Мудрый Экономист

Построение системы риск-ориентированного внутреннего контроля

"Внутренний контроль в кредитной организации", 2009, N 3

В организационном аспекте ведущими целями службы внутреннего контроля по традиции являются обнаружение нарушений регламентов и правил и выявление нарушивших режим, в то же время цель эффективной системы внутреннего контроля - распознавать и адекватно реагировать на риски. В статье излагаются основы методики построения риск-ориентированного внутреннего контроля.

Совершенствование функционирования системы внутреннего контроля, приведение ее в соответствие с характером и масштабом осуществляемых банком операций позволяют повысить уровень управления и эффективность банковской деятельности. Развитие теории и практики риск-менеджмента в банковском деле позволяет минимизировать потери банка в отдельных случаях, но не гарантирует безубыточного "светлого завтра", что подтверждают оглушительные банкротства кредитно-финансовых учреждений на протяжении последних двенадцати месяцев. Печальные примеры этих банкротств не останавливают остальных участников кредитно-финансового рынка в стремлении к максимизации доходов. Основным ограничением такого стремления является внутренний контроль - процесс, осуществляемый руководством и всеми сотрудниками организации и созданный для предоставления собственникам разумных гарантий (разумной уверенности), что кредитной организацией будут достигнуты поставленные ими цели в области:

Таким образом, функционирование системы внутреннего контроля снижает риски потери активов, способствует обеспечению достоверности финансовой отчетности и соблюдению требований законодательства. В организационном аспекте ведущими целями службы внутреннего контроля по традиции являются обнаружение нарушений регламентов и правил и выявление нарушивших режим, в то же время цель эффективной системы внутреннего контроля (СВК) - распознавать и адекватно реагировать на риски. Цель внутреннего аудита - предоставлять разумные гарантии (уверенность), что внутренний контроль работает эффективно. В целом СВК отвечает не за внутренний контроль, а за его независимую оценку и помощь руководству в его совершенствовании.

При ограниченности ресурсов достижение этой цели возможно только путем применения риск-ориентированного подхода. Концепция риск-ориентированного внутреннего контроля, основанного на определении и мониторинге уровня риска, приемлемого для кредитной организации, предполагает передачу на все уровни управления, во все подразделения ответственности за идентификацию рисков и их оценку. Процессы контроля, ограничивающие риск, должны быть встроены в бизнес-процессы.

На сегодняшний день можно отметить два подхода в работе системы внутреннего контроля.

  1. Работа в традиционной модели:
  1. Работа в новой модели:

Работа в традиционной модели

При проведении проверки отдельных операций традиционного внутреннего контроля в кредитной организации, в том числе во внутренних структурных подразделениях кредитной организации, дается оценка:

В вопросах оценки системы внутреннего контроля при традиционном подходе принято ориентироваться на соответствие созданной системы органов внутреннего контроля положениям, предусмотренным уставом, внутренними документами кредитной организации о составе, порядке их образования и полномочиях.

В частности, необходимо установить, имеет ли кредитная организация внутренние документы, определяющие:

Рассмотрим, например, процедуру традиционного контроля системы управления информационными технологиями (IT) в кредитной организации. Функционирование указанной системы должно быть регламентировано следующими документами.

  1. Политика кредитной организации в области применения и управления IT.

1.1. Распорядительные и нормативно-методические документы в области управления IT.

1.2. Приказ о назначении, а также должностная инструкция и (или) иные распорядительные документы, определяющие круг обязанностей лица, отвечающего за управление IT.

1.3. Положение о подразделении и иные документы, регламентирующие деятельность службы автоматизации.

1.4. Штатное расписание, приказы о назначении, личные дела и должностные инструкции руководителя и сотрудников службы автоматизации.

1.5. Планы работы службы автоматизации, а также отчеты службы автоматизации о проделанной работе.

1.6. Утвержденные руководством планы развития применяемых IT, а также порядок их доработки.

1.7. Протоколы совещаний органов управления кредитной организации, посвященные управлению и перспективам развития применяемых IT.

1.8. Отчеты о выполнении планов развития применяемых IT.

  1. Приказы о назначении, распоряжения и должностные инструкции, определяющие обязанности лиц, ответственных за функционирование и использование информационных активов (администраторов аппаратно-программных средств и информационных ресурсов).
  2. Внутренние реестры, паспорта, иные документы, отражающие учет информационных ресурсов кредитной организации - аппаратных средств, программных средств (системного и прикладного уровня), установленных на ЭВМ, а также иных информационных ресурсов.
  3. Отчеты (на бумажном носителе либо в виде электронных журналов), отражающие результаты контроля нагрузки и режимов функционирования информационных активов.
  4. Прогнозы будущих потребностей кредитной организации в аппаратно-программных мощностях.
  5. Документы, формируемые на стадиях жизненного цикла автоматизированной банковской системы (АБС).

6.1. Тактико-техническое задание (заявка на разработку АБС).

6.2. Техническое задание на создание АБС.

6.3. Документация на АБС и ее составные части.

6.4. Протоколы предварительных испытаний (тестирования) АБС.

6.5. Протоколы опытной эксплуатации АБС.

6.6. Протоколы приемочных испытаний АБС.

6.7. Внутренние документы (журналы) мониторинга функционирования и настройки АБС.

6.8. Документы по результатам сопровождения АБС со стороны разработчика.

6.9. Документы, обеспечивающие проведение работ по модернизации АБС.

