Повышению результативности любого бизнеса способствует надежные и эффективные системы внутреннего контроля и управления рисками. Ответственность за бесперебойное функционирование этих систем несет руководство компании, которое призвано внедрить интегрированную систему управления рисками и внутреннего контроля с учетом отраслевой специфики.

При построении интегрированной системы, помимо отраслевой принадлежности, необходимо учитывать размер организации, нормативно-правовую среду, в которой она осуществляет деятельность, корпоративную культуру и ряд других факторов.

В 2013 году международный Институт внутренних аудиторов (The IIA ) разработал модель Трех линий защиты . Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.

Модель «Трех линий защиты»

Первая линия защиты

Структурные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители структурных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в курируемых бизнес-процессах.

Вторая линия защиты

Подразделения, отвечающие за управление рисками в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру. В компетенцию этих подразделений не должна входить ответственность за своевременное выявление и оценку рисков, т.к. этим занимаются подразделения первой линии защиты.

Во вторую линию обычно входят подразделения, ответственные за управление рисками, систему внутреннего контроля, безопасность, комплаенс, юридическое сопровождение и т.п. Они обеспечивают непрерывный мониторинг процесса разработки и функционирования контрольных процедур, относящихся к первой линии защиты, консультируют по вопросам управления рисками, проводят обучение сотрудников компании.

Сопоставление 1-й и 2-й линий защиты:

Третья линия защиты

Совет директоров оценивает и утверждает уровень рисков компании с учетом стратегических целей и задач в области управления рисками. Комитеты по аудиту, по управлению рисками и др. помогают совету директоров осуществлять контроль над эффективностью системы управления рисками организации.

Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы управления рисками. Совет директоров принимает это заключение как руководство к действию. Под надзором комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.

Необходимо четко определить функции и обязанности лиц, принимающих участие в процессах управления рисками и внутреннего контроля, обеспечив эффективное взаимодействие и обмен информацией между ними, а также подготовку соответствующей отчетности.

Внутренний аудит может использовать в своей деятельности результаты работы других субъектов системы внутреннего контроля, которые осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

С целью четкого разделения зон ответственности в организации создается Карта гарантий .

Карта гарантий – документ, который отражает покрытие рисков и бизнес-процессов контрольными функциями компании, а также позволяет более эффективно координировать работу структурных подразделений, осуществляющих контрольную функцию на различных уровнях.

Карта гарантий может включать следующую информацию:

перечень бизнес-процессов компании;

перечень рисков компании;

владельцы риска (ответственные за управление рисками организации);

субъекты системы внутреннего контроля, осуществляющие мониторинг/оценку в отношении каждого из рисков.

При разработке Карты гарантий используются внутренние документы компании, а именно: классификатор рисков и процессов, карта рисков и другие документы, определяющие взаимодействие субъектов системы внутреннего контроля, осуществляющих мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

Любовь Нисенбойм Директор группы корпоративного управления, управления рисками и обеспечения соответствия законодательным требованиям и стандартам, PricewaterhouseCoopers
Журнал «Консультант », №13 за 2011 год

Многие компании тратят огромные средства на реализацию проектов по повышению эффективности бизнеса, а результат все равно оставляет желать лучшего. Как максимально увеличить эффективность инвестиций и текущих операций? Какова роль управления рисками в процессе управления компанией? Как построить бизнес, в котором управление рисками является неотъемлемой частью всех процессов, выполняемых сотрудниками компании?

Внедрение эффективной системы управления рисками может сделать компанию более устойчивой к риску. Однако чтобы такая система работала, очень важно четко понимать и эффективно распределять роли и обязанности внутри компании, что будет способствовать принятию управленческих решений на базе полноценной информации о рисках.

Только опираясь на этот прочный фундамент, компании могут эффективно бороться с факторами риска.

В ответ на более пристальное внимание со стороны акционеров большинство российских компаний создали отдельные службы по управлению рисками. Это существенно повысило статус управления рисками в глазах руководства и совета директоров, но появились и новые проблемы.

Когда ответственность за управление рисками передается отдельной функциональной службе, другие бизнес-подразделения, как правило, слагают с себя эту функцию. В связи с этим некоторые риски неизбежно выпадают из поля зрения, что может привести к разрушительным последствиям.

PwC провело второй бизнес-завтрак для руководителей по управлению рисками и специалистов в данной области на тему «Управление рисками ответственность каждого». В мероприятии приняло участие более 60 человек.

Рисунок 1. Каков уровень поддержки системы управления рисками со стороны высшего руководства в вашей компании?

Главный вопрос, поставленный перед его участниками, заключался в том, как можно организовать деятельность по управлению рисками, чтобы она стала частью повседневной работы каждого сотрудника компании. Они поделились своим опытом в сфере укрепления так называемых трех линий защиты в модели взаимодействия в системе управления рисками, а также обсудили роли и обязанности для каждой из линий защиты.

