанные роли и обязанности в рамках системы управления рисками редко бывают прописаны в должностных инструкциях. Лишь 21% опрошенных ответили, что они задокументированы и реализуются.

Рисунок 3. Как определены роли и обязанности в рамках системы управления рисками в вашей компании?

В чем состоит роль современного подразделения по управлению рисками?

Эти подразделения разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения должны отслеживать деятельность других структурных подразделений в границах системы управления рисками и анализировать информацию о рисках, получаемую от них. Функции типичного подразделения по управлению рисками включают консультирование, координирование, поддержку и обучение сотрудников компании в области управления рисками.

В случае если в компетенцию данного подразделения входит ответственность за своевременное выявление, оценку рисков и управление рисками, система управления рисками не будет функционировать эффективно. Когда мы спросили в чем же действительно должна заключаться роль современного подразделения по управлению рисками, были перечислены следующие функции:

  • разработка и внедрение методологического подхода к управлению рисками;
  • координация действий компании в области управления рисками;
  • консультирование и методологическая поддержка подразделений компании по вопросам управления рисками;
  • координация и подготовка отчетности о рисках;
  • обучение сотрудников по вопросам управления рискам;
  • мониторинг выполнения плана мероприятий по управлению рисками структурными подразделениями, координация работы со службой внутреннего аудита;
  • разработка и внедрение мероприятий по совершенствованию системы управления рисками.

Третья линия защиты, или Как организовать независимую оценку результатов управления рисками?

Третья линия защиты организации включает внутренних аудиторов и совет директоров. Служба внутреннего аудита дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Совет директоров принимает это заключение как руководство к действию и выделяет службе внутреннего аудита необходимые ресурсы. Под надзором комитета по аудиту служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры эскалации проблем.

Рисунок 4. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду вашей компании?

Совет директоров задает тон в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками («аппетит к риску»). Комитеты по аудиту, по управлению рисками и по вознаграждениям помогают совету директоров осуществлять всеобъемлющий контроль над эффективностью системы управления рисками организации.

В ходе обсуждения в группах участники бизнесзавтрака указали на важность взаимодействия между внутренними аудиторами, подразделением по управлению рисками, руководством и советом директоров. Однако они подчеркнули, что отсутствие четких разграничений в обязанностях сотрудников службы внутреннего аудита и сотрудников подразделения по управлению рисками, которое зачастую является частью службы внутреннего аудита, может этому препятствовать.

Итоги и следующие шаги

Подводя итоги обсуждения, мы спросили участников о том, какая мера, по их мнению, может принести наибольшую выгоду для компании. Более трети всех участников посчитали, что именно налаживание взаимодействия между подразделением по управлению рисками и другими бизнес-подразделениями способно принести наибольшую пользу организации. Четверть участников отметили, что закрепление ответственности в рамках системы управления рисками путем внедрения КПД также способно принести пользу организации и укрепить риск-ориентированную культуру.

Необходимо добавить, что только совокупное внедрение всех предложенных мер способно принести реальную выгоду для организаций на российском рынке.

На мероприятиях, проводимых PwC, вопрос о преимуществах и выгодах от внедрения комплексных систем управления рисками поднимается довольно-таки часто. Мнения самих руководителей и сотрудников соответствующих подразделений показались нам очень интересными.

Сорок процентов участников отметили, что за последний год внедрение системы управления рисками способствовало укреплению корпоративного имиджа их компаний. По мнению еще трети участников, эта система помогает повышать эффективность и прозрачность отчетности для акционеров. Оба эти варианта указывают на неосязаемые выгоды от внедрения системы управления рисками, что, безусловно, также несет в себе определенные выгоды для компании.

Рисунок 5. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду в вашей компании?

Однако от внедрения системы управления рисками ждут в первую очередь именно осязаемых результатов, связанных с реальным сокращением неопределенности, предотвращением убытков и сокращением затрат. Лишь 19% участников отметили именно это преимущество (15%-ное снижение затрат на финансирование и 4%-ное уменьшение суммы страховых взносов). Означает ли такой результат, что система управления рисками не создает для компаний, работающих в России, выгод, которые возможно измерить в деньгах? Скорее, это может быть продиктовано тем, что в организациях не всегда четко сформулированы цели внедрения системы управления рисками и, соответственно, не всегда возможно эти выгоды измерить.

Версия для печати

Оставьте комментарий