Какие цели и задачи стоят перед подразделениями, выполняющими в банке функцию второй и третьей линий контроля <1>? Каким образом результат работы каждой линии защиты может быть использован другой? Как посредством такого взаимодействия создать прочный фундамент для крепкой защиты банка и при заданном риск-аппетите получить хорошие темпы прироста рентабельности инвестированного капитала?
Банку России потребовались долгие девять лет, чтобы «навести резкость» и прийти к пониманию, что внутренний контроль и внутренний аудит — это, как говорится, «из разных опер». Только в январе 2014 г. начали действовать изменения в Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности», в которых поименованы отдельные подразделения контроля, рисков, аудита. Положение Банка России от 16.12.2003 N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение N 242-П) было пересмотрено регулятором только в первой половине 2014 г. и начало действовать с 20 июля 2014 г.
Именно этот временной гэп значительно затормозил развитие систем внутреннего контроля и корпоративного управления кредитных организаций в нашей стране. То, что в зрелых иностранных компаниях уже более десятка лет (а на самом деле еще дольше — на зарубежных конференциях я знакомилась с коллегами, которые работают внутренними аудиторами около 30 (!) лет) воспринимается как норма и the must, будет еще долго усваиваться российским топ-менеджментом, требовать отдельных пояснений и красивых презентаций на тему «В чем отличие контроля от аудита».
Тем не менее лучше поздно, чем никогда, и к 1 октября 2014 г. все кредитные организации, осуществляющие деятельность на территории Российской Федерации, были обязаны внести изменения в уставные и учредительные документы, ввести в организационные структуры отдельные службы внутреннего контроля, внутреннего аудита, рисков. Безусловно, каждая служба должна иметь руководителя и пул документов, регламентирующих ее деятельность. Обо всех существенных изменениях в системе внутреннего контроля кредитной организации следовало проинформировать Банк России.
Линии защиты
Прежде всего стоит упомянуть, что описываемая далее модель организации работы подразделений, выполняющих функцию второй и третьей линий защиты, по мнению автора, может быть применена в работе любой финансовой организации, деятельность которой лицензируется и контролируется мегарегулятором, то есть Банком России.
Вторая линия — подразделение рисков и служба внутреннего контроля
По мнению автора, вторая линия защиты — это подразделение рисков (в терминах Банка России — «служба рисков») и служба внутреннего контроля (далее — внутренний контроль). И только. Все прочие — юридические, залоговые, операционно-бухгалтерские службы, подразделения, выполняющие функции информационной и экономической безопасности, контроль ПОД/ФТ (по сути, почти все, кроме фронт-подразделений и операционных подразделений типа маркетинга и стратегов), по мнению автора, относятся к первой линии защиты. Эта защита постоянна, ежедневна, а иногда осуществляется в онлайн-режиме.
К основному функционалу внутреннего контроля относится управление регуляторным риском, то есть риском возникновения у кредитной организации убытков из-за несоблюдения законодательства РФ, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными), а также убытков в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов. Вспомним о действующем и поныне Письме Банка России от 30.06.2005 N 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах», которое дает определение еще одному виду риска — правовому.
Правовой риск — это риск возникновения у кредитной организации убытков вследствие влияния ряда внутренних и внешних факторов, например:
— несоблюдения кредитной организацией законодательства Российской Федерации, в том числе по идентификации и изучению клиентов, установлению и идентификации выгодоприобретателей (лиц, к выгоде которых действуют клиенты), учредительных и внутренних документов кредитной организации;
— несоответствия внутренних документов кредитной организации законодательству Российской Федерации, а также неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства;
— нарушения кредитной организацией условий договоров;
— недостаточной проработки кредитной организацией правовых вопросов при разработке и внедрении новых технологий и условий проведения банковских операций и других сделок, финансовых инноваций и технологий;
— нарушения клиентами и контрагентами кредитной организации условий договоров;
— нахождения кредитной организации, ее филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.
До тех пор, пока регулятор не упразднил этот документ, по мнению автора, рассматривать правовой риск следует как составную часть регуляторного риска и определять особенности его управления в рамках общих процедур управления регуляторным риском кредитных организаций банковской группы. Наиболее целесообразно организовывать управление регуляторным риском посредством:
— регулярно-периодического тестирования областей, наиболее подверженных риску;
— участия в согласовании внутренних нормативных документов банка (что будет являться инструментом превентивного контроля регуляторного риска, а также позволит своевременно исключать риски конфликта интересов в процессах);
— анализа проектов договоров кредитной организации и уже заключенных контрактов на соответствие их требованиям законодательства.