Управление рисками — ответственность каждого

Управление рисками — процесс для российских компаний далеко не новый. Многие из них внедряют комплексные системы управления рисками, ни в чем не уступающие передовым мировым практикам. Компании, которые получили наибольшую выгоду от внедрения, утверждают, что создание общекорпоративного подхода к управлению рисками зачастую может потребовать пересмотра ролей и обязанностей руководителей и сотрудников, а иногда и всей организационной структуры предприятия.

По данным опроса руководителей крупнейших компаний мира, проведенного PwC, большая часть руководителей этого ранга планируют существенно изменить систему управления рисками, а не какие-либо другие элементы своей корпоративной стратегии, организационной или операционной модели. Тем не менее, когда мы спросили участников бизнес-завтрака по управлению рисками о реальном уровне поддержки со стороны руководства в границах системы управления рисками в их компаниях, только 35% охарактеризовали существующий уровень поддержки как достаточный.

В ходе обсуждения участники отметили важность участия руководства в развитии системы управления рисками и формировании культуры компании, определяющей последовательность действий сотрудников и принятие тех или иных решений в своей ежедневной деятельности с учетом существующих рисков.

Однако для эффективного функционирования системы управления рисками одной поддержки со стороны руководства недостаточно. Необходимо наладить модель взаимодействия, которая позволила бы четко сформулировать и разграничить роли и обязанности в системе управления рисками. Совет директоров и высшее руководство компании должны осуществлять надзор за внедрением и эффективной работой трех линий защиты. Эта модель определяет функции, обязанности и ответственность бизнес-подразделений, службы управления рисками и контроля и службы внутреннего аудита в рамках системы управления рисками.

Воспитание культуры управления рисками, или Три линии защиты

Первая линия защиты

Как укрепить ответственность руководства и структурных подразделений?

Руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.

Рисунок 2. Каков уровень вовлеченности структурных подразделений в процесс управления рисками в вашей компании?

На вопрос о вовлеченности структурных подразделений в процесс управления рисками лишь четверть участников ответили, что структурные подразделения в их организации принимают активное участие в этом процессе, т.е. действительно своевременно выявляют риски, подготавливают необходимую отчетность и внедряют мероприятия по управлению ими. И хотя многие сотрудники могут неохотно реагировать на запросы подразделения по управлению рисками, стоит отметить, что уровень вовлеченности сотрудников в процесс управления рисками существенно выше, чем раньше.

К интересным выводам приводят результаты голосования участников по вопросу о том, как закреплены роли и обязанности в рамках системы управления рисками в их компаниях. В большинстве компаний, где структурные подразделения неохотно принимают на себя ответственность за управление рисками или же пассивны в этом процессе, эти роли и обязанности в рамках системы управления рисками либо не документированы вообще, либо документированы в политике или регламенте по управлению рисками, о существовании которых многие сотрудники даже не подозревают. Зачастую это и является одной из основных причин того, что структурные подразделения неактивно или неохотно участвуют или не до конца понимают свою роль в управлении рисками. Как показывает практика работы с крупными российскими организациями, указанные роли и обязанности в рамках системы управления рисками редко бывают прописаны в должностных инструкциях. Лишь 21% опрошенных ответили, что они задокументированы и реализуются.

Рисунок 3. Как определены роли и обязанности в рамках системы управления рисками в вашей компании?

Вторая линия защиты

В чем состоит роль современного подразделения по управлению рисками?

Эти подразделения разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения должны отслеживать деятельность других структурных подразделений в границах системы управления рисками и анализировать информацию о рисках, получаемую от них. Функции типичного подразделения по управлению рисками включают консультирование, координирование, поддержку и обучение сотрудников компании в области управления рисками.

В случае если в компетенцию данного подразделения входит ответственность за своевременное выявление, оценку рисков и управление рисками, система управления рисками не будет функционировать эффективно. Когда мы спросили в чем же действительно должна заключаться роль современного подразделения по управлению рисками, были перечислены следующие функции:

• разработка и внедрение методологического подхода к управлению рисками;
• координация действий компании в области управления рисками;
• консультирование и методологическая поддержка подразделений компании по вопросам управления рисками;
• координация и подготовка отчетности о рисках;
• обучение сотрудников по вопросам управления рискам;
• мониторинг выполнения плана мероприятий по управлению рисками структурными подразделениями, координация работы со службой внутреннего аудита;
• разработка и внедрение мероприятий по совершенствованию системы управления рисками.

Третья линия защиты, или Как организовать независимую оценку результатов управления рисками?

Третья линия защиты организации включает внутренних аудиторов и совет директоров. Служба внутреннего аудита дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Совет директоров принимает это заключение как руководство к действию и выделяет службе внутреннего аудита необходимые ресурсы. Под надзором комитета по аудиту служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры эскалации проблем.

Рисунок 4. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду вашей компании?