  1. Внутренние документы, регламентирующие проведение технического обслуживания оборудования, включая отчеты о проведении регламентных работ по техническому обслуживанию оборудования.
  2. Внутренние документы, определяющие порядок реагирования на инциденты (сбои) в процессе эксплуатации аппаратно-программных средств кредитной организации, включая отчеты, составляемые по результатам устранения последствий, а также анализа произошедших инцидентов (сбоев) и нарушения работоспособности аппаратно-программных средств.
  3. Документы, определяющие порядок действий пользователей АБС при проведении тех или иных операций, а также при возникновении инцидентов (сбоев) в процессе эксплуатации АБС.
  4. Отчеты или иные документы о мероприятиях по подготовке персонала, эксплуатирующего АБС.
  5. Документы, свидетельствующие о повышении квалификации, а также проведении проверок уровня подготовленности сотрудников, эксплуатирующих АБС.
  6. Лицензионные соглашения и договоры с разработчиками и поставщиками аппаратно-программных средств, используемых кредитной организацией.
  7. Внутренние документы, устанавливающие порядок обновления текущих версий программных средств, а также протоколы (отчеты), подтверждающие исполнение установленных данными документами требований.

Соответственно, оценка качества состояния системы управления IT будет строиться в зависимости от полноты ответов на нижеперечисленные вопросы.

  1. Наличие разработанного документа (документов) - политики кредитной организации в области управления IT, в которой отражаются:
  1. Наличие в организационно-штатной структуре кредитной организации лица, ответственного за управление IT, документарное отражение. Следует обратить внимание:
  1. Деятельность службы автоматизации кредитной организации, при этом учитываются:
  1. Планирование деятельности кредитной организации в области IT, при этом учитываются:

Обобщающая оценка ответов на эти вопросы в рамках процедур по инициативе подразделений банка или по требованию регулятора есть формальная регламентация деятельности, основанная на реакции на события независимо от уровня рисков, а работа службы внутреннего контроля - это проверка соответствия нормативным и внутренним регламентам, нацеленная на поиск нарушений.

Объекты управления и контроля в подходе, основанном на оценке рисков

Переход к риск-ориентированному подходу дает быстрый и доказательный результат. В основе перехода от традиционной к риск-ориентированной модели лежат методологические процедуры формирования СВК, в частности, разработка методологии по оценке риска в банке, включающая:

  1. определение проверяемых (контролируемых, аудируемых) объектов;
  2. определение факторов риска;
  3. привязку проверяемых (контролируемых, аудируемых) объектов к бизнес-процессам;
  4. методологию присвоенных рейтингов (баллов) факторам риска;
  5. методологию определения уровня риска по проверяемым (контролируемым, аудируемым) объектам;
  6. разработку программы по оценке риска;
  7. обсуждение и координацию методологии оценки рисков с подразделениями банка;
  8. разработку внутреннего документа, включающего методологию оценки риска для целей СВК (департамента внутреннего аудита);
  9. подготовку инструкции по работе с программой по оценке рисков для сотрудников СВК (департамента внутреннего аудита).

Объекты управления и контроля в коммерческом банке условно можно объединить в две группы: ресурсы и виды деятельности.

  1. Ресурсы банка:
  1. Виды деятельности банка:

Для выполнения определенных обязанностей и функций в кредитной организации создается управленческая структура, то есть аппарат управления. Под структурой управления понимается состав звеньев и уровней (ступеней) управления, их взаимосвязь и подчиненность.

Каждый сотрудник банка должен понимать, что ожидается от него, какими полномочиями он обладает, какими должны быть его взаимоотношения с другими служащими. Этого можно достичь с помощью представленной в виде схемы управленческой структуры кредитной организации, дополненной положениями, соответствующими справочниками (инструкциями), технологическими картами и должностными обязанностями.

При рационализации системы управления, в том числе и при внедрении риск-ориентированной системы контроля, рекомендуется построить схему структуры кредитной организации с системой внутренних взаимосвязей. При построении таких схем необходимо учитывать следующее:

Позитивная сторона построения схемы кредитной организации заключается в том, что существующая и якобы устоявшаяся структура организации подвергается тщательному анализу на предмет обнаружения накладок полномочий, недостаточно управляемых звеньев банковского процесса и т.п. Кроме того, схема позволяет выделить линии взаимозависимости и отношений внутри кредитной организации.

Недостатком использования схематичных построений является их статичность. Схема строения кредитной организации быстро устаревает. Она отражает организацию в определенный момент времени, в этом смысле она статична. Но так как бизнес динамичен, то несмотря на, то что основная структура кредитной организации остается неизменной в течение длительного времени, в рамках этой структуры возникает много изменений (например, кадровых), что, естественно, требует внесения определенных замен и дополнений.

Также в схеме не отражаются неформальные отношения, что снижает ее практическую значимость. Излишнее увлечение схемами приводит к бюрократизму, так как они по существу негибки и отражают устойчивые каналы взаимоотношений, не указывая на наиболее рациональные, короткие связи, которые нередко возникают в процессе деятельности кредитной организации.

Наконец, довольно часто возникают сложности в представлении об уровнях значимости. Неправильное впечатление может возникнуть в результате чтения схемы, где на одной горизонтальной линии показаны несколько менеджеров, что якобы подразумевает их одинаковый статус. Поэтому иногда довольно затруднительно с требуемой точностью обозначить реальные отношения, разную значимость должностей и положений. Для упорядочения этого процесса в банке необходимо иметь общее руководство (справочник) по организационному построению банка или отдельные справочники (инструкции), которые содержат перечень должностей с их подробным описанием (часто в форме описания служебных обязанностей, взаимоотношений, полномочий, соответствующих принципов и практики).

