Аудит эффективности управления рисками коммерческого банка Текст научной статьи по специальности «Экономика и бизнес»

АУДИТОРСКАЯ ДЕЯТЕЛЬНОСТЬ

аудит эффективности управления рисками коммерческого банка

Российская экономическая академия им. Г. В. Плеханова E-mail: t. tartarashvili@mail. ru

В настоящее время все большее распространение получают разнообразные формы управленческого аудита, в частности аудита эффективности, который ориентирован на оценку эффективности, результативности и экономичности аудируемой системы.

В статье рассматриваются методологические вопросы проведения аудита эффективности систем управления рисками коммерческих банков. Несмотря на наличие острой потребности в разработке указанных вопросов, отечественная практика аудита эффективности системы управления рисками не получила комплексного решения.

Ключевые слова: аудит эффективности, банковские риски, интегрированная система управления рисками, методика аудита, риск-ориентированный контроль, управление рисками.

В условиях возрастающей неопределенности внешней и внутренней среды ведения бизнеса все большее внимание уделяется ориентированным на риск управленческим технологиям. Поэтому в управлении бизнесом главную роль начинает играть риск-ориентированный подход, характерной чертой которого является организация процесса системного управления рисками (риск-менеджмента).

Философия риск-ориентированного подхода утвердилась в качестве господствующей парадигмы в стратегическом менеджменте с 1990-х гг.

Она же легла в основу последних разработок Базельского комитета по банковскому надзору и методологии COSO, а также современных представлений об организации процессов внутреннего и внешнего аудита.

В качестве элемента контрольной среды, формируемой в рамках риск-ориентированного менеджмента, по мнению автора, целесообразно рассматривать регулярное проведение внешнего аудита системы управления рисками с точки зрения оценки ее эффективности. Поэтому особую актуальность получает вопрос о теоретико-методологических основаниях аудита эффективности системы управления рисками.

Традиционный подход к аудиторской деятельности основывается на определении, представленном в ст. 3 Федерального закона от 30.12.2008 № 307-Ф3 «Об аудиторской деятельности»: аудит — независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности.

Однако на практике многими специалистами признается более широкая трактовка, включающая финансовый аудит, аудит подтверждения на соответствие, а также управленческий (операционный) аудит.

Множественность форм аудиторской деятельности проявляется в понятиях «налоговый аудит», «аудит качества», «экологический аудит»,

«