Совет директоров задает тон в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками («аппетит к риску»). Комитеты по аудиту, по управлению рисками и по вознаграждениям помогают совету директоров осуществлять всеобъемлющий контроль над эффективностью системы управления рисками организации.

В ходе обсуждения в группах участники бизнесзавтрака указали на важность взаимодействия между внутренними аудиторами, подразделением по управлению рисками, руководством и советом директоров. Однако они подчеркнули, что отсутствие четких разграничений в обязанностях сотрудников службы внутреннего аудита и сотрудников подразделения по управлению рисками, которое зачастую является частью службы внутреннего аудита, может этому препятствовать.

Итоги и следующие шаги

Подводя итоги обсуждения, мы спросили участников о том, какая мера, по их мнению, может принести наибольшую выгоду для компании. Более трети всех участников посчитали, что именно налаживание взаимодействия между подразделением по управлению рисками и другими бизнес-подразделениями способно принести наибольшую пользу организации. Четверть участников отметили, что закрепление ответственности в рамках системы управления рисками путем внедрения КПД также способно принести пользу организации и укрепить риск-ориентированную культуру.

Необходимо добавить, что только совокупное внедрение всех предложенных мер способно принести реальную выгоду для организаций на российском рынке.

На мероприятиях, проводимых PwC, вопрос о преимуществах и выгодах от внедрения комплексных систем управления рисками поднимается довольно-таки часто. Мнения самих руководителей и сотрудников соответствующих подразделений показались нам очень интересными.

Сорок процентов участников отметили, что за последний год внедрение системы управления рисками способствовало укреплению корпоративного имиджа их компаний. По мнению еще трети участников, эта система помогает повышать эффективность и прозрачность отчетности для акционеров. Оба эти варианта указывают на неосязаемые выгоды от внедрения системы управления рисками, что, безусловно, также несет в себе определенные выгоды для компании.

Рисунок 5. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду в вашей компании?

Однако от внедрения системы управления рисками ждут в первую очередь именно осязаемых результатов, связанных с реальным сокращением неопределенности, предотвращением убытков и сокращением затрат. Лишь 19% участников отметили именно это преимущество (15%-ное снижение затрат на финансирование и 4%-ное уменьшение суммы страховых взносов). Означает ли такой результат, что система управления рисками не создает для компаний, работающих в России, выгод, которые возможно измерить в деньгах? Скорее, это может быть продиктовано тем, что в организациях не всегда четко сформулированы цели внедрения системы управления рисками и, соответственно, не всегда возможно эти выгоды измерить.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Козырева Надежда

В статье представлены определения и подходы в части построения в рамках концепции трех линий защиты (обороны) деятельности контрольных функций, уделяя особое внимание комплаенс-функции, службе внутреннего контроля и системе управления рисками. Автор, описывая роль контрольных служб, особое внимание обращает на то, что, участвуя в общем деле компании, каждая контрольная функция должна четко понимать свою роль, не мешая при этом «творческому» процессу, которым живет каждый бизнес.

Ключевые слова: комплаенс, эффективность систем управления рисками и внутреннего контроля, концепция COSO, риск-менеджмент, финансовый контроль, контроль качества.

Отказаться от риска -- значит отказаться от творчества.

А. С. Пушкин

Последнее десятилетие наблюдается ужесточение регуляторных требований на большинстве мировых финансовых рынков с особым фокусом на эффективность систем управления рисками и внутреннего контроля. Потенциальные негативные последствия от реализации рисков, такие как потеря деловой репутации, финансовые потери и более серьезные -- административная или уголовная ответственность ответственных лиц и приостановление деятельности, любой бизнес сочтет нежелательными, и руководители компаний, заинтересованные в устойчивом долгосрочном развитии, понимании реальной ситуации по рискам, которые могут этому препятствовать, будут готовы предпринимать адекватные и своевременные действия. Таким образом, именно сам менеджмент, заинтересованный в сохранении стоимости бизнеса, повышении его устойчивости и эффективности, должен выявлять и снижать последствия воздействия рисков на финансовые результаты. Эффективнее всего это делать посредством построения интегрированной системы управления комплаенс-рисками, базирующейся на «трех линиях защиты».

Система внутреннего контроля явление комплексное и масштабное. Рассмотрим все основные составляющие системы исходя из банковской практики, а также на примере концепции COSO.

Согласно Положению Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»:

Внутренний контроль -- деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) и направленная на достижение следующих целей:

эффективность и результативность финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективность управления активами и пассивами, включая обеспечение сохранности активов, управление банковскими рисками;

достоверность, полнота, объективность и своевременность составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационная безопасность (защищенности интересов (целей) кредитной организации в информационной сфере, представляющая собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений);

соблюдение нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации;

исключение вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывании) доходов, полученных преступным путем,

и финансирования терроризма, а также своевременное представление в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.