Распределение обязанностей означает определение масштаба полномочий и меры ответственности по каждой должности, обозначенной на схеме. В документе "Распределение обязанностей" должны содержаться следующие положения: название должности; департамент, управление, отдел, в котором имеется эта должность; уровень положения; описание выполняемых функций, обязанностей и прав; взаимоотношения с руководством, коллегами и подчиненными; число подчиненных, их особенности; должность непосредственного руководителя; особые полномочия (обязанности); ограничения в полномочиях (например, возможность действовать по своему усмотрению, определение величины размещаемых самостоятельно денежных средств).

Выбор организационных структур, отличающихся степенью централизации, зависит от размеров и финансовой устойчивости банка, а также от внешних условий. Выбор рациональной степени централизации деятельности для каждого банка свой. Каждая из структур, отличающаяся степенью централизации, имеет свои преимущества и недостатки, которые необходимо учитывать при делегировании полномочий нижестоящим звеньям управления. Нижестоящие звенья банка всегда (и вполне справедливо) стремятся к большей степени децентрализации, поскольку снизу, в непосредственном контакте с клиентами, лучше видны все недостатки и наиболее перспективные направления менеджмента.

Четкое разграничение функций центра и низовых элементов управления наилучшим образом уравновешивает интересы структурных подразделений и банка в целом. Децентрализация управления банком зависит от компьютеризации, включения в сети глобальных информационных систем и др., развития системы контроля кредитных рисков, квалификации банковских работников и т.д. Наиболее рациональным способом диверсификации банковского обслуживания является создание банком конгломерата дочерних структур.

Практически все организационные изменения должны быть направлены на повышение качества обслуживания клиентуры, расширение рынка, увеличение объемов совершаемых операций и введение новых, более совершенных технологий и методов работы, а это, в свою очередь, требует соответствующей переподготовки персонала.

Изменения в структуре банка, связанные с расширением сферы деятельности и предложением новых продуктов, сопровождаются, как правило, введением в штат новых специалистов по отдельным отраслям банковской и других видов деятельности. Однако любое изменение в штате банка способно нарушить устоявшийся процесс коммуникаций и координацию деятельности отдельных служб. Интенсивное освоение все новых видов банковских продуктов и услуг сопровождается значительным увеличением штата сотрудников банка и проблемами в координации и управлении деятельностью многочисленных подразделений банка.

С другой стороны, изменение ситуации на рынке финансовых услуг, активность конкурентов приводят к необходимости новых структурных перестроек, что может быть связано с необходимостью сокращения штата. В этих условиях любая структурная перестройка будет ассоциироваться у банковских служащих с возможным сокращением штата. Из-за отсутствия заинтересованности служащих в структурных изменениях организационная структура может потерять свое важнейшее свойство - гибкость.

Базисными принципами формирования системы внутреннего контроля являются:

  1. разделение обязанностей. Ответственность между служащими распределяется таким образом, чтобы ни один человек не отвечал за операцию в целом. Главная идея здесь заключается в том, что тот, кто разрешает операцию, не должен быть также ответствен за участвующие в ней денежные средства банка;
  2. разрешение и одобрение. Эти процедуры должны обеспечить одобрение всех операций ответственными официальными лицами в пределах тех объемов средств, на которые каждое из официальных лиц имеет полномочия. Суть в данном случае состоит в том, что работа каждого лица настолько, насколько это возможно, проверяется другим лицом без какого бы то ни было дублирования;
  3. физический контроль - контроль доступа к активам и документам. Эта система контроля может оказаться сложной. Для того чтобы управлять ею, правление банка должно иметь план функционирования и схему организации (с выделением обязанностей различных официальных лиц). Схема должна исключать любые неопределенности, которые могут привести к разночтениям. Без такой ясности результатом может оказаться либо отсутствие контроля, либо бесполезное дублирование. Кроме того, закрепив ответственность за индивидуальными лицами, можно выявить пути делегирования полномочий сверху вниз через все уровни иерархии управления банка и соответствующие пути обратного движения информации.

Коммерческий банк представляется как трехуровневая организационная система <1> (рис. 1).

<1> Высший уровень управления: собрание акционеров, совет банка, правление, председатель правления и его заместители.

Второй уровень (средний уровень управления): департаменты и управления головной конторы банка, руководство филиалов и отделений. На этом уровне управления обеспечивается текущая (операционная) деятельность банка.

Третий уровень - уровень непосредственных исполнителей управленческих решений: сотрудники банка. Этот уровень условно можно назвать "уровнем предоставления услуг", который является чисто производственным и в организации управления не участвует, но сильно зависит от старших уровней.

Иерархия внутренней отчетности

Организация структуры                                    Учетная информация
управления
---------------------------------------¬ ---------------------------------¬
¦ ¦ ¦ Отчеты максимального ¦
¦ ¦ ¦ агрегирования, определенные ¦
¦ Собрание акционеров ¦ ¦ внутренними положениями. ¦
¦ ¦ ¦ Отчетность в соответствии с ¦
¦ ¦ ¦ законодательством ¦
L--------------------------------------- L---------------------------------
.....
---------------------------------------¬ ---------------------------------¬
¦----------------¬ ---------------¬¦ ¦ ¦
¦¦Зампредседателя¦ ... ¦ ¦¦ ¦ Агрегированные отчеты ¦
¦¦ правления ¦ ¦ ¦¦ ¦ ¦
¦L-------T-------- L-------T-------¦ ¦ ¦
L--------+---------------------+-------- L---------------------------------
---------+---------------------+-------¬ ---------------------------------¬
¦--------+-------¬ --------+------¬¦ ¦ Сводные документы бухгалтерии и¦
¦¦ Руководитель ¦ ... ¦ ¦¦ ¦ планово-аналитических ¦
¦¦ первого уровня¦ ¦ ¦¦ ¦ подразделений ¦
¦L---------------- L-------T-------¦ ¦ ¦
L--------T---------------------+-------- L---------------------------------
--+------T---¬ -----+----¬
-------+--------+---+-----+----+----+--¬ ---------------------------------¬
¦------+-----¬--+¬--+¬ -+-¬--+-¬--+¬ ¦ ¦ Первичный документ максимальной¦
¦¦Исполнитель¦¦ ¦¦ ¦...¦ ¦¦ ¦¦ ¦ ¦ ¦ детализации ¦
¦L------------L---L--- L---L----L--- ¦ ¦ ¦
L--------------------------------------- L---------------------------------

