Мудрый Экономист

Исполнение функций контроля первой линии

"Внутренний контроль в кредитной организации", 2014, N 3

Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонала разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.

В последнее время можно наблюдать укрепление роли риск-менеджмента в процессах управления банковской деятельностью. Абсолютно справедливы утверждения о том, что в первую очередь этому способствовали кризисные ситуации на рынке, когда о рисках стали думать не только рисковики, но и менеджмент - от среднего до высшего звена. Безусловно, это положительный фактор на пути к стабилизации и укреплению всей банковской системы.

Однако, оценивая положительную тенденцию, нужно признать и то, что многие участники банковской системы продолжают вести слишком рискованную политику. Поэтому действия регулятора, направленные на выявление неблагонадежных банков - участников рынка, кажутся вполне оправданными.

Из всех банков можно выделить те, которые пришли к риск-взвешенной политике управления осознанно, эволюционно, которые не стали ждать регуляторных требований и указаний, а стали самостоятельно применять в менеджменте лучшие международные практики.

Хотя Банк России активно обновляет законодательную базу в области регулирования и надзора, именно принципы международных базельских соглашений заложили основные стандарты управления банковским бизнесом, в том числе по модели трех линий защиты. Применение данной модели не зависит от размера кредитной организации, в ней заложены основополагающие принципы, суть которых заключается в иерархическом принятии решений и многоуровневой ответственности. В организационной структуре банка модель представляет собой "восходящую горизонталь", то есть вовлечение каждой последующей линии защиты в процесс управления рисками осуществляется последовательно, в рамках установленных лимитов и полномочий.

Три линии защиты

Характер, структуру и конкретные мероприятия на каждой линии защиты банки могут определять самостоятельно в зависимости от масштабов своего бизнеса, регионального присутствия, направлений деятельности, уровня автоматизации процессов и используемых систем. Как уже упоминалось, важнейшую роль играет подход к управлению рисками. Эффективное управление рисками по модели трех линий защиты возможно только при условии постоянного тесного взаимодействия между участниками всех трех линий, при этом нельзя недооценивать роль каждой из них.

Кто же они, участники трех линий защиты?

Первая линия

Первую линию защиты представляет персонал разного уровня - от рядовых специалистов до менеджеров высшего звена. Управление рисками на местах при осуществлении бизнес-операций - это и есть задача первой линии защиты. Основная роль для ее эффективной реализации отведена линейному менеджменту и руководству, курирующему соответствующие бизнес-направления, но при этом и рядовые сотрудники в качестве непосредственных участников первой линии защиты должны разделять ответственность за достигнутые по бизнес-направлениям результаты и показатели пропорционально доле своего участия в них.

Таким образом, первая линия защиты как "восходящая вертикаль" и подразумевает, что при совершении бизнес-операций и сделок ответственность за управление рисками возлагается на всех участников процесса "снизу вверх" - от исполнителей до контролеров и кураторов бизнес-направлений, которых еще принято называть владельцами процессов.

Если в банке внедрено процессное управление, зоны ответственности, как правило, более очевидны и прозрачны. Именно владельцы процессов, по сути, являются владельцами рисков. Их основными задачами являются внедрение полноценной системы контроля и мониторинга деятельности низовых подразделений, создание условий для повышения эффективности работы, в том числе путем постановки четких задач, определения зон ответственности каждого сотрудника (групп сотрудников), а также применение системы как материальной, так и нематериальной мотивации.

В последнее время вопросы модернизации системы мотивации владельцев риска выходят на первый план. Но чтобы иметь более полную картину о роли первой линии защиты и условиях ее эффективного функционирования при управлении рисками по модели трех линий защиты, давайте рассмотрим функции второй и третьей линий.

