Мудрый Экономист

Инструменты управления стратегическими рисками: взгляд внутреннего аудитора

"Управление в кредитной организации", 2014, N 3

В статье представлена попытка систематизировать инструменты управления стратегическими рисками банка с точки зрения внутреннего аудитора. Статья подготовлена на основе материалов ряда проектов, осуществленных при участии автора в ряде банков стран СНГ, где в качестве методической основы применялись международные профессиональные стандарты внутреннего аудита и рекомендации Базельского комитета по банковскому надзору.

Продолжая тему предыдущей статьи <1> о задачах и планировании работы внутреннего аудита на стратегическом уровне управления банком, предлагаем рассмотреть набор инструментов и типовых решений, который можно использовать для оценки систем управления рисками и внутреннего контроля.

<1> Малыхин Д.В. Тестирование стратегии банка: уроки для риск-менеджмента и внутреннего аудита // Управление в кредитной организации. 2013. N 4. С. 17 - 26.

Как предусмотрено Практическими указаниями Института внутренних аудиторов <2>, "при разработке плана аудита внутреннему аудиту следует максимально использовать работу менеджмента и других контрольных функций для того, чтобы с их помощью выявить риски, которые представляют наиболее существенные угрозы и возможности для достижения стратегических целей". Задача упрощается, если банк разработал детализированные процедуры управления стратегическими рисками с использованием передовой практики ведущих банков и (или) рекомендаций отраслевых ассоциаций.

<2> Практическое указание 2120-3: Включение в область внутреннего аудита рисков, связанных с достижением стратегических целей // Международный Институт внутренних аудиторов, 2013 г.

Однако часто случается, что имеющейся в банке документации недостаточно для достоверного и целостного описания аудируемого процесса, к тому же нет отраслевых (т.е. выпущенных регулятором и (или) отраслевыми ассоциациями) нормативно-методических документов по данному вопросу. Тогда внутреннему аудитору рекомендуется инициировать "обсуждение с руководителями и менеджментом банка их обязанностей по изучению, управлению и мониторингу рисков и необходимость им самим удостовериться в том, что эти процессы, пусть и неформализованные, осуществляются в организации, обеспечивая необходимую степень информированности о ключевых рисках и о том, как осуществляются управление такими рисками и их мониторинг" <1>. На практике это чаще всего означает "Пишите документы сами", так как внутренние аудиторы, выполняя роль консультантов, могут помочь менеджменту идентифицировать, оценить и внедрить методики управления рисками и контрольные процедуры в отношении этих рисков. Следует обратить внимание, что в данном случае роль внутреннего аудитора как "третьего эшелона обороны" <2> требует осторожного и профессионального подхода, поскольку, как подчеркивается и в документах БКБН <3>, для данной роли внутренний аудит должен сохранять независимость и иметь возможность непредвзято оценивать риски, влияющие на организацию.

<1> Практическое указание 2120-1: Оценка адекватности процессов управления рисками // Международный институт внутренних аудиторов, 2013.
<2> Войлуков А.А., Пашковский Д.А. Функция внутреннего аудита: новый взгляд на управление кредитной организацией // Управление в кредитной организации. 2012. N 2. С. 30 - 36.
<3> Рекомендации "Функция внутреннего аудита в банках" (июнь 2012 г., публикация Базельского комитета по банковскому надзору N 223).

Как следует спланировать работу по такому консультационному проекту, не имея к тому же строгих регламентов осуществления стратегического управления? Каждый банк по-своему выстраивает процессы, основываясь на своей культуре, стиле управления и целях деятельности. Тем не менее для выполнения подобного консультационного проекта в области управления стратегическим риском внутренний аудитор может и должен обратить внимание на некоторые общие компоненты процесса управления стратегическим риском, в том числе целеполагание, принципы работы ответственного (ответственных) за стратегический риск подразделения (подразделений) (т.н. офиса стратегического управления), идентификацию источников информации.