Рис. 1

При принятии решения на высшем уровне управления анализируется текущая информация - внутренняя и внешняя <2>, тенденции, выявленные в результате анализа информации текущего периода; последствия, которые могут возникнуть в результате принятия решений государственных органов. На этом же уровне управления разрабатываются и корректируются концепции, планы перспективного развития банка, контролируется их реализация. Все разрабатываемые концепции и планы должны быть увязаны между собой по целям и срокам, ресурсам и исполнителям (рис. 2).

<2> Внешняя информация по отношению к банку включает: новые законодательные и нормативные документы, регламентирующие хозяйственную деятельность, экономику и финансы в государстве; тенденции развития народного хозяйства и отдельных его отраслей, перспективы экономики в регионах, общее состояние банковского дела, решения руководства государства во внутренней и внешней политике.

Внутренняя банковская информация включает информацию о реализации решений по стратегическим направлениям развития банка, о финансовом и хозяйственном положении банка и его подразделений, о состоянии кадровой работы.

Информационное обеспечение СВК

   -----------------------------------------------------------------------¬
-->¦ Постановка бизнес-целей (культура и структура контроля) - ¦
¦ ¦ наблюдательный совет, руководство банка ¦
¦ L-----------------------------------T-----------------------------------
¦ ¦/
¦ -----------------------------------------------------------------------¬
+->¦ Оценка рисков, контрольные процедуры - руководство банка и ¦
¦ ¦ подразделений ¦
¦ L-----------------------------------T-----------------------------------
¦ ¦/
¦ -----------------------------------------------------------------------¬
+->¦ Контрольная среда ¦
¦ L-----------------------------------T-----------------------------------
¦ ¦/
¦ -----------------------------------------------------------------------¬
+->¦ Контрольные процедуры ¦
¦ L-----------------------------------T-----------------------------------
¦ ¦/
¦ -----------------------------------------------------------------------¬
¦ ¦Мониторинг и оценка качества внутреннего контроля - все подразделения,¦
L--+ специализированные подразделения и СВК (независимо, для ¦
¦ наблюдательного совета) ¦
L-----------------------------------------------------------------------

Примечание: информационное обеспечение: вверх - информация о состоянии контроля, вниз - о целях и их выполнении.

Рис. 2

Для того чтобы контрольная информация могла оказывать влияние на решения пользователей, необходимо ее соответствие определенным характеристикам или желаемым качествам. В частности, информация должна быть уместной, доступной для понимания, своевременной, надежной и постоянной.

Риск-ориентированный подход для целей СВК

Оценка и управление банковскими рисками, контроль за ними осуществляются как на микроуровне - в самом коммерческом банке, так и на макроуровне - подразделениями центрального банка (рис. 3). Уровень риска в экономике России чрезвычайно высок, это обстоятельство заставляет банки уделять проблеме рисков повышенное внимание. При анализе совокупного банковского риска, разделив его на отдельные риски, используя вербальные, математические методы, модели и приемы, экспертизы и опыт специалистов, менеджеры банка могут анализировать неопределенность, связанную с каждым видом деятельности банка или банковским продуктом. В финансовой сфере любой рыночной экономики присутствует асимметричность информации, то есть отдельные участники рынка имеют доступ к такой важной информации, которая скрыта от остальных заинтересованных лиц. Возникает явление неопределенности - недостатка информации о вероятных будущих событиях. Неопределенность мешает экономическим субъектам вести себя рациональным образом и является барьером на пути к эффективному использованию ресурсов и денежных средств. В результате асимметричной информации нарушается сам принцип действия рыночного механизма, поскольку ценовые сигналы перестают отражать реальное положение дел.

Планирование внутреннего контроля на основе оценки рисков

                ----------------¬
¦Предварительная¦
¦ оценка риска ¦ ---------------------¬
¦контролируемого¦ ¦ Специальные проекты¦
¦ объекта ¦ ¦ (запросы ¦
L-------T-------- ¦ руководства, письма¦
¦ ¦ регулирующих ¦
¦ ¦ органов, срочные ¦
¦/ ¦ целенаправленные ¦
----------------¬ ¦ проверки и т.п.) ¦
¦ Программа по ¦ L---------T-----------
¦ оценке риска ¦ ¦/
L-------T-------- ---------------------¬
-------------¬ ¦ ¦ План СВК, ¦
¦ Проверка и ¦ ¦ ¦ учитывающий ¦
¦ утверждение¦ ¦/ ¦ распределение ¦ ---------------¬
¦ плана ¦ ----------------¬ ¦ ресурсов на основе ¦ ¦ Проверка и ¦
¦проверок СВК¦ ¦ Уровень риска ¦ ¦ оценки рисков с ¦ ¦ утверждение ¦
¦на ежегодной+->¦контролируемого+->¦ учетом других ¦<-+наблюдательным¦
¦ основе ¦ ¦ объекта ¦ ¦ факторов ¦ ¦ советом ¦
L------------- L---------------- L--------------------- L---------------

Рис. 3

В связи с тем что вероятность возникновения риска, связанного с недостатком информации о состоянии внешней среды, обратно пропорциональна тому, насколько менеджеры коммерческого банка информированы о состоянии внешней среды по отношению к своему банку, этот вид риска наиболее важен в современных условиях.