Список перечисленных мер не является закрытым. Несмотря на наличие единых правил регулятора, каждая кредитная организация по-своему уникальна, применяет различные банковские технологии, обладает отличающимся набором рисков и, что самое главное, различным уровнем принятия этих рисков. Таким образом, для обеспечения хороших темпов прироста рентабельности инвестированного капитала (Return On Invested Capital, ROIC) при заданном риск-аппетите (в отношении всех видов риска, присущих деятельности банка) менеджмент каждого банка, учитывая специфику его деятельности, должен определить набор наиболее приемлемых инструментов контроля и управления регуляторным риском. Например, задачи внутреннего контроля кредитных организаций банковской группы «Открытие» несколько шире и глубже, чем трактует регулятор в Положении N 242-П (еще раз спасибо ему за то, что не установил жестких рамок, как именно следует реализовывать функционал внутреннего контроля), и можно уверенно утверждать, что это даст только положительный результат даже на коротком временном горизонте.
Третья линия — внутренний аудит
Банк России в Положении N 242-П (п. п. 4.1.1 — 4.1.8) подробно расписал функционал данного подразделения: тут и контроль активов, и тестирование, и достоверность бухгалтерского учета, и оценка методологии банковских рисков, заканчивая «проверкой деятельности службы внутреннего контроля кредитной организации и службы управления рисками кредитной организации». Учитывая, что внутренний аудитор — профессия в России новая, автор рекомендует изучать и применять опыт наших зарубежных коллег и те практики/методологию/стандарты, которые можно найти в профессиональной литературе по данной области (к сожалению для многих, она в основном на английском языке, но, к счастью, не испорчена некачественным переводом и дает стимул хорошо выучить английский хотя бы для этой цели).
Для себя автор формулирует основную задачу внутреннего аудита более системно: через аудит бизнес-процессов, предоставление топ-менеджменту и акционеру независимой оценки эффективности внутреннего контроля, системы риск-менеджмента и корпоративного управления. Таким образом, перед внутренним аудитом стоит более сложная (и бесконечно интересная) интеллектуальная проблема, требующая постоянного решения. Ключевым в приведенном выше определении является бизнес-процесс. Например, объектом проверок внутреннего аудита банковской группы и банковского холдинга «Открытие» являются именно процессы.
В деловой литературе вы найдете много умных определений о том, что такое бизнес-процесс. Вот одно из них: «Совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для потребителей». На первый взгляд не совсем ясно, как правильно соотнести это с аудитом. Причем с любым аудитом. Например, Банк России справедливо полагает, что с какой-то периодичностью внутренний аудит должен подвергать проверкам качество выполнения банком обязательных нормативов ликвидности. Как правило, подобная задача решается подразделениями «внутреннего аудита» кредитных организаций посредством пересчета этих самых нормативов с четким ориентиром на то, что есть непреложные требования Банка России, регламентирующие порядок их расчета. Если выявляют ошибки, то дают рекомендации: исправить, устранить.
Выше внутренний аудит заключен в кавычки сознательно, так как в понимании автора это, конечно, не аудит, а ревизия и контроль. Процессный аудит подразумевает, что вы будете мыслить выходя за рамки предложенного. Например, если руководитель поставил задачу своим внутренним аудиторам оценить эффективность бизнес-процесса подготовки подразделениями банка расчета обязательных нормативов ликвидности, то упражнение по их расчету-пересчету будет лишь одним из немногих аудиторских тестов, которые им предстоит выполнить. Важнее сделать в целом оценку подходов банка к управлению риском ликвидности, начиная от точки входа данного бизнес-процесса и завершая точкой выхода. Раскрытие подходов к оценке эффективности процессов не является целью данной статьи, но заметим, что внутреннему аудиту следует заранее (еще до начала аудиторской проверки или в начале ее) определить, какими критериями он будет измерять эту эффективность. Как правило, это сложность процесса (включая оценку достаточности контролей, так как контроли могут быть излишними), отсутствие/наличие разрывов в процессе, его стоимость, клиентоориентированность и регламентированность.