Целеполагание при оценке системы управления рисками

Напомним прежде всего основные категории целей <1>, которые преследует менеджмент при построении систем управления рисками и внутреннего контроля на стратегическом уровне. Это:

  1. повышение результативности и эффективности (efficiency and effectiveness) риск-менеджмента. На стратегическом уровне это означает, что внимание внутреннего аудита будет уделено тому, как менеджмент банка изучает макротенденции, реагирует на новые вызовы и изменяет планы, внедряет передовые технологии управления рисками и бизнеса в целом;
  2. соблюдение внешних требований (и внутренних политик и процедур, если таковые имеются в банке) по организации процесса стратегического управления (комплаенс-цель);
  3. обеспечение достоверности отчетности. В контексте обсуждаемой темы это означает создание процедуры обеспечения достоверности и синхронизации отчетных данных в отчетах для внешних и внутренних пользователей, в которых содержится информация о достижении стратегических целей, методах управления стратегическими рисками. В них, как правило, используется информация из типовой банковской отчетности (представляемой регулятору), но с перегруппировкой отчетных данных.
<1> Основа этой классификации категорий целей - модели COSO - в переработанном виде изложена в документах БКБН, Положении Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

При подготовке плана проекта внутреннему аудитору необходимо идентифицировать цели из указанных трех категорий и понять, посредством чего банк собирается их достичь.

Перечисляя и интерпретируя эти цели, не нужно забывать о том, что управление рисками и внутренний контроль - не самоцель для банка. Бизнес-цели всегда важнее (при условии соблюдения требований законодательства, разумеется), и затраты на организацию контроля, которые не оправдываются коммерческими выгодами, нельзя считать разумными. Это и есть одно из ключевых правил риск-ориентированного подхода к организации внутреннего контроля и внутреннего аудита. Соответственно, при идентификации целей на стратегическом уровне внутреннему аудитору следует дополнить приведенный выше перечень целями из бизнес-областей.

Удобным инструментом для систематизации целей стратегического управления могут служить документы Банка России по вопросам оценки финансового положения кредитной организации, речь идет прежде всего об Указании Банка России от 30.04.2008 N 2005-У "Об оценке экономического положения банков" (далее - Указание N 2005-У). Комплексный подход к оценке финансовой устойчивости банка, предусмотренный в этих документах, реализует тезис, что устойчивость - категория стратегическая. А логика построения Указания N 2005-У и процесса внешней оценки финансовой устойчивости подсказывает внутреннему аудитору логику оценки зрелости процессов стратегического управления банком. В Указании N 2005-У предусмотрены четыре уровня зрелости по каждому из нескольких компонентов системы управления банком и простой перечень вопросов по некоторым качественным критериям оценки <1>.

<1> Подробный обзор методических подходов к верхнеуровневой оценке систем управления рисками представлен в статье: Малыхина Д.В. Обзор современных методических подходов к оценке системы управления рисками и внутреннего контроля в банке // Управление финансовыми рисками. 2011. N 1.

Аудит деятельности офиса стратегического управления

Но кто отвечает за сам процесс стратегического управления, который подлежит аудиту? Кто находится на первой и второй линиях обороны, кто формирует цели развития банка, в том числе и в части управления рисками и внутреннего контроля? Отсылка к "руководству", как правило, означает, что систематический процесс стратегического управления не выстроен, а стратегический офис не сформирован.

Стандартное правило: по каждому существенному процессу в банке должен быть выпущен внутренний документ. Но что делать, если такого документа нет даже в черновике? А часто документ имеется, но очень формальный, оторванный от реальной жизни.

Интересный инструмент для оценки степени зрелости процесса стратегического управления (СУ) предлагается в стандарте качества организации стратегического управления в кредитной организации, разработанном Ассоциацией российских банков. В нем процесс СУ оценивается по пяти уровням зрелости в банке и восьми элементам процесса <2>. При этом общая (интегральная) оценка степени зрелости процесса характеризуется следующим образом:

<2> Полный текст стандарта размещен на сайте Ассоциации российских банков (http://arb.ru/b2b/docs/standart_kachestva_organizatsii_strategicheskogo_upravleniya_v_kreditnoy_organiz-412092/).

Деятельность офиса стратегического управления затрагивает практически все области деятельности банка. Существует множество учебников по тематике организации стратегического планирования и стратегического маркетинга, и с некоторыми из них внутреннему аудитору следует ознакомиться перед началом работы по этому проекту. Одним из образцов детального и структурированного описания процессов стратегического управления, по мнению автора, является учебник Ж.-Ж. Ламбена "Стратегический маркетинг. Европейская перспектива" <1>.