Базельский комитет по банковскому надзору в своем документе «Система внутреннего контроля в банках: основы организации» (Базельский комитет по банковскому надзору, Базель, сентябрь 1998. URL : http :// www . bis . org / publ / bcbs 40. pdf ) определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе. Осуществление внутреннего контроля преследует следующие основные цели:

6) производственная и финансовая эффективность деятельности (производственно-финансовые цели);

7) надежность, полнота и своевременность финансовой и управленческой информации (информационные цели);

8) соблюдение действующих законодательных и нормативных актов (комплаенс-цели).

Итак, очевидно, что система внутреннего контроля преследует не только достижение комплаенс-целей, но и производственных, финансовых и информационных. Данный процесс должен включать все риски, принимаемые на себя банками, и действовать на всех уровнях внутри организации.

Наглядно система внутреннего контроля, включая и цели, и составляющие компоненты и уровни организации, также представлена в концепции COSO 1 .

Под внутренним контролем концепция COSO подразумевает процесс, осуществляемый советом директоров, менеджментом и другими сотрудниками для обеспечения достаточной уверенности в отношении достижения целей компании, а именно:

Эффективности операционной деятельности;

Надежности отчетности;

Соблюдения законодательства.

Модель системы внутреннего контроля COSO представлена в форме многогранного куба, который в первоначальной версии концепции состоял из пяти взаимосвязанных компонентов (контрольной среды,

Разработана Комитетом спонсорских организаций -- COSO.

оценки рисков, контрольных процедур, информации и коммуникаций, мониторинга), а впоследствии с публикацией Концептуальных основ управления рисками организаций (ERM COSO) был преобразован в восемь компонентов c добавлением компонентов постановки целей, определения событий и реагирования на риск (рис. 1).

Рис. 1. Модель COSO ERM

внутренний контроль комплаенс риск

Суть модели продемонстрировать взаимосвязь между компонентами системы внутреннего контроля и целями. Система внутреннего контроля направлена на достижение целей, которые включают четыре категории:

е стратегические цели -- цели высокого уровня, соотнесенные с мис- сией/видением организации;

е операционные цели -- эффективное и результативное использование ресурсов;

е цели в области подготовки отчетности -- достоверность отчетности;

е цели в области соблюдения законодательства -- соблюдение применимых законодательных и нормативных актов.

С точки зрения комплаенс-функции основное направление комплаенс-контроля заключается в обеспечении соответствия именно последней цели вышеуказанной модели. В то время как цели в области подготовки отчетности обычно находятся в зоне ответственности финансового контроля, а стратегические и операционные цели разделяются всеми участниками организации.

Итак, с учетом многогранности задач, компонентов и уровней организации, как эффективно организовать систему внутреннего контроля, включая управление комплаенс-рисками? Как оптимально скоординировать работу подразделений, составляющих вторую линию защиты?

Организация системы внутреннего контроля и сфера ответственности комплаенс-службы

Лучшая практика предусматривает организационную модель внутреннего контроля, состоящую из трех линий защиты и соответственно трех уровней контроля. Есть контроль первого уровня -- это те процедуры, которые осуществляются на повседневной основе непосредственно владельцами бизнес-процессов. Есть функции, которые составляют контроль второго уровня, -- это могут быть подразделения риск-менеджмента, комплаенса, финансовый контроль, контроль качества и т.д. И есть третий уровень -- внутренний аудит, осуществляющий независимый контроль с прямым подчинением аудиторскому комитету.

Рис. 2. Модель «Трех линий защиты»

Менеджеры бизнес-процессов лучше всех понимают угрозы и риски в разрезе своих функций и составляют первую линию защиты в системе внутреннего контроля, непосредственно отвечая за управление своими рисками и достижение бизнес-показателей. Вторая линия защиты -- контрольные функции, подотчетные руководству (управление рисками, комплаенс и финансовый контроль, информационная безопасность и пр.). Данные функции обеспечивают наличие единых подходов и методик управления рисками и угрозами, включая такие инструменты, как:

Использование интегрированных подходов по оценке рисков;

Проведение сценарного анализа и стресс-тестирования;

Мониторинг ключевых индикаторов риска;

Разработка планов антикризисного управления и восстановления финансовой устойчивости.

Третья линия защиты -- независимая и подотчетная акционерам через комитет по аудиту и наблюдательный совет служба внутреннего аудита, глобальной целью которой является независимая, периодическая оценка эффективности систем внутреннего контроля и управления рисками (предыдущих двух линий защиты).

Все три линии защиты призваны обеспечить своевременное выявление и реагирование на риски. Руководство, которое это понимает, будет нормально реагировать на риски, выявленные как первой, так и второй и третьей линиями защиты. Тем не менее на практике каждая из перечисленных линий может болезненно воспринимать риски, выявленные другими линиями, как некую угрозу собственной эффективности. Таким образом, одна из основных задач руководства любого банка или иной организации -- это обеспечение конструктивного взаимодействия всех трех линий защиты и соответствующей корпоративной культуры, где каждый сотрудник осведомлен о рисках и понимает свою роль в процессе управления ими.