Взаимодействие как сотрудничество
Рассмотрев задачи второй и третьей линий защиты, можно перейти к их взаимодействию. Реализовать его возможно следующим образом.
Например, внутреннему аудиту целесообразно для целей собственного risk-assessment обращать внимание на слабые зоны в процессах, которые подвержены значительному регуляторному риску и, соответственно, до этого были проанализированы/протестированы внутренним контролем. Кстати, этим упражнением внутренний аудит может одновременно убить двух зайцев: получить лучшее понимание рисков и дать оценку качества работы внутреннего контроля, выполнив рекомендацию-требование Банка России в части проверки деятельности службы внутреннего контроля.
Дополнительно вспомним право внутреннего аудита в случае необходимости привлекать к своим проверкам любое подразделение и (или) сотрудника. Грех это не использовать во благо: выстроите взаимодействие внутреннего аудита таким образом, чтобы в некоторые его проверки были вовлечены сотрудники внутреннего контроля (например, для целей тестирования). Вероятно, многие читатели сейчас возмутятся: «Как же так! Внутренний контроль сам является объектом проверок, тут неминуемо возникнет конфликт интересов». Не возникнет, если построить работу грамотно. Внутреннему аудиту нужны «руки» внутреннего контроля. При этом даже шаблоны тестов должны быть самостоятельно подготовлены внутренним аудитом, и соответствующие выводы по результатам тестирования должен независимо и объективно делать только внутренний аудит.
Для усиления взаимодействия можно и даже необходимо использовать такие инструменты, как встречи, обсуждения результатов ключевых проверок. Создайте общий комитет под эгидой «Сделаем нашу компанию лучше и прибыльней», устраивайте конференции. Например, в группе компаний «Открытие» в июле 2014 г. прошла двухдневная конференция по внутреннему контролю и аудиту. Это сплотило команды внутреннего контроля и внутреннего аудита и позволило сгенерировать много полезных идей, которые планируется реализовать в 2014 — 2015 гг.
Вырабатывайте стратегию вашего дальнейшего развития совместно. Подключите подразделение рисков. Не будем здесь описывать варианты возможного взаимодействия с ними, просто помните: они есть, их много, и их нужно в полной мере применять.
На самом деле ко всему, о чем написано выше, больше подходит слово «сотрудничество». Без сомнения, именно сотрудничество, тесное и постоянное, создаст прочный фундамент для крепкой защиты вашей компании или банка. В итоге это будет способствовать приросту ROIC — одного из наиболее привлекательных показателей с точки зрения инвесторов и акционеров.
Информация об издании
Спецпредложение! Все покупатели электронных комплектов (печатная + электронная версия издания) получат бонус: 11 приложений к пособию в удобном для копирования и редактирования формате MS Word.
Не так давно Банк России ввел понятие регуляторного риска. Почти сразу оно стало одним из самых обсуждаемых среди профессионалов. Данное практическое пособие – первое и пока единственное в России – посвящено этой сложной теме регуляторного риска.
Как выявить и минимизировать регуляторный риск? Как выстроить систему управления им? Исчерпывающие ответы на эти и многие другие актуальные вопросы вы получите из предлагаемого пособия.
Данные ответы помогут вам существенно снизить риск убытков, которые можно понести в результате отступления от нормативно-правовых требований, санкций и иных мер воздействия со стороны надзорных органов. Это будет достигнуто благодаря содержащимся в пособии рекомендациям по выстраиванию и реализации антикоррупционной политики, политики предотвращения конфликта интересов, системы выявления нарушений прав клиентов и т. п.
Книга адресована руководителям и сотрудникам подразделений и служб:
- риск-менеджмента,
- внутреннего аудита и внутреннего контроля,
- методологии и аналитики.
Марина Бурдонова – сертифицированный GARP риск-менеждер с богатым практическим опытом, директор Департамента нефинансовых рисков и финансового мониторинга АКБ «РосЕвроБанк». Ранее возглавляла в этом банке Управление нефинансовых рисков (2011-2015 гг.) и Управление анализа и контроля клиентских операций (2010-2011 гг.). Образование — юридический факультет Академии государственной службы и экономический факультет Финансовой академии при Правительстве РФ.