Вторая линия

Вторая линия представляет собой дополнительную, независимую функцию по управлению рисками. Соблюдение принципа независимости имеет особое значение. В большинстве банков уже созданы отдельные подразделения по управлению рисками, которые не подчиняются руководителям, курирующим бизнес-направления. Однако, если банк небольшой, базельские каноны допускают возложение ответственности по управлению рисками или отдельным видом риска на выделенного сотрудника (сотрудников) при соблюдении принципа разделения обязанностей, а также при обеспечении независимого анализа выполняемых процессов и функций.

Вторая линия отвечает за внедрение системы управления рисками в соответствии с заданной советом директоров стратегией, в том числе с методологией по управлению рисками (выявление, оценка, контроль и минимизация). В целях повышения эффективности второй линии многие банки организовывают коллегиальные органы по управлению риском или профильные комитеты по управлению отдельными видами рисков. Количество, состав и уровень комитетов зависят от масштаба банка. Они могут образовываться как при исполнительных органах, так и при совете директоров. Чем больше банк, тем выше уровень комитета по рискам.

Если говорить об идеальной организации, то комитет по рискам, конечно, должен быть создан на уровне высшего органа управления банком - совета директоров или наблюдательного совета. А вот комитеты по управлению отдельными видами рисков вполне могут функционировать на уровне исполнительных органов, как коллегиальных (правление), так и единоличных (председатель правления/ президент).

Вторая линия осуществляет дополнительный контроль за соблюдением владельцами рисков принципов управления рисками, в частности за работой систем оценки риска, проверками первичных данных и отчетности. Вторая линия эскалирует вопросы вышестоящим участникам системы управления рисками (третьей линии), в том числе через систему отчетности. Именно подразделения по управлению рисками должны обеспечивать продвижение корпоративной культуры, поэтому традиционно на них лежит ответственность за многоуровневое обучение персонала, консультационную поддержку и координацию участников системы управления рисками.

Следует отметить, что в международных базельских соглашениях прослеживаются рекомендации по укомплектованию второй линии достаточным количеством квалифицированных сотрудников. Банк России пошел по пути применения этого принципа посредством предъявления требований к должностным лицам, отвечающим в банках за управление рисками.

Однако неправильно считать, что вторая линия защиты - это только подразделение по управлению рисками и соответствующие комитеты. Ко второй линии относятся и другие подразделения, выполняющие функции контроля и мониторинга, например юридическо-правовые функции, комплаенс-функции, функции по управлению персоналом, функции внутренней и внешней безопасности.

Третья линия

Третья линия защиты - это независимый контроль и анализ функционирования системы управления рисками в банке, а также оценка ее эффективности и адекватности на всех уровнях управления в соответствии с принципами, утвержденными советом директоров. Эти функции реализуются непосредственно советом директоров, службой внутреннего аудита или подразделением, осуществляющим такие функции. В небольшом банке можно не создавать службу внутреннего аудита, а ограничиться возложением соответствующих обязанностей на ответственного сотрудника. Отметим, что в отличие от условий организации второй линии защиты, которые на сегодняшний день носят в большей степени рекомендательный характер, условия организации внутреннего аудита уже обозначены в виде законодательных требований, как количественных, так и квалификационных, и привести свою структуру в соответствие с ними банки должны будут не позднее 1 октября 2014 г.

Совет директоров не только определяет стратегию и утверждает основные принципы управления рисками, но и задает корпоративный тон как основу корпоративного управления. Он определяет уровень допустимого для банка риска, основываясь на стратегических целях и задачах, оценивает результаты и эффективность независимого контроля. Именно совет директоров принимает решение о привлечении внешнего аудитора и рассматривает результаты проведенного им аудита, оценивающего в том числе и качество внутреннего аудита.

Для содействия совету директоров в реализации возложенных на него задач при нем часто создаются комитеты по аудиту, управлению рисками и политике в области вознаграждений и компенсаций, которые помогают контролировать эффективность управления банком. Что касается комитета по аудиту, то под его надзором служба внутреннего аудита может проводить оценку ресурсов, вовлеченных в управление рисками, эффективность корпоративного управления, тестировать систему отчетности и методики оценки риска, а также осуществлять иные функции в соответствии с планами проверок.