Сфера ответственности комплаенс-службы

В каждом банке может быть свой перечень контролируемых комплаенс-службой процессов. Хотя, как показывает российский и зарубежный опыт, есть базовый набор таких процессов:

Экономические санкции;

Операции с аффилированными лицами;

Конфликты интересов;

Манипулирование рынком и инсайдерская торговля;

Деятельность, связанная с регулированием ценных бумаг;

Антикоррупционный комплаенс;

Кодекс поведения и этики.

Помимо этого, в зону внимания могут входить такие процессы, как взаимодействие с надзорными и регулирующими органами, работа с жалобами клиентов, соблюдение стандартов ответственного банковского бизнеса и защиты прав клиентов/инвесторов, контроль над работой с аутсорсингом, поставщиками и посредниками, защита персональных данных, защита конкуренции. В дополнение комплаенс-служба должна активно участвовать в процессе внедрения новых продуктов банка и иных инициатив и обладать необходимыми полномочиями для комплексной оценки комплаенс-рисков в процессе принятия решений.

Данный перечень в целом соответствует главе 4.1 Положения 242-П, которая устанавливает требования к службе внутреннего контроля (комплаенс-службе) и описывает ее функции, основной из которых является комплексное управление регуляторным риском. Проводя параллель с моделью COSO, управление регуляторным риском, включая процессы выявления, анализа, оценки, контроля, мониторинга и отчетности, призвано обеспечить выполнение поставленных комплаенс-целей, а именно соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов банка. При этом важно отметить, что за комплаенс-цели, конечно, не отвечает одна л иш ь комплаенс-служба, даже с точки зрения второй линии защиты. Все руководители подразделений должны обеспечивать соответствие своей деятельности внутренним правилам и политикам, а также требованиям законодательства. Более того, по специализированным направлениям комплаенса, таким как налоговый комплаенс, трудовой комплаенс, интеллектуальная собственность, защита окружающей среды, имеются отдельные подразделения (налоговый отдел, отдел по работе с персоналом и т.д.) с соответствующей экспертизой для обеспечения исполнения требований. Но при этом получается, что руководитель службы внутреннего контроля (комплаенс-службы), даже если не несет прямую ответственность за такие отдельные комплаенс-направления, должен координировать работу общей системы комплаенс-контроля и управления комплаенс-рисками на уровне банка . Более того, основные комплаенс-риски должны быть включены в планы мониторинга и тестирования, осуществляемые службой внутреннего контроля. Таким образом, эксперты службы должны быть хорошо знакомы с общей банковской методологией и требованиями законодательства по всем основным направлениям, а не только ключевым областям комплаенса, таким как инсайд, антикоррупция и ПОД/ФТ.

Как было отмечено ранее, комплаенс-цели -- это лишь одна составляющая системы внутреннего контроля, которая преследует и иные цели (стратегические, операционные и в области подготовки отчетности). Участниками такой системы, как мы видим из модели трех линий защиты, являются все сотрудники компании и органы управления. Все подразделения второй линии защиты составляют костяк системы внутреннего контроля, так как определяют правила и процедуры, общую культуру поведения для первой линии защиты и являются основным механизмом контроля эффективности системы внутреннего контроля. Получается, что основными «коллегами по второй линии» для службы внутреннего контроля являются:

Финансовый контроль (главный бухгалтер);

Безопасность (включая информационную безопасность);

Риск-менеджмент;

ПОД/ФТ (в случае наличия отдельного от комплаенса подразделения);

Иные контрольные функции.

Очень важно обратить внимание на последний пункт. В каждом банке может быть своя структура распределения полномочий и ответственности. Перечень участников системы внутреннего контроля и, в частности, второй линии защиты не является закрытым. Более того, некоторые подразделения могут одновременно быть первой линией защиты по одним процессам и второй линией защиты по другим. Практически в целях построения не формальной системы, а реальнодействующей рекомендуется детально обозначить ответственность всех подразделений с точки зрения их роли на второй линии. Например, юристы могут отвечать за мониторинг изменений нормативно-правовых актов, ИТ-департамент за обеспечение информационной безопасности, операционный департамент за внедрение плана по обеспечению непрерывности бизнеса, финансовый департамент осуществлять финансовый контроль за достоверностью отчетности и т.д. Чем больше игроков на второй линии, тем выше риски дублирования функционала, использования разных подходов по оценке рисков и информационного вакуума. Более того, комплаенс-цели не могут быть вырваны из контекста остальных целей и управления рисками банка в целом. Эффективное управление комплаенс-рисками, как и другими видами рисков, оптимизирует капитал банка и высвобождает созданные резервы на возможные потери, такие как штрафные санкции или внесудебное урегулирование убытков.