Риск присутствует в любой экономической деятельности, и существует бесчисленное множество его видов <1>, поэтому любая классификация рисков весьма условна, так как границу между отдельными видами риска можно провести весьма приблизительно. Многие риски взаимосвязаны, и изменения в одном из них вызывают изменения в другом, но все они в конечном счете влияют на результаты деятельности банка <2> и требуют оценки и управления.

<1> Производственный, финансовый, портфельный (инвестиционный), рыночный, политический (региональный, страновой, международный), экономический (коммерческий, кредитный, валютный, инфляционный, отраслевой), технический.
<2> "Плохие" события (три группы рисков): снижение чистой прибыли, снижение рыночной стоимости банка как банка (уменьшение собственного капитала), незапланированный отток клиентов (депозитов).

"Причинные" события: изменение процентных ставок, падение спроса на кредиты и услуги, изменение нормативной базы, налогов и тарифов.

Для определения объектов проверки можно использовать вышеперечисленные виды деятельности банка, а можно выделить бизнес-процессы с одновременной их увязкой с центрами прибыли (ЦП) и центрами затрат (ЦЗ) для последующей увязки контролируемых подразделений с процессами планирования в рамках бюджетирования деятельности банка (табл. 1). Можно предположить, что детализация бизнес-процессов (рис. 4) позволит СВК детализировать оценку риска до банковских операций.

Таблица 1

Связь бизнес-процессов с центрами прибыли и центрами затрат

--------------T------------------------------------------------------------
Бизнес-процесс¦ Входящие ЦП и ЦЗ
--------------+------------------------------------------------------------
Кредитование ¦ЦП: "Кредитный отдел", "Операции на рынке МБК", "Сектор
¦кредитования ФЛ";
¦ЦЗ: "Сектор учета кредитных операций"
--------------+------------------------------------------------------------
Операции с ¦ЦП: "Фондовый отдел", "Сектор по работе с ценными бумагами";
ценными ¦ЦЗ: "Сектор учета фондовых операций"
бумагами ¦
--------------+------------------------------------------------------------
Валютные ¦ЦП: "Отдел валютных операций", "Обменные пункты",
операции ¦"Операционные кассы вне кассового узла";
¦ЦЗ: "Сектор учета вкладных операций и платежей в валюте"
--------------+------------------------------------------------------------
Расчетно- ¦ЦП: "ОПЕРУ", "Отдел по обслуживанию юридических лиц", "Касса
кассовое ¦банка", "Служба инкассации"
обслуживание ¦
юридических ¦
лиц и банков ¦
--------------+------------------------------------------------------------
Обслуживание ¦ЦП: "Отдел вкладных операций и платежей в рублях"
физических лиц¦
--------------+------------------------------------------------------------
Операции с ¦ЦП: "Отдел пластиковых карт", "Сектор текущих операций по
банковскими ¦"зарплатным" проектам";
картами ¦ЦЗ: "Отдел процессинговых операций", "Сектор клиентского
¦обслуживания физических лиц по международным картам",
¦"Сектор работы с банкоматами", "Сектор бухучета клиринговых
¦операций и операций с международными банковскими картами",
¦"Сектор бухучета операций эмитента по банковским картам"
--------------+------------------------------------------------------------
Депозитарные ¦ЦП: "Отдел депозитарных операций";
операции ¦ЦЗ: "Сектор по учету операций отдела депозитарных операций"
--------------+------------------------------------------------------------

Детализация бизнес-процессов

--------------¬ ---------------------¬  ----------------------------------¬
¦ РКО +T+ прием и обработка +T-+ прием и обработка платежных ¦
L--------------¦¦ платежных поручени馦 ¦ поручений клиентов ¦
¦L---------------------¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦ +-+ прием и обработка инкассовых ¦
¦ ¦ ¦ поручений и платежных требований¦
¦ ¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦ +-+ выдача выписок по лицевым счетам¦
¦ ¦ ¦ клиента, дубликатов документов ¦
¦ ¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦---------------------¬L-+ поиск денег по ошибочно ¦
¦¦ прием и обработка ¦ ¦ осуществленным платежам ¦
++ приходных и +¬ L----------------------------------
¦¦ расходных кассовых ¦¦ ----------------------------------¬
¦¦ документов клиентов¦+-+ взнос наличными по объявлению ¦
¦L---------------------¦ L----------------------------------
¦---------------------¬¦ ----------------------------------¬
L+ и т.д. ¦L-+ и т.д. ¦
L--------------------- L----------------------------------
--------------¬ ---------------------¬ ----------------------------------¬
¦ Кредитование+T+ прием кредитных +T-+ юридическая оценка учредительных¦
L--------------¦¦ заявок и их ¦¦ ¦ документов заемщика ¦
¦¦ обработка ¦¦ ¦ ¦
¦L---------------------¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦---------------------¬L-+ оценка баланса заемщика ¦
¦¦ оценка финансового ¦ L----------------------------------
++ состояния заемщика,+¬ ----------------------------------¬
¦¦ ликвидности залога ¦¦ ¦ проверка финансовой деятельности¦
¦¦ ¦+-+ заемщика ¦
¦L---------------------¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦ +-+ оценка залога ¦
¦ ¦ L----------------------------------
¦---------------------¬¦ ----------------------------------¬
L+ и т.д. ¦L-+ и т.д. ¦
L--------------------- L----------------------------------
--------------¬ ---------------------¬ ----------------------------------¬
¦Межбанковские+T+ ЛОРО банков - +T-+ прием пакета документов ¦
¦ кредиты ¦¦¦ резидентов РФ ¦¦ L----------------------------------
L--------------¦L---------------------¦ ----------------------------------¬
¦ +-+ юридическая оценка ¦
¦ ¦ L----------------------------------
¦ ¦ ----------------------------------¬
¦ L-+ ведение счета ¦
¦---------------------¬ L----------------------------------
¦¦ открытие и ведение +¬ ----------------------------------¬
++ ЛОРО банков - ¦+-+ прием пакета документов ¦
¦¦ нерезидентов РФ ¦¦ L----------------------------------
¦L---------------------¦ ----------------------------------¬
¦ +-+ юридическая оценка ¦
¦ ¦ L----------------------------------
¦---------------------¬¦ ----------------------------------¬
L+ и т.д. ¦L-+ и т.д. ¦
L--------------------- L----------------------------------