Условия эффективного функционирования первой линии защиты

Мы сформировали общее представление об участниках каждой из трех линий защиты и задачах, которые они выполняют. Несмотря на краткую характеристику первой линии защиты, именно она выполняет первостепенную по важности задачу, на ее плечах лежит ответственность за управление рисками, образующимися в результате бизнес-деятельности. Под бизнес-деятельностью, как правило, подразумеваются направления банковской деятельности, в которых сконцентрированы риски для банка.

Представителей первой линии защиты называют по-разному: фронт-офис, бизнес-менеджеры, операционный менеджмент, руководители направлений деятельности, владельцы процессов, работники, принимающие риски... Банк России, например, при рассмотрении вопросов организации и оценки системы оплаты труда в кредитных организациях остановился на термине "работники, принимающие риски". Однако не менее выразительно их роль в системе управления рисками раскрывает термин "владельцы рисков".

Владельцы рисков осуществляют управление рисками курируемых бизнес-процессов посредством механизмов контроля, ориентированных на интеграцию элементов управления рисками, как при осуществлении бизнес-процессов, так и при принятии решений. Таким образом, владельцы рисков несут ответственность за выявление, анализ, управление, минимизацию рисков и формирование соответствующей отчетности по результатам управления рисками на своем уровне.

К сожалению, не многие банки могут похвастаться надежной первой линией защиты, представители которой в процессе ежедневной деятельности своевременно выявляют и оценивают риски, эскалируют проблемы и формируют необходимую отчетность для участников второй линии защиты, разрабатывают и внедряют планы мероприятий по управлению рисками. Попробуем прояснить, при каких условиях владельцы рисков будут качественно выполнять возложенные на них задачи, то есть обеспечивать эффективное функционирование первой линии защиты.

  1. Они должны располагать достаточным инструментарием, который, как правило, предоставляет им вторая линия. К таким инструментам относятся:
  1. Задачи и функции по управлению рисками должны быть четко регламентированы и закреплены во внутренних документах банка. Данное условие тесно связано с предыдущим, однако теперь речь идет о методологических документах в области управления рисками. Такие документы должны позволять владельцам рисков идентифицировать присущие курируемым ими процессам риски, классифицировать их в соответствии с единой, принятой в банке классификацией, проводить оценку убытков от реализации риска или оценивать вероятность его реализации и возможные последствия. В этих документах должны также устанавливаться порядок и сроки разработки мер по снижению рисков, разграничиваться полномочия участников системы управления рисками и определяться структура и формат отчетности, раскрывающей результаты управления рисками.
  2. Владельцы рисков должны быть обучены применению инструментов и методологии управления рисками. Без данного условия два предыдущих практически теряют свое значение.

Система управления рисками должна быть чувствительна к изменениям внешних и внутренних факторов функционирования бизнеса, поэтому все перечисленные условия и мероприятия постоянно пересматриваются и совершенствуются.

Владельцы рисков должны принимать активное участие в разработке и согласовании инструментов и методологических документов в области управления рисками. Чем больше их вовлеченность, тем результативнее их обучение и тем более эффективно они смогут осуществлять функции первой линии защиты.

Включение результатов управления рисками в систему мотивации менеджеров

Понятно, что владельцы рисков в первую очередь заинтересованы в осуществлении бизнес-функций. Однако важно, чтобы система мотивации персонала, осуществляющего бизнес-операции и сделки, учитывала не только достигнутые подразделением бизнес-показатели, но и общие результаты деятельности банка, в том числе результаты управления рисками, с учетом временных горизонтов их реализации. Вознаграждение владельцев рисков должно состоять из фиксированной и нефиксированной частей, при этом корректируется нефиксированная часть.