<1> Ламбен Ж.-Ж. Стратегический маркетинг. Европейская перспектива. Пер. с фр. СПб.: Наука, 1996.

Мнение. В.И. Васильев, Сбербанк России, управление по работе с корпоративными клиентами и малым бизнесом, кредитный инспектор, к. э. н.

Важно, что стандарт качества организации стратегического управления содержит не только общие требования к организации процесса стратегического управления и критерии соответствия определенному уровню, но и требования к отдельным этапам: анализу, формированию стратегии банка, планированию ее реализации, мониторингу и контролю и т.д.

Применяя документ, банк может оценить соответствие стандарту текущего уровня стратегического управления и определить "дорожную карту" совершенствования работы в этом направлении. Вместе с тем нельзя уповать исключительно на соответствие формальным критериям "лучшей практики". Не меньшее значение в управлении стратегическими рисками имеет и субъективный фактор, а именно опыт и квалификация как высшего менеджмента банка, так и офиса стратегического управления. Важно и то, как наиболее оптимально организовать деятельность по совершенствованию стратегического управления - собственными силами банка или с привлечением независимых консультантов.

Работа над ошибками

При анализе работы стратегического офиса внутреннему аудитору следует обратить внимание на то, как банк умеет извлекать уроки из каждого кризиса. Внутренний аудитор должен уметь делать работу над ошибками и в рамках программы повышения качества, рекомендации по составлению которой представлены в Практических указаниях <2>. Подобная программа должна разрабатываться и офисом стратегического управления.

<2> Практическое указание 1300-1: Программа гарантии и повышения качества внутреннего аудита; Практическое указание 1310-1: Требования программы гарантии и повышения качества // Международный институт внутренних аудиторов, 2013.

Источники информации

При анализе источников информации о том, как организованы процессы управления банком на стратегическом уровне, следует уделить внимание не только регламентам процессов, но и внешней и внутренней отчетности. Прежде всего необходимо упомянуть доклады для рассмотрения советом директоров. Кроме того, подробное описание процессов стратегического управления содержится в некоторых отчетах, например:

Информацию, содержащуюся в проспекте и отчетах, можно условно разделить на несколько частей, из которых наиболее чувствительными для принятия инвесторами решения о возможных сделках, как нам представляется, являются части, описывающие структуру бизнеса банка и результаты финансовой деятельности банка-эмитента. Основу проспекта составляют, разумеется, аудированные отчеты о финансовых результатах деятельности (согласно РПБУ и (или) МСФО) за последние несколько лет. В наиболее полном виде перечень возможных характеристик, на стратегическом уровне описывающих деятельность банка, в том числе изменения показателей деятельности банка-эмитента, представлены в приложении. Этот перечень может служить основой для доклада-презентации перед заинтересованными сторонами.

Задачей внутреннего аудитора при анализе указанных отчетов является также оценка их достоверности и степени зрелости процесса подготовки отчетности.

Выводы

Изменение привычного для многих российских банков формата работы внутреннего аудита и спектра рассматриваемых им вопросов является актуальной необходимостью. Поддержку в этой работе им могут и должны оказывать специализированные комитеты: комитет по аудиту и комитет по стратегическому планированию совета директоров, в задачу которых входит организация управления стратегическим развитием, процессов управления рисками и внутреннего контроля в банке.

Приложение

Перечень вопросов для раскрытия информации

Основа:

1. Общая характеристика рыночных условий совершения операций:

2. Существенные факторы, влияющие на результаты операций:

3. Принципы подготовки финансовой отчетности:

учетная политика:

основные показатели:

4. Финансовые результаты операций:

  1. результат операций за последние три года:
  1. ликвидность и источники капитала:
  1. общая характеристика операций и крупнейшие сделки в последний год:
  1. кредитный портфель и портфель ценных бумаг:
  1. достаточность капитала;
  2. внебалансовые статьи и деривативы:

Д.В.Малыхин

Главный бухгалтер,

дипломированный внутренний аудитор

ООО "Инвестиционный Республиканский Банк",

CIA