Рис. 4 Определение и характеристики проверяемого объекта

Проверяемый (контролируемый, аудируемый) объект представляет собой наименьшую организационную единицу в составе банка, то есть управление, департамент или отдел, соответствующий следующим требованиям:

Характеристики:

Для определения факторов риска, имеющих отношение к банку, необходимо закрепить перечень рисков, по которым в банке будут установлены приемлемые и недопустимые уровни. Затем обозначить рейтинги (баллы) для каждого фактора риска в зависимости от его значимости. Факторы риска - показатели, которые могут быть использованы в отношении аудируемого объекта для установления уровня риска бизнеса, операций и контрольной среды конкретного аудируемого объекта, их возможного влияния на бизнес, операции и деятельность банка.

Основные характеристики фактора риска:

Группы факторов риска: вид/тип бизнеса, жизненный цикл бизнеса, скорость роста бизнеса, бизнес-среда, степень влияния на ключевые показатели, кадры, честность и этические ценности, информационные технологии, корпоративное управление, организационная структура, состояние контрольной среды.

Факторы риска: размер активов, объем операций, сложность операций, неустойчивость бизнеса, уровень автоматизации, честность и компетентность сотрудников, неадекватная организационная структура, восприимчивость активов к ненадлежащему использованию, система внутреннего контроля, значение влияния на репутацию банка, географическое расположение, степень изменения.

Необходимо отметить, что существуют несколько постулатов, которые относятся к проблемам управления всеми видами финансовых и банковских рисков.

  1. Управление уровнем рисков не должно быть тождественным их покрытию. Одно из основных положений теории рисков гласит, что руководство финансовой организации должно стремиться не к минимальному риску, а к его оптимальному уровню. Наличие минимального риска снижает вероятность получения высокой или достаточной прибыли; максимальный уровень риска повышает вероятность получения максимальной прибыли, но и создает ситуацию возникновения максимальных убытков. Иными словами, банки должны стремиться к рациональному балансу между уровнем принимаемых на себя рисков и уровнем прибыли.
  2. Покрытие риска всегда связано с определенными затратами.
  3. Размер уставного капитала негосударственной финансовой организации, ее рейтинг и уровень ее ликвидности связаны (корреляционно-регрессионно) с уровнем предельно допустимого риска.
  4. Величина плановой и/или необходимой для выживания финансовой организации прибыли не должна быть связана напрямую с проведением рисковой стратегии и политики.

Характеристики основных банковских рисков

Классификация рисков, возникающих в процессе деятельности субъектов финансового сектора, позволяет аналитикам распределить их по определенным признакам в зависимости от целей анализа и образовать однородные кластеры (группы), что дает возможность эффективного применения конкретных методов анализа и способов оптимизации их уровня. Сложность классификации рисков заключается в их многообразии, а также в том, что по мере экономического, социального, технологического развития современного мира возникают новые виды рисков.

По времени риски классифицируются на ретроспективные, текущие и перспективные, поэтому необходимо анализировать уровень рисков не только в статике, но и в динамике.

По степени (уровню) финансовые риски можно разделить на низкие, умеренные и полные. Степень риска - это вероятность наступления рисковой ситуации, приводящей к ущербу или потерям выше запланированного уровня.

По источнику возникновения риски финансового сектора могут быть собственно хозяйственными, связанными с личностью руководителя или исполнителя конкретной операции, обусловленными природными факторами и прочими форс-мажорными обстоятельствами.

По причине возникновения различают риски, явившиеся следствием неопределенного (непрогнозируемого) будущего, непредсказуемости поведения субъектов различных видов контактных аудиторий, недостатка и/или недостоверности информации.

С точки зрения длительности во времени риск может быть постоянным, то есть непрерывно существующим, меняющим только свой уровень в зависимости от изменения конкретной ситуации, и кратковременным, возникающим и существующим в связи с конкретными и вполне измеримыми факторами.

По сфере возникновения (охвату) риски бывают внешними, то есть возникающими за пределами субъекта финансового сектора, и внутренними, размер которых зависит от стратегии, политики и тактики деятельности институциональной единицы.

К внешним относятся риски, непосредственно не связанные с деятельностью финансового учреждения или его контактной аудиторией.

К внутренним относятся риски, обусловленные деятельностью самого субъекта финансового сектора, его клиентов (заемщиков) или его конкретных контрагентов.

Последние представляют особый интерес с точки зрения корпоративного управления и относятся в основном к группе финансовых рисков, которые включают риск, связанный с достаточностью капитала, рисков ликвидности, кредитным, процентным, валютным и ценовым (рыночным) рискам. Операционные задачи управления риском состоят в выявлении, количественном определении и надлежащем сбалансировании элементов финансового риска, многие из которых в той или иной степени взаимосвязаны. Непрерывно ведущиеся операции банка воздействуют на факторы финансового риска и, следовательно, требуют постоянного внимания.

