CC BY
31
2008.04.038. ХАССИД Л. БАЗЕЛЬ-2 И ЗАКОНЫ ОБ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ.
HASSID L. LSF, Sarbanes-Oxley, Bâle 2: quelles obligations? // Mode of access:http://wwwjournaldunet. com/solutions/05 04/050419_tribune. shtml
В статье специалиста в области систем управления бизнес-процессами отмечается, что после нашумевшего финансового скандала с американской компанией «Enron» (2001), за которым последовал ряд подобных скандалов в других странах, во многих странах были приняты законы, предписывающие компаниям предоставлять дополнительную информацию о своей деятельности. Общими целями этих законов было более точное выявление рисков, присущих тем или иным компаниям, предупреждение мошеннических действий со стороны руководства.
1 августа 2003 г. во Франции был принят Закон о финансовой безопасности (La loi de Sécurité Financière, LSF), который предусматривал модернизацию органов контроля за финансовыми рынками; обеспечение безопасности вкладчиков и акционеров компаний; усиление законодательного контроля над счетами, прозрачностью и деятельностью руководства компаний. LSF наделяет президента акционерной компании личной ответственностью за составление и содержание годового отчета о процедуре внутреннего контроля в компании. Усиление роли внутреннего контроля должно ускорить развитие культуры управления компаниями, улучшить отношения между руководством компаниями и органами надзора и повысить тем самым прозрачность в отношениях с акционерами.
В 2002 г. в США был принят Закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOA), относящийся только к компаниям, акции которых котируются на биржах и которые регулируются Комиссией по ценным бумагам и биржам (Security and Exchange Commission, SEC). Цель закона - повысить надежность финансовой информации, предоставляемой компаниями. Для этого основное внимание уделяется внутреннему контролю над информацией, за качество которой ответственность должны нести генеральные и финансовые директора компаний. Статья 404 закона требует предоставления отчета о качестве внутреннего контроля и о тестировании проведенного внутреннего контроля. При этом особое вни-
мание должно уделяться мерам борьбы со злоупотреблениями. Кроме того, статья предусматривает обязательное использование так называемой «базовой модели анализа», рамки которой предложены Комитетом спонсорских организаций (Committee of Sponsoring Organization, COSO).
Метод COSO представляет собой «пирамиду», тремя гранями которой являются:
1) содействие реализации трех целей: осуществление и оптимизация операций; обеспечение надежности финансовых операций; соответствие операций требованиям законов и правил регулирования;
2) анализ для каждой из названных выше целей пяти составляющих внутреннего контроля: среда для внутреннего контроля; оценка рисков; деятельность по контролю; информация и коммуникации; управление системой внутреннего контроля;
3) проведение названных в пп. 1 и 2 действий применительно к каждому виду деятельности и каждой функции предприятия.
Методика COSO способствовала появлению методов управления рисками предприятий (Enterprise Risk Management, ERM), которые должны отвечать на следующие вопросы: какие риски желательно никогда не допускать, какие риски не опасны, какие риски предприятие может взять на себя, чтобы получить или сохранить определенные выгоды. Следует отметить, что организация, которая не желает принимать во внимание никаких рисков, обречена на исчезновение. В этом отношении законы LSE и SOA имеют целью заставить предприятия разрабатывать и осуществлять свою стратегию управления рисками.
Механизм регулирования, предусмотренный в новом Базель-ском соглашении о достаточности капитала (Базеле-2) в отношении европейских финансовых учреждений, был согласован в рамках ЕС в 2006 г. Наибольший интерес в этом механизме представляет разделение главных рисков на три категории: кредитные, рыночные и операционные. Особое внимание привлекают операционные риски, на покрытие которых может пойти до 15% собственного капитала банков и других финансовых учреждений. Стандартный подход к оценке рисков требует: а) создания механизма сбора информации о случаях, связанных с рисками, за исторически продолжительный период времени; б) разделения деятельности банка по типам опера-
ций; в) идентификации рисков, связанных с деятельностью банка, и выявление их факторов; г) оценки потенциальных потерь, связанных с выявленными рисками; д) определения показателей для мониторинга рисков, составления и распространения внутренних отчетов о рисках, разработки плана действий в соответствии с этими отчетами.
Наряду с обязательным стандартным подходом Базель-2 предлагает новый подход, который предполагает: создание независимого подразделения, отвечающего за управление операционными рисками, и разработку соответствующих процедур контроля; использование внешних данных для оценки внешних рисков; расчет собственного капитала на основе объединения внутренних и внешних данных.
Между моделью COSO и стандартным подходом Базеля-2 есть много общих пунктов: понимание и определение основной деятельности предприятия; определение структуры основных и дополнительных макропроцессов; оценка органов управления предприятием с точки зрения знания управляющими своего предприятия и его стратегии.
На этой основе следует осуществлять декомпозицию процессов «сверху вниз», вплоть до отдельных организационных подразделений, что позволит изучить действующие процедуры и связанную с ними информацию, а также рабочие места, конкретные задачи, требуемые компетенции и применяемые методы управления. В базовый проект, основанный на изучении процессов, следует ввести риски, т.е. объединить «проект по процессам» и «проект по рискам». Предусматриваемый Базелем-2 сбор информации о случаях риска позволяет позиционировать каждый риск на соответствующем уровне, что не всегда совпадает с «более тонкими» уровнями, определяемыми при анализе процессов. Вместе с тем использование результатов последнего может существенно облегчить анализ, ориентированный на выявление рисков, а также лучше их контролировать и предупреждать.
Позиционирование риска на вершине пирамиды процесса, с которым он связан, позволяет получить представление о среде, в которой осуществляется внутренний контроль. Это дает возможность вносить изменения в управление рисками за счет атомизации задач контроля, изменения или разработки новых процедур. База данных, используемая при анализе процессов, может служить не-
обходимым инструментом создания независимого подразделения, отвечающего за управление операционными рисками, что предусматривается Базелем-2. Однако включения анализа рисков в базовую модель анализа процессов недостаточно. Необходимы такие меры: документирование контроля над рисками путем отбора методов контроля над операционными системами; доведение их до сведения каждого контролера; сохранение исторических сведений о проведенном контроле; составление отчетов о контроле.
В заключение отмечается, что, чем больше законодатели обращаются к мощным структурам (как SEC к котирующимся компаниям) и однородным учреждениям (как Базель-2 к банкам и финансовым институтам), тем большие требования они предъявляют к анализу рисков, толкая предприятия к самооценке рисков с целью определения стратегии управления ими. Можно предложить более амбициозную задачу: использовать инструменты моделирования процессов не только в политике управления рисками, но и в организации процессов и в использовании всех ресурсов, отражаемых в базе данных. Для руководителей предприятий и организаций, которые не подпадают под действие SOA и Базеля-2 и не подчиняются формальным требованиям о введении внутреннего контроля, использование базовой модели анализа процессов наряду с анализом рисков может стать стимулирующим фактором для улучшения контроля над будущим их предприятий и определения путей рационального использования ресурсов организации.
Л.А. Зубченко