ГЛАВА 1. ФОРМИРОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ
Немного истории
Обзор подходов к управлению регуляторным риском
Подходы и принципы Базельского комитета
Подходы и принципы COSO
Закон Сарбейнса–Оксли (Sarbanes–Oxley Act)
Нормативно-правовая база Банка России
ГЛАВА 2. ОРГАНИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ РЕГУЛЯТОРНЫМ РИСКОМ В РФ
Базовые правовые аспекты (внешнее регулирование)
Базовые методологические аспекты (внутреннее регулирование)
Цели и задачи системы управления регуляторным риском
Обеспечение влияния на регуляторную среду (нормы и требования к банковской деятельности)
Взаимодействие представителей комплаенс-службы с регулирующими и надзорными органами
Разработка, внедрение и реализация механизмов и инструментов управления регуляторным риском
Идентификация процессов и процедур, подверженных регуляторному риску. Оценка и мониторинг уровня регуляторного риска
Место и роль регуляторного риска в системе управления рисками банка
Место и роль регуляторного риска в системе внутреннего контроля банка
Вариативность построения системы управления регуляторным риском
ГЛАВА 3. УЧАСТНИКИ СУРР. РЕАЛИЗАЦИЯ ФУНКЦИЙ ПО УПРАВЛЕНИЮ РЕГУЛЯТОРНЫМ РИСКОМ
Роли, задачи и взаимодействие участников системы управления регуляторным риском
Анализ структуры корпоративного управления. Органы и профильные комитеты
Ключевая макрофункция в управлении регуляторным риском
Управление регуляторным риском в области ПОД/ФТ
Принципы риск-ориентированного подхода
Анализ показателей динамики жалоб клиентов и анализ соблюдения кредитной организацией прав клиентов
Предпосылки
Структура претензионной работы
Организация претензионной работы: спорные вопросы
Реализация антикоррупционной политики
Ранжирование бизнес-процессов по уровню рисков
Области и виды риска и контроля
Риски внутрихозяйственной деятельности
Пример отчетности
Управление риском возникновения конфликта интересов
Контроль профучастника рынка ценных бумаг. Контроль за использованием инсайдерской информации и манипулированием рынком
Международный санкционный комплаенс
Санкции США
Санкции Евросоюза
ГЛАВА 4. УПРАВЛЕНИЕ РЕГУЛЯТОРНЫМ РИСКОМ КАК ЧАСТЬ КОМПЛАЕНС-КУЛЬТУРЫ
Уровень зрелости комплаенс-культуры в банке
Этапы развития комплаенс-культуры
Организационные элементы
Использование информационных систем и технологий
Отчетность для менеджмента и государственных организаций
Типы контроля, используемые в бизнес-процессах
Кодексы, политики и процедуры
Распределение функций и рисков на уровне руководства
Области применения комплаенс-процедур
Наличие экспертов по комплаенсу (комплаенс-офицеров)
Мониторинг правил и норм комплаенса и реагирование на их изменения
Внедрение комплаенс-культуры посредством проведения тренингов и обучения сотрудников
Аудит и самооценка системы
Карта комплаенс-рисков, оценка этих рисков и анализ возможного воздействия
Внешние аудиторы
Управление персоналом (уменьшение первичного человеческого фактора)
Разработка и адаптация обучающих материалов
Организация обучения персонала
PR-кампании
Мотивационные программы вовлечения персонала в управление регуляторным риском
Стимулирование
ГЛАВА 5. ЭТАПЫ И ИНСТРУМЕНТАРИЙ УПРАВЛЕНИЯ РЕГУЛЯТОРНЫМ РИСКОМ
Выявление и учет событий регуляторного риска
Оценка регуляторного риска
Альтернативные подходы к оценке регуляторного риска
Подход на основе инструментов управления операционным риском как альтернативный подход к оценке регуляторного риска
Альтернативный подход к оценке приемлемости уровня регуляторного риска как способ повышения эффективности самооценки риска
Мониторинг и контроль регуляторного риска
Реестр ключевых индикаторов риска
Мониторинг и контроль регуляторного риска, связанного с изменениями регуляторной среды
Способы контроля
Минимизация регуляторного риска
Планы мероприятий по минимизации регуляторного риска
ГЛАВА 6. СИСТЕМА ОТЧЕТНОСТИ ПО УПРАВЛЕНИЮ РЕГУЛЯТОРНЫМ РИСКОМ
Уровни представления отчетности
Операционный уровень
Регулярный уровень
Нормативные документы и лучшие практики
Цели отчетности
Задачи отчетности