Для корректировки вознаграждения владельцев риска Банк России предлагает использовать следующие показатели <1> (см. таблицу).

<1> Приложение 1 к Инструкции Банка России от 17.06.2014 N 154-И "О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда".

Таблица

Показатели для корректировки вознаграждения владельцев риска

---------------T------------------------------T--------------------------------
. Показатели¦ Количественные ¦ Качественные
. +---------------T--------------+----------------T---------------
. ¦ Риски ¦ Доходность ¦ Риски ¦ Доходность
Уровень . ¦ ¦ ¦ ¦
---------------+---------------+--------------+----------------+---------------
Кредитная ¦Агрегированная ¦Планируемая ¦Независимые ¦Стабильность
организация ¦оценка рисков ¦рентабельность¦оценки ¦доходов в
¦(капитала на их¦капитала. ¦финансовой ¦целом по
¦покрытие) с ¦Планируемая ¦устойчивости ¦кредитной
¦использованием ¦рентабельность¦кредитной ¦организации, в
¦внутренних ¦активов ¦организации. ¦т.ч.:
¦методик ¦ ¦Изменение ¦- по сравнению
¦кредитной ¦ ¦конкурентной ¦с предыдущими
¦организации. ¦ ¦позиции ¦отчетными
¦Отрицательная ¦ ¦кредитной ¦периодами;
¦доходность ¦ ¦организации на ¦- доля доходов
¦вложений в ¦ ¦рынке ¦от разовых
¦акции кредитной¦ ¦ ¦операций в
¦организации за ¦ ¦ ¦общей величине
¦отчетный год ¦ ¦ ¦доходов
¦ ¦ ¦ ¦кредитной
¦ ¦ ¦ ¦организации
---------------+---------------+--------------+----------------+---------------
Подразделения ¦Оценка рисков ¦Планируемая ¦Нарушение ¦Стабильность
(направления ¦(капитала на их¦доходность ¦законодательства¦доходов по
деятельности),¦покрытие) с ¦банковских ¦РФ и требований ¦банковским
сотрудники ¦использованием ¦операций или ¦нормативных ¦операциям или
¦внутренних ¦иных сделок, ¦актов Банка ¦иным сделкам,
¦методик ¦совершенных ¦России, ¦совершенным
¦кредитной ¦подразделением¦внутренних ¦подразделением
¦организации по ¦или ¦процедур ¦или
¦банковским ¦сотрудником ¦кредитной ¦сотрудником
¦операциям или ¦ ¦организации. ¦
¦иным сделкам, ¦ ¦Нарушение ¦
¦совершенным ¦ ¦порядка ведения ¦
¦подразделением ¦ ¦бухгалтерского ¦
¦или ¦ ¦учета или ¦
¦сотрудником. ¦ ¦предоставление ¦
¦Объем возможных¦ ¦недостоверной ¦
¦потерь, ¦ ¦информации о ¦
¦обусловленных ¦ ¦деятельности ¦
¦неустойчивостью¦ ¦подразделения. ¦
¦источников ¦ ¦Корректировки на¦
¦финансирования,¦ ¦погрешности ¦
¦привлеченных ¦ ¦методов оценки ¦
¦подразделением ¦ ¦рисков, ¦
¦или сотрудником¦ ¦применяемых по ¦
¦(короткие сроки¦ ¦банковским ¦
¦их привлечения,¦ ¦операциям или ¦
¦возможность ¦ ¦иным сделкам, ¦
¦досрочного их ¦ ¦совершенным ¦
¦изъятия ¦ ¦подразделением ¦
¦кредиторами, ¦ ¦или сотрудником.¦
¦превышение ¦ ¦Рост (снижение) ¦
¦стоимости ¦ ¦числа жалоб и ¦
¦привлечения ¦ ¦претензий ¦
¦средств над ¦ ¦клиентов по ¦
¦рыночными ¦ ¦банковским ¦
¦показателями по¦ ¦операциям или ¦
¦аналогичным ¦ ¦иным сделкам, ¦
¦источникам ¦ ¦совершенным ¦
¦финансирования)¦ ¦подразделением ¦
¦ ¦ ¦или сотрудником ¦
---------------+---------------+--------------+----------------+---------------