Поэтому очень важно грамотно наладить взаимодействие всех вовлеченных функций и организовать необходимый обмен информацией.

Итак, кто же все-таки должен отвечать за координацию работы эффективной системы внутреннего контроля? Очевидно, что это не внутренний аудит. Так же очевидно, что координатор должен быть частью второй линии защиты, так как именно здесь определяются подходы, методология и правила и осуществляется контроль исполнения процессов. И если в случае небольшой организации можно обойтись наличием формального координатора (руководителя службы внутреннего контроля), то чем шире перечень комплаенс-рисков и больше направлений деятельности в банке, тем насущнее проблема реальной координации работы. В больших банках иногда встречается наличие отдельного подразделения по внутреннему контролю, которое в основном сконцентрировано на оценке рисков и проведении тестирования (проверок) контрольных процедур, и отдельного подразделения комплаенса, отвечающего за работу по основным направлениям комплаенса, упомянутым ранее. Но даже при такой модели есть смысл иметь единого спонсора достаточно высокого уровня, с соответствующими полномочиями, который был бы не только главным рефери на второй линии защиты с точки зрения внутреннего контроля, но и мог бы выстроить работу всех подразделений слаженно и эффективно, минимизируя излишние издержки, «перетягивание одеяла», выбивание отдельных бюджетов и ресурсов под идентичные задачи -- все, что так часто встречается в любой организации.

Посмотрим более внимательно на роль руководителя службы внутреннего контроля, или, как мы его назвали выше, главного рефери на второй линии защиты. Что значит координировать работу по внутреннему контролю? Безусловно, руководитель службы внутреннего контроля не может являться экспертом во всех процессах и контролировать эффективность всех контрольных механизмов. Но он должен задать правила игры и четко распределить роли и обязанности каждого участника.

Рис. 3

Вначале необходимо внедрить политику или положение по внутреннему контролю, а также ряд других взаимосвязанных политик, например политику по управлению комплаенс-рисками, кодекс этики и т.д. Эти высокоуровневые документы должны четко распределять роли и обязанности не только между разными уровнями защиты, но и между подразделениями на второй линии. Далее, владельцы конкретных направлений второй линии создают и внедряют отдельные стандарты и процедуры, которые должны соблюдаться на первой линии. При этом необходимо внедрить и четко закрепить контрольные механизмы как на первой, так и на второй линии защиты. А аудит уже периодически независимо проверяет выстроенную систему или ее элементы.

Руководитель службы внутреннего контроля помимо координации функционирования системы в целом должен также анализировать ее эффективность и потребности в изменении.

Так, надо оценить как минимум две линии защиты с точки зрения достаточности ресурсов, включая человеческие (экспертизу и опыт) и ИТ-ресурсы, своевременности выявления рисков и их эскалирова- ния, эффективности обмена информацией и мониторинга. Понять, где существуют «слабые места» или избыточные контроли и как можно повысить устойчивость системы. И наконец, определить стратегию внутреннего контроля, каким образом можно измерить эффективность системы на основании конкретных показателей и метрик, не только исходя из необходимости минимизировать риски, но и операционной эффективности.

В заключение давайте по-житейски задумаемся, что же такое комплаенс, система внутреннего контроля, риск-менеджмента и зачем это нужно? В той или иной мере комплаенс присутствует во всех аспектах нашей жизни, включая жизнь любой организации. Там, где есть действия и есть процесс, существуют и определенные контроли. Наглядный пример -- родительский. Когда ребенок уезжает в летний лагерь, вы проверяете, все ли необходимое лежит в чемодане, и наверняка напоминаете ему определенные вещи (чистить зубы, менять носки и т.д.) и делаете это не потому, что вам это очень приятно, а потому что хотите обеспечить комфортное и здоровое пребывание ребенка в лагере на протяжении всей смены. Но любой контроль может также быть и избыточным. Так, если вы будете приезжать в лагерь через день и проверять, как там поживает ребенок, то это может помешать ему получить всю пользу от данного процесса и достичь поставленных целей. Таким образом, построение контроля, выполнение требований, комплаенс, управление рисками для нас по большому счету знакомы и естественны. Но важно, чтобы каждый участвовал в этом процессе, четко понимая свою роль, не мешая при этом «творческому процессу», которым живет каждый бизнес.

Литература

1. Colbert J. L., Bowen P. L. Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78 // Audit and Control Journal. -- 1996. -- № IV. -- 26-35.

2. IIA Position Paper: The Three Lines of Defense in Efective Risk Management and Control, January 2013. URL: http://www.theiia.org/chapters/pubdocs/278/ PP_Three_Lines_of_Defense.pdf

3. The COSO Financial Controls Framework 1992. Retrieved from the Committee of Sponsoring Organizations of the Treadway Commission"s Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html

Размещено на Allbest.ru

Подобные документы

Сущность, задачи, структура и назначение внутреннего контроля. Место и роль внутреннего контроля в системе учета и управления на предприятии. Характеристика системы бухгалтерского учета как составной части системы внутреннего контроля на предприятии.

дипломная работа , добавлен 15.02.2016


Основные понятия теории риска и внутреннего контроля. Классификация и разновидности рисков, критерии их измерения. Изучение и оценка системы бухгалтерского учета и внутреннего контроля клиента. Надежность контрольной среды и средств контроля клиента.

реферат , добавлен 22.12.2012


Внутренний контроль как система мер, организованных руководством, методы, используемые при его осуществлении. Цели организации системы внутреннего контроля. Объекты внутреннего контроля. Содержание вводной части акта, основания для его составления.

реферат , добавлен 16.02.2011


Понятие и история развития герменевтики. Герменевтические принципы управления персоналом на предприятии. Использование герменевтичного подхода на примере ПАО "Сбербанк России". Система внутреннего контроля. Организация управления и информирования.

курсовая работа , добавлен 22.10.2016


Общая характеристика деятельности ООО "ПрофЛидер". Система управления торговой фирмой. Организационная структура управления. Ценностные ориентации и мотивы сотрудников предприятия. Организация внутреннего контроля в управлении, порядок проведения ревизии.

отчет по практике , добавлен 20.04.2015


Основные риски инвесторов и раскрытие информации. Понятие, цели, задачи и правила проведения процедуры Дью Дилидженс. Оценка системы внутреннего контроля продаж на уровне предпосылок составления информации об объекте инвестирования на примере ООО "Стелс".

дипломная работа , добавлен 31.03.2011


Организация контроля за деятельностью подчиненных. Особенности управления персоналом. Контроль как вид управленческой деятельности, его виды и методы. Система внутреннего контроля по реализации общеобразовательной программы дошкольного образования.

курсовая работа , добавлен 21.10.2014


Контроль как функция менеджмента (сфера действия процесса управления). Понятие и сущность, этапы контроля. Роль и функции контроля в управлении экономикой. Характеристика эффективного контроля. Виды контроля: предварительный, текущий, заключительный.

курсовая работа , добавлен 04.09.2014


Характеристика способов защиты информации на предприятии. Изучение информации внутреннего, внешнего и специального характера, необходимой для создания и использования системы защиты на микроуровне. Информационное взаимодействие со службами безопасности.

реферат , добавлен 10.06.2010


Основные понятия в области контроля. Значение контроля качества, его место в оценке соответствия. Испытания, их назначение и классификация. Характеристика государственного, ведомственного и внутреннего контроля качества продукции и услуг, их этапы.

На сегодняшний день, риск является неотъемлемой характеристикой банковской деятельности. Он играет определяющую роль в формировании финансовых результатов деятельности банков, служит важной характеристикой качества активов и пассивов банков, и, таким образом, должен использоваться при сравнительном анализе их финансового состояния, положения на рынке банковских услуг.

Риски присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента -- это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, -- моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк -- абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах беспрецедентный. Сейчас внедрено в процесс и работает более 600 моделей различного уровня сложности. Очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все модели работают и показывают высокую предикативную способность.

В Сбербанке реализована "классическая" концепция трех линий защиты от рисков. Первая линия защиты -- это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты -- это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много -- ведь именно они видят "живого" клиента и "реальные" документы. Вторая линия защиты -- это риск-менеджмент. Сейчас в блоке "Риски" работает более 4 тыс. сотрудников -- это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты -- служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.

Основным банковским риском, особенно в российской практике, является кредитный риск. Управление этим риском является ключевой фактор, определяющий эффективность деятельности банка. Это риск невозврата или несвоевременного возврата кредита держателю актива, который в этом случае понесет финансовые потери. Это определяет актуальность темы дипломной работы.

На величину кредитного риска могут оказывать влияние как макро-, так и микроэкономические факторы. В условиях, когда экономика нестабильна, законодательство несовершенно, а во многих случаях и противоречиво, очень важно иметь эффективную систему управления кредитным риском. Поэтому банк должен разработать кредитную политику, документально оформленную схему организации и систему контроля над кредитной деятельностью.

Объект исследования - Новосибирское отделение 8047/0386 ОАО "Сбербанк России".

Целью данной работы является изучение теоретических основ и анализ кредитных рисков в организации на примере Внутреннего структурного подразделения ОАО "Сбербанк России" № 8047/0386 (далее ВСП)

Для достижения поставленной цели необходимо решить следующие задачи:

1. Рассмотреть теоретические основы кредитного риска;

2. Показать систему управления кредитным риском;

3. Проанализировать методику анализа кредитного риска;

4. Представить анализ управления кредитным риском на примере ВСП 8047/0386;

5. Разобрать основные недостатки в управлении кредитным риском;

6. Определить направления совершенствования управления кредитным риском.

В выпускной квалификационной работе применялись методы: метод системного анализа, метод включенного наблюдения, метод анализа документов.

Практическая значимость работы заключается в том, что полученные в процессе исследования результаты и основанные на них выводы могут быть непосредственно использованы в работе ВСП 8047/0386 ОАО "Сбербанк России", при успешной адаптации и выявлении реального экономического эффекта есть возможность распространения данной практики во всей филиальной сети ОАО "Сбербанк России".

МОДЕЛЬ «ТРЕХ ЛИНИЙ ЗАЩИТЫ»

Модель улучшает понимание управления рисками и контроля с помощью разделения ролей и обязанностей. Ее основополагающая предпосылка заключается в том, что для эффективного управления рисками и контроля необходим надзор и управление высшего руководства и совета директоров в рамках трех отдельных групп (или линий защиты) в пределах организации (см.рис.18). Обязанности каждой из групп (или "линий") следующие:

• 1. владение и управление рисками и контролем (первая линия - операционное руководство).
• 2. отслеживание рисков и работы системы контроля в целях поддержки менеджмента (функции по управлению рисками, осуществлению контроля и обеспечению нормативно-правового соответствия, определенные менеджментом).
• 3. обеспечение независимого подтверждения совету и высшему руководству эффективности управления рисками и системы контроля (внутренний аудит).

Рисунок 18. Взаимосвязь между целями, концепцией и моделью

Каждая из трех линий играет важную роль в определении концептуальных основ управления организацией. Если каждая из трех линий будет выполнять свою роль эффективно, то это повышает вероятность успешного достижения организацией своих целей.

Каждый человек в организации несет ответственность в рамках внутреннего контроля, но чтобы гарантировать надлежащее исполнение ключевых обязанностей, Модель вносит ясность в определение конкретных ролей и обязанностей. Если организация надлежащим образом построит структуру трех линий, и они будут эффективно работать, то это обеспечит отсутствие уязвимых мест и ненужного дублирования действий, а также гарантирует эффективное управления рисками и контроль. Совет директоров сможет получать объективную информацию о наиболее серьезных рисках организации - и о том, как менеджмент минимизирует такие риски.

Модель предусматривает гибкую структуру, которая может использоваться в дополнение к Концептуальным основам. Подразделения каждой линии защиты будут отличаться от организации к организации, а некоторые подразделения могут быть объединены или разделены по линиям защиты (см.рис.19). Например, в некоторых организациях подразделения по обеспечению нормативно-правового соответствия во второй линии могут быть вовлечены в разработку средств контроля для первой линии, в то время как другие составляющие второй линии сфокусированы, в основном, на отслеживании работы таких средств контроля.

Реализация принципов внутреннего контроля (от 1 до 17), изложенному в концептуальных основах COSO, для каждой линии защиты отражены в Приложении 5 настоящего издания.

Рисунок 19. Модель грех линий защиты 1 .

1 Три линии защиты в рамках эффективного правления рисками и контроля. Институт внутренних аудиторов, 2013.

Независимо от структуры трех линий защиты, созданной конкретной организацией, существует несколько основных принципов, используемых в Модели:

• 1. Первая линия защиты возлагается на собственников бизнес- процессов, деятельность которых создает и/или регулирует риски, которые могут способствовать либо препятствовать достижению целей организации. Она включает выявление правильных рисков. Первая линия владеет рисками, и отвечает за разработку и использование средств контроля организации для управления такими рисками.
• 2. Вторая линия предусмотрена для оказания поддержки руководству посредством консультирования, совершенствования процессов и отслеживания эффективности управления, наряду с первой линией, в целях обеспечения эффективного управления рисками и контроля. Подразделения второй линии защиты отделены от первой линии защиты, но находятся под контролем и управлением высшего руководства и обычно выполняют некоторые управленческие функции. Вторая линия неотъемлема для выполнения функции управления и/или надзора в отношении многих аспектов управления рисками.
• 3. Третья линия обеспечивает подтверждение высшему руководству и совету относительно того, насколько усилия первой и второй линии соответствуют ожиданиям совета директоров и высшего руководства. Третья линия защиты обычно не может выполнять управленческие функции в целях защиты ее объективности и организационной независимости. Кроме того, третья линия отчитывается непосредственно перед советом. Как таковая, третья линия не выполняет управленческих функций, что отделяет ее от второй линии защиты.

Цель любой организации - достижение ее целей. Реализация таких целей включает использование возможностей, стремление к росту, принятие рисков и управление ими - все для развития организации. Неспособность принимать соответствующие риски, надлежащим образом управлять ими и контролировать может препятствовать достижению целей организации. Между двумя направлениями деятельности «создать ценность предприятия» и «сохранить ценность предприятия» существует и всегда будет существовать противоречия. Концептуальные основы предусматривают создание структуры для оценки риска и контроля для обеспечения их надлежащего регулирования и управления. Модель содержит руководство по созданию организационной структуры, распределению ролей и обязанностей между сторонами, что повысит эффективность управления рисками и контроля.