Основные принципы составления отчетности
Принцип полноты и доступности
Принцип ясности
Принцип точности
Принципы своевременности и актуальности
Состав и периодичность отчетности
Данные для консолидированной управленческой отчетности
Информация о динамике КИР
Результаты самооценки рисков
Результаты сценарного анализа
Подготовка данных о состоянии планов мероприятий
Подготовка данных о реализовавшихся событиях регуляторного риска
Как готовится отчетность для заинтересованных сторон
Промежуточный и внешний уровни отчетности
ГЛАВА 7. РАСКРЫТИЕ ИНФОРМАЦИИ И ПОДГОТОВКА ОТКРЫТОЙ ОТЧЕТНОСТИ
Раскрытие информации
Причины, цели и задачи раскрытия информации о деятельности финансовых институтов
Принципы раскрытия информации
Структура открытой отчетности для банка среднего масштаба
ГЛАВА 8. ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ РЕГУЛЯТОРНЫМ РИСКОМ
Внутренний аудит системы управления регуляторным риском
Технология оценки качества системы комплаенс-контроля
Методы вычисления комплексной оценки
Аудит антикоррупционной комплаенс-программы
Внешний аудит
Работа с проверяющими органами
Оценка системы и функции комплаенса коммерческими организациями с целью присвоения рейтингового балла
Просто о сложном: внешний аудит специфических организаций (ситуационные примеры)
Оценка комплаенс-функции кредитными рейтинговыми агентствами
Оценка комплаенс-функции кредиторами
Оценка комплаенс-функции потенциальным покупателем/M&A-партнером
Оценка комплаенс-функции страховыми компаниями
Оценка комплаенс-функции деловыми партнерами и контрагентами
Внешний аудит по собственному желанию банка
СПИСОК НОРМАТИВНЫХ ДОКУМЕНТОВ
ПРИЛОЖЕНИЯ
Приложение 1. Классификация типов операционного риска
Приложение 2. Примеры индикаторов для оценки состояния системы ПОД/ФТ
Приложение 3. Обзор судебной практики по применению заградительных тарифов
Приложение 4. Фрагмент отчета по претензионной работе
Приложение 5. Оценка уровня зрелости процессов системы комплаенс-контроля
Приложение 6. Форма декларации о событии регуляторного риска (пример)
Приложение 7. Развернутый вариант методов контроля/управления рисками
Приложение 8. План мероприятий по минимизации регуляторного риска
Приложение 9. Фрагмент отчета по регуляторному риску для совета директоров
Приложение 10. Фрагмент отчета по регуляторному риску для комитета по комплаенсу
Приложение 11. Потенциальная эффективность системы комплаенс-контроля (управления комплаенс-/регуляторным риском) в целом
Спецпредложение! Все покупатели электронных комплектов (печатная + электронная версия издания) получат бонус: 11 приложений к пособию в удобном для копирования и редактирования формате MS Word.
Авторы: Михаил Токун, Наталья Садова, члены Ассоциации «Институт внутренних аудиторов»
Читайте предыдущие статьи цикла «Введение во внутренний аудит»:
Повышению результативности любого бизнеса способствует надежные и эффективные системы внутреннего контроля и управления рисками. Ответственность за бесперебойное функционирование этих систем несет руководство компании, которое призвано внедрить интегрированную систему управления рисками и внутреннего контроля с учетом отраслевой специфики.
При построении интегрированной системы, помимо отраслевой принадлежности, необходимо учитывать размер организации, нормативно-правовую среду, в которой она осуществляет деятельность, корпоративную культуру и ряд других факторов.
В 2013 году международный Институт внутренних аудиторов ( The IIA ) разработал модель Трех линий защиты. Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.
Содержание
Модель «Трех линий защиты»
Первая линия защиты
Структурные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители структурных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в курируемых бизнес-процессах.
Вторая линия защиты
Подразделения, отвечающие за управление рисками в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру. В компетенцию этих подразделений не должна входить ответственность за своевременное выявление и оценку рисков, т.к. этим занимаются подразделения первой линии защиты.