Управление рисками ликвидности лежит в основе доверия к банковской системе. Проблема ликвидности выходит за рамки одного отдельного учреждения, так как нехватка ликвидности в одном учреждении может отразиться на всей системе в целом. Вполне естественно, что банки формируют свои пассивы таким образом, чтобы иметь различные сроки погашения соответствующих активов в балансе. В то же время банки должны погашать свои обязательства (например, депозиты) в установленные сроки. Поступление и отток ресурсов в соответствии с заключенными контрактами могут не отражаться в фактических планах и меняться с течением времени. Банк, таким образом, может испытывать ликвидные несоответствия, что ставит вопрос о ликвидной политике и об управлении рисками ликвидности на первое место в его деловой стратегии.



Кредитные риски являются наиболее частой причиной банкротств банков, в связи с чем все регулирующие органы устанавливают стандарты по управлению кредитными рисками <1>. Для защиты международных финансовых рынков ключевые стандарты прописаны также в международных соглашениях, которые направлены на унификацию национальных подходов к управлению кредитными рисками. В основе надежного управления рисками лежит определение существующих и потенциальных кредитных рисков, присущих кредитным операциям. Среди мер по противодействию данным рискам - четко сформулированная политика организации в отношении кредитных рисков и установление параметров, по которым кредитные риски будут контролироваться. Такой контроль включает в себя ограничение кредитных рисков при помощи политики, которая обеспечивает достаточную диверсификацию кредитного портфеля.

<1> Кредитный риск, то есть опасность, что дебитор не сможет осуществить процентные платежи или выплатить основную сумму кредита в соответствии с условиями, указанными в кредитном соглашении, является неотъемлемой частью банковской деятельности. Кредитный риск означает, что платежи могут быть задержаны или вообще не выплачены, что, в свою очередь, может привести к проблемам в движении денежных средств и неблагоприятно отразиться на ликвидности банка. Несмотря на инновации в секторе финансовых услуг, кредитный риск до сих пор остается основной причиной банковских проблем. Более 80% содержания балансовых отчетов банков посвящено обычно именно этому аспекту управления рисками. Обычно выделяют три основных вида кредитного риска: 1) личный, или потребительский, риск; 2) корпоративный риск, или риск компании; 3) суверенный, или страновой, риск.

Конкретные меры по управлению кредитными рисками обычно включают три вида директив. Первый вид - это директивы, направленные на ограничение или уменьшение кредитных рисков, например определяющие концентрацию и размер кредитов, кредитование связанных с банком лиц или превышение лимитов. Второй вид включает директивы по классификации активов. Сюда входит анализ вероятности погашения портфеля кредитов и прочих кредитных инструментов, включая начисленные и невыплаченные проценты, которые подвергают банк кредитному риску. Третий вид включает директивы по кредитному резервированию - не только по портфелю кредитов, но также по всем другим активам, которые могут привести к убыткам.

Анализируя функцию управления кредитными рисками, нужно рассматривать кредиты и все другие виды кредитных инструментов (балансовые и забалансовые), чтобы определить следующие факторы:

Проверяя управление валютным риском, нужно в первую очередь оценить способность банка вести валютные операции в том или ином масштабе. Необходимо рассмотреть вопросы, касающиеся масштабов потенциального риска и применяемых банком методов и процедур управления валютным риском. Следует также принять во внимание условия рынка и регулирования, размер активов и собственных средств банка, объем потребительского валютного рынка, квалификацию персонала и другие имеющие значение факторы. Кроме того, очень важно наличие инструментов, которые могут быть использованы для хеджирования или нейтрализации валютного риска.

Ключевыми факторами управления валютным риском являются методы, лимитирующие потенциальные риски. Эти методы должны подвергаться регулярной проверке на соответствие потенциальным изменениям неустойчивости валютных курсов и общей политике и профилю риска банка. Лимиты должны устанавливаться с учетом общего профиля риска и отражать такие аспекты, как достаточность капитала, ликвидность, надежность кредита, рыночный и процентный риски.

Рекомендации Базельского комитета, в частности, направлены на то, чтобы банки установили необходимые лимиты и предпринимали меры по внутреннему контролю над валютными операциями. Процедуры управления риском должны включать как минимум: дневные лимиты, лимиты на конец рабочего дня и форвардные лимиты по каждой валюте или паре валют, по которым банк принимает риск; агрегированные дневные лимиты, лимиты на конец рабочего дня и форвардные лимиты по всем валютам, по которым банк принимает риск; лимиты, диктующие приостановку убыточных операций, или лимиты валютных позиций; лимиты расчетов.

Операционный риск связан с нарушениями процессов осуществления видов деятельности и процессов банка, отсутствием надлежащего внутреннего контроля, управления либо неэффективности процедуры или технологии осуществления отдельного бизнес-процесса.



Таким образом, операционные риски можно классифицировать следующим образом:

Таким образом, управление операционными рисками в условиях типичной для российской действительности "вертикальной модели власти" будет эффективным, если на всех уровнях иерархии, то есть на системном уровне, будут решены задачи организационного управления. Только через управление всей совокупностью бизнес-процессов (основными, поддерживающими, организационными) можно реально уменьшить потери, связанные с проявлением операционного риска.

В зависимости от степени существенности рисков, присущих тому или иному структурному подразделению банка, можно составить шкалу эскалации вопроса при оценке риска (при неоднократном переносе сроков - шаг вверх):

Таблица 2

Распределение оценки рисков по центрам ответственности

---------------------------T-----------------------------------------------
¦ Оценка присущего риска <1>
---------------------------+---------T-----------T--------T------------T---
Название центра ¦Кредитный¦Ликвидности¦Валютный¦Операционный¦...
ответственности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Руководство банка ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Служба внутреннего контроля¦ ¦ ¦ ¦ ¦
(внутренний и внешний ¦ ¦ ¦ ¦ ¦
аудит) ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Юридическая служба ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел рекламы и маркетинга ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел разработки и ¦ ¦ ¦ ¦ ¦
внедрения финансовых ¦ ¦ ¦ ¦ ¦
продуктов ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Департамент управления и ¦ ¦ ¦ ¦ ¦
контроля деятельности ¦ ¦ ¦ ¦ ¦
филиалов и допофисов ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Операционный отдел (фронт- ¦ ¦ ¦ ¦ ¦
офис) ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел валютного контроля ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Кредитный отдел ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел проектного ¦ ¦ ¦ ¦ ¦
финансирования и инвестиций¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел экспертизы и оценки ¦ ¦ ¦ ¦ ¦
рисков ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел планирования и ¦ ¦ ¦ ¦ ¦
бюджетирования ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел ценных бумаг. ¦ ¦ ¦ ¦ ¦
Депозитарий ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел межбанковских и ¦ ¦ ¦ ¦ ¦
корреспондентских отношений¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел дилинга и некоторых ¦ ¦ ¦ ¦ ¦
операций ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел оперативной ¦ ¦ ¦ ¦ ¦
ликвидности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел сопровождения ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел технологий "Клиент - ¦ ¦ ¦ ¦ ¦
банк" ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел разработки ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел администраторов БД ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Администраторы сети ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел технической поддержки¦ ¦ ¦ ¦ ¦
и средств связи ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел пластиковых карт ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел информационной ¦ ¦ ¦ ¦ ¦
безопасности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел сопровождения ¦ ¦ ¦ ¦ ¦
административных решений ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел развития банковских ¦ ¦ ¦ ¦ ¦
технологий и методологии ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Департамент развития ¦ ¦ ¦ ¦ ¦
филиальной сети ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Служба безопасности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел обеспечения защиты и ¦ ¦ ¦ ¦ ¦
информационного ¦ ¦ ¦ ¦ ¦
сопровождения ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел хозяйственно- ¦ ¦ ¦ ¦ ¦
транспортного обеспечения ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Секретариат ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Экспедиция ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел кадров ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел PR ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел учета внутренних ¦ ¦ ¦ ¦ ¦
операций ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел общей отчетности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел специальной ¦ ¦ ¦ ¦ ¦
(финансовой) отчетности ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел учета и оформления ¦ ¦ ¦ ¦ ¦
сделок ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел по обслуживанию ¦ ¦ ¦ ¦ ¦
физлиц ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел по обслуживанию ¦ ¦ ¦ ¦ ¦
корпоративных клиентов ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел кассовых операций ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
Отдел платежных карт ¦ ¦ ¦ ¦ ¦
---------------------------+---------+-----------+--------+------------+---
<1> Значения рисков проставляются в зависимости от оценки вероятности в соответствии с Приложением 1.

Приложение 1

Существенность риска по степени воздействия

------------------------T--------------------------------------------------
Вероятность ¦ Воздействие
+----------------T----------------T----------------
¦ Несущественное ¦ Существенное ¦ Чрезвычайное
------------------------+----------------+----------------+----------------
Вероятно (P >= 0,5) ¦Средний ¦Высокий ¦Критический
------------------------+----------------+----------------+----------------
Возможно (0,1 < P < 0,5)¦Низкий ¦Средний ¦Высокий
------------------------+----------------+----------------+----------------
Маловероятно (P <= 0,1) ¦Низкий ¦Низкий ¦Средний
------------------------+----------------+----------------+----------------

Приложение 2

Критерии вероятности воздействия

-------------T-------------------T--------------------------T--------------
Оценка ¦ Описание ¦ Индикаторы и история ¦ Воздействие
вероятности ¦ ¦ ¦
-------------+-------------------+--------------------------+--------------
Высокая ¦Вероятность ¦Потенциальная вероятность ¦Чрезвычайное
(вероятно) ¦наступления каждый ¦того, что событие наступит¦
P > 0,5 ¦год или вероятность¦несколько раз в течение ¦
¦наступления события¦определенного периода ¦
¦больше чем 50% ¦времени (например, двух ¦
¦ ¦лет). Событие произошло ¦
¦ ¦недавно ¦
-------------+-------------------+--------------------------+--------------
Средняя ¦Существует ¦Событие может произойти ¦Несущественное
(возможно) ¦вероятность ¦несколько раз в течение ¦
0,1 < P < 0,5¦наступления события¦определенного периода ¦
¦в течение 5 лет или¦времени. Сложно ¦
¦вероятность ¦контролировать силу ¦
¦наступления меньше ¦влияния внешних факторов. ¦
¦50% ¦Существует история ¦
¦ ¦наступления ¦
-------------+-------------------+--------------------------+--------------
Низкая ¦Практически ¦Вероятность наступления ¦Существенное
(отдаленно) ¦отсутствует ¦события мала. Событие не ¦
P < 0,1 ¦вероятность ¦наступало ¦
¦наступления события¦ ¦
¦в течение 5 лет или¦ ¦
¦вероятность ¦ ¦
¦наступления меньше ¦ ¦
¦чем 10% ¦ ¦
-------------+-------------------+--------------------------+--------------

Ю.Н.Юденков



Главный редактор журнала

"Внутренний контроль

в кредитной организации"