Данные условия, а также иные рекомендации Базельского комитета и Совета по финансовой стабильности по организации системы оплаты труда уже нашли свое отражение в нормативных актах Банка России. В частности, теперь система оплаты труда не только управленческого состава, но и сотрудников любого ранга, ориентированных на проведение операций (заключение сделок), которые могут повлечь реализацию риска, должна предусматривать механизм отсроченных выплат.

Безусловно, чем более высокую позицию занимает сотрудник, которому предоставлены полномочия на принятие риска, тем более чувствительно к риску должно быть его вознаграждение. Определенная доля вознаграждения должна выплачиваться только после завершения оценки и подтверждения качества и эффективности деятельности. При этом выявленные в ходе проверки (аудита) деятельности подразделений, представляющих первую линию защиты, нарушения, которые привели или могут привести к негативным результатам, также должны влиять на размер выплат сотрудникам и руководителям соответствующих подразделений. Размер корректировок зависит как от количественной оценки ущерба (влияния), так и от качественной, например профессионального суждения служб внутреннего аудита, управления рисками и комитета по вознаграждениям. Каждая кредитная организация должна разработать свои подходы к внедрению (модернизации) системы оплаты труда, учитывающей описанные выше принципы.

Что касается практического применения, то в границах утвержденного высшим органом управления допустимого для банка уровня риска (риск-аппетита) целесообразно установить пороговые значения (лимиты) по отдельным видам риска в различных направлениях деятельности, за которые отвечают владельцы риска. При расчете пороговых значений (лимитов) риска важно учитывать результаты сценарного анализа, самооценки рисков и контрольных процедур, исторические данные о рисках, которые реализовывались ранее в определенных направлениях деятельности. В расчетах могут также использоваться данные о доходах.

Подходы могут быть разными. По некоторым процессам или направлениям может быть установлен нулевой лимит. Это значит, что высший менеджмент ставит задачу совсем избежать убытков от реализации рисков. Полученные результаты могут использоваться при предоставлении владельцам рисков права на их принятие в рамках установленного лимита. При этом очень важно иметь инструмент контроля за соблюдением первой линией защиты установленного лимита принятия риска. Если риск оценивается выше допустимого лимита, вопрос о возможности его принятия эскалируется на вторую линию защиты, представители которой могут обладать дополнительным лимитом, как правило, превышающим лимит первой линии. Важнейшим условием использования такого подхода является наличие механизмов оценки риска с использованием различных инструментов, проводимых на разных уровнях. В таком случае в общую систему полномочий интегрируются полномочия на принятие риска в допустимом объеме. Речь сейчас идет не об общей норме или общем правиле. Вопрос установления риск-аппетита и распределения лимитов принятия риска между участниками менеджмента решается каждым банком по-своему. Но если банк пошел по этому пути, он устанавливает и ответственность владельцев рисков за превышение допустимых полномочий. Аналогичный подход применяется в отношении полномочий остальных участников. Лимиты могут быть пересмотрены как в рамках пересмотра риск-аппетита банка, так и отдельно по различным направлениям деятельности.

Выводы

Принципиальное значение для эффективного управления по модели трех линий защиты имеют высокий уровень корпоративного управления и развитая культура управления рисками, а также возможность оперативного взаимодействия между участниками всех трех линий. Успех также во многом зависит от того, насколько профессиональна и надежна команда менеджеров, представляющих первую линию защиты, и от готовности высшего менеджмента прислушиваться к мнению лиц, представляющих вторую линию.

М.П.Бурдонова

Начальник

управления нефинансовых рисков

АКБ "РосЕвроБанк" (ОАО)