Во вторую линию обычно входят подразделения, ответственные за управление рисками, систему внутреннего контроля, безопасность, комплаенс, юридическое сопровождение и т.п. Они обеспечивают непрерывный мониторинг процесса разработки и функционирования контрольных процедур, относящихся к первой линии защиты, консультируют по вопросам управления рисками, проводят обучение сотрудников компании.
Сопоставление 1-й и 2-й линий защиты:
Третья линия защиты
Совет директоров оценивает и утверждает уровень рисков компании с учетом стратегических целей и задач в области управления рисками. Комитеты по аудиту, по управлению рисками и др. помогают совету директоров осуществлять контроль над эффективностью системы управления рисками организации.
Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы управления рисками. Совет директоров принимает это заключение как руководство к действию. Под надзором комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.
Необходимо четко определить функции и обязанности лиц, принимающих участие в процессах управления рисками и внутреннего контроля, обеспечив эффективное взаимодействие и обмен информацией между ними, а также подготовку соответствующей отчетности.
Внутренний аудит может использовать в своей деятельности результаты работы других субъектов системы внутреннего контроля, которые осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.
С целью четкого разделения зон ответственности в организации создается Карта гарантий.
Карта гарантий – документ, который отражает покрытие рисков и бизнес-процессов контрольными функциями компании, а также позволяет более эффективно координировать работу структурных подразделений, осуществляющих контрольную функцию на различных уровнях.
Карта гарантий может включать следующую информацию:
перечень бизнес-процессов компании;
перечень рисков компании;
владельцы риска (ответственные за управление рисками организации);
субъекты системы внутреннего контроля, осуществляющие мониторинг/оценку в отношении каждого из рисков.
При разработке Карты гарантий используются внутренние документы компании, а именно: классификатор рисков и процессов, карта рисков и другие документы, определяющие взаимодействие субъектов системы внутреннего контроля, осуществляющих мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.
В 2013 году, обобщив мировой опыт эффективного ведения бизнеса, международный Институт внутренних аудиторов (The IIA) разработал и представил мировому бизнес сообществу модель «Трех линий защиты» (или «3LOD” – от «3 Lines of Defense”). Модель трех линий защиты проводит взаимосвязь между менеджментом, рисками и контролем.
На первый взгляд, данная модель ориентирована скорее на крупные компании. В представленной на рис. 1 и 2 модели присутствуют такие понятия, как совет директоров/комитет по аудиту, внутренний аудит, комплаенс-контроль.
В действительности, это обобщенная модель и ее применяют вне зависимости от масштабов бизнеса. Небольшие компании, как правило, адаптируют модель под свою деятельность и ограничиваются первой и второй линией. Третья линия защиты, а именно внутренний аудит, как отдельное структурное подразделение, создается, как правило, в масштабных компаниях со сложной иерархической структурой.
Как показано на рис.1 и 2 Модель 3LOD наглядно демонстрирует, что при условии разграничения соответствующих функций в структуре компании на всех уровнях управления, система внутреннего контроля и управления рисками помогает достигать цели организации, предотвращает и минимизирует нежелательные события (риски).
Рис.1 Оригинал модели 3LOD Рис.2 Модель 3LOD в переводе
1-ая линия защиты (бизнес-функции) – означает линейное руководство, а также самоконтроль работников при выполнении операций, которые несут ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективного функционирования системы внутреннего контроля.
Структурные подразделения выявляют риски по процессам, разрабатывают, внедряют и выполняют контрольные процедуры, в том числе предпринимают меры противодействия негативным событиям, тем самым создают первую защитную линию внутреннего контроля. По итогам проведенной работы, по контролю и рискам, формируется управленческая отчетность. Субъекты первой линии постоянно анализируют свою деятельность на предмет возникновения рисков, путем задаваемых вопросов: «Что может пойти не так?», «Что я еще не учел?», «С какими рисками мы сталкиваемся?», «Как можно добиться результатов, предотвращая возникновение рисковой ситуации?».
Успех защиты на первой линии во многом зависит от внутреннего желания персонала смотреть на выполняемую работу чуть более широко, чем сфера их специализации. Ведь оценивая надежность внутреннего контроля, мы отвечаем не только на вопрос – «что может случиться?», главное ответить на вопрос – «что сделано, чтобы не случилось?». Такой подход является основой внутреннего контроля. Каким путем достигается эффективность защиты на первой линии, рассмотрим в статье об обязательных элементах внутреннего контроля.
2-ая линия защиты (функции мониторинга) – это поддержка и постоянный мониторинг внедрения практики управления рисками, внутреннего контроля, соблюдения законодательства и административных правил, внутренних нормативных актов и расследования фактов недобросовестных действий. В зависимости от масштабов деятельности организации, вторая линия для крупных компаний, может состоять из специализированных подразделений внутренних контролеров и риск-менеджеров, таких как контрольно-ревизионный отдел, служба внутреннего контроля, подразделения контроля рисков и т.д. Компании меньшего масштаба, зачастую, выделяют ресурсы из имеющегося кадрового состава специалистов, имеющих опыт и разделяющих ценности организации, на совмещенную работу, а также пользуются услугами привлеченных лиц (аутсорсинг).
В компетенцию структурных единиц второй линии защиты обычно не входит ответственность за своевременное выявление и оценку рисков. Это функционал первой линии, однако аналитика угроз, а также консолидация информации по рискам и ее представление менеджменту является их прямой функцией. Если предположить, что компания имеет филиалы, или состоит из нескольких организаций, то координация и распространение практики и опыта по контролю и управлению рисками, также будет являться задачей специалистов второй линии. Между первой и второй линией должен быть налажен беспрепятственный обмен данными и четко распределены роли и обязанности по процессам управления рисками и внутреннего контроля.
3-я линия защиты (независимая функция) – предоставляет высшему руководству (как правило, совету директоров или комитету по аудиту) объективную информацию об эффективности управления рисками, и дает свою оценку надежности системы внутреннего контроля. Внутренний аудит проводит проверки процессов, по результатам которых подготавливает отчетность с выводами о контроле и рисках на первой и второй линиях. Объективность внутреннего аудита достигается путем разделения подчиненности. То есть административно, внутренний аудит подчиняется генеральному директору, а функционально, совету директоров. Как правило, назначение лица на должность руководителя службы внутреннего аудита также проводится Советом директоров. Службу внутреннего аудита могут себе позволить компании с достаточным количеством ресурсов.
Так в 208-ФЗ «Об акционерных обществах» статья 87.1. п.2. сказано: «Должностное лицо, ответственное за организацию и осуществление внутреннего аудита (руководитель структурного подразделения, ответственного за организацию и осуществление внутреннего аудита), назначается на должность и освобождается от должности на основании решения совета директоров (наблюдательного совета) публичного общества. Условия трудового договора с указанными лицами утверждаются советом директоров (наблюдательным советом) публичного общества.
4-ой линия защиты (внешний аудит) – контроль со стороны внешнего аудита. То есть, эта линия защиты, которая находится за рамками компетенций менеджмента, поэтому отображается за сплошной чертой на схеме. Серьезные недостатки системы внутреннего контроля, отмеченные в ходе аудиторской проверки, а также рекомендации по их устранению аудиторы отражают в аудиторских заключениях и информируют руководство проверяемого экономического субъекта.
На Рис. 3 и 4 – «Влияние системы внутреннего контроля на функционирование организации» и «Концепция трех линий защиты», на примере хоккейного поля, представлена взаимосвязь между менеджментом, рисками, контролем, стратегией и достижением целей, то есть концепция Модели 3LOD.
(права на изображение SAS Institute Inc.)
Рис. 3 Влияние системы внутреннего контроля на функционирование организации Рис. 4 Концепция трех линий защиты
Основными причинами неэффективной и (или) ненадлежащей организации «Трех линий защиты» являются следующие:
- Отсутствие необходимой регламентации и методологии по системе внутреннего контроля и управления рисками.
- Слабое взаимодействие структурных единиц в части выявления рисков, разработки мер реагирования и мониторинга выявленных рисков.
- Отсутствие условий для выполнения систематического анализа процессов на предмет появления новых рисков и мониторинга уже имеющихся и т.д.
- Отсутствие компетенции или мотивации персонала в части выявления, разработки мер реагирования и мониторинга новых возникающих рисков.
Квалифицированное проектирование системы внутреннего контроля, качественная разработка методологии и регламентов, и их внедрение с учетом применения автоматизированных процедур, эффективно помогает организации в преодолении реальных и потенциальных препятствий и угроз на пути достижения бизнес-целей.
- ЖАНРЫ 359
- АВТОРЫ 253 374
- КНИГИ 578 099
- СЕРИИ 21 417
- ПОЛЬЗОВАТЕЛИ 530 444
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Система раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы всех департаментов в управлении своими рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
7. Контроль соблюдения стандартов минимизации рисков.
Ключевые цели и задачи
Схема 1. Процедуры (компоненты), с помощью которых банк управляет своими операционными рисками
3. Характеристики операционного риска
3.1. Понятие операционных рисков
Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:
• случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;
• несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;
• сбои в функционировании систем и оборудования;
• неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).
3.2. Понятие инцидента
Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.
Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей. Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).
3.3. Классификация операционных рисков
Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):
3.3.1. По типу риска:
1. Риски техногенного, природного, социального характера.
2. Риски сбоев техники, программ, простоев.
3. Риски нарушений прав сотрудников, условий труда, конфликтов.
4. Риски ошибок в процессе обслуживания клиента или контрагента.
5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.
6. Риски мошенничества и злоупотреблений с участием сотрудников банка.
7. Риски мошенничества и злоупотреблений с участием третьих лиц.
Эти типы рисков детализированы в Приложении 1.
3.3.2. По значимости:
1. Экстремальный (символьное обозначение AAA, красная зона).
2. Критичный (AA, красная зона).
3. Высокий (A, красная зона).
4. Средний (BB, желтая зона).
5. Низкий (B, желтая зона).
6. Допустимый (C, зеленая зона).
Эта шкала риска детализирована в Приложениях 2.1 и 2.2.
3.3.3. По бизнес-линии:
1. Банкинг физических лиц.
2. Банкинг юридических лиц.
3. Платежи и расчеты лиц, не являющихся клиентами банка.
4. Агентские услуги.
5. Биржевая и внебиржевая торговля.
6. Финансирование корпораций.
7. Управление активами.
8. Брокерские услуги.
Эти бизнес-линии детализированы в Приложении 3.
Могут использоваться и иные классификации риска.
4. Субъекты управления операционными рисками
Для управления операционными рисками в банке существуют три линии защиты:
1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.
Выделяют три вида ответственных:
• риск-координаторы (начальники департаментов и назначенные лица);
• эксперты по инцидентам;
• регистраторы (все сотрудники подразделения).
2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:
• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);
• директор по рискам;
3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.
Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.
Субъекты, управляющие операционными рисками
Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач
4.1. Субъекты первой линии защиты
Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).
В рамках первой линии защиты в подразделениях банка операционными рисками управляют:
• эксперты по инцидентам;
Перечисленные субъекты, безусловно, имеются во всех департаментах банка, так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.
Если эти субъекты департаментов не оформлены должным образом, то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления и обучения.
4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников. Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора.
4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Система раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы всех департаментов в управлении рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
Под детальным учетом понимается фиксация по инциденту всех видов данных, указанных в Приложении 4. Граница в 10 тыс. рублей может быть изменена решением комитета по рискам (см. п. 4.2.1).
В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.
Или заместитель председателя правления по рискам.
Сотрудники подразделения по операционным рискам.
Под департаментом здесь и далее подразумевается подразделение Центрального офиса / Головного банка, поименованное департаментом банка, а также иное подразделение банка, наделенное аналогичным статусом.
В соответствии с требованиями настоящих Рекомендаций.
Оформление субъектов, управляющих операционными рисками своего департамента (включая всех функционально курируемых им территориальных сотрудников) и их первичное обучение должно занимать от двух до четырех недель и производится риск-менеджерами последовательно (сначала один департамент, потом второй и т. д.). Для этих целей риск менеджеры оформляют план-график формализации субъектов первой линии защиты операционных рисков и утверждают этот план на комитете по рискам.
Имеются в виду сотрудники вне департамента, в т. ч. в регионах, функционально подчиненными этому департаменту.
Назначение риск-координаторов (помимо руководителей департаментов и лиц, замещающих их), производится из числа методологов или сотрудников, наиболее разбирающихся в процессах и регламентах своего департамента (при этом руководитель департамента контролирует их деятельность и несет солидарную с ними ответственность). Назначение производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого руководителя департамента и назначенных риск-координаторов фиксируется следующая обязанность: «Является риск-координатором и отвечает за организацию управления операционными рисками сотрудниками департамента (подразделения), и региональными сотрудниками, функционально подчиненными департаменту (подразделению) в соответствии с правилами, установленными нормативными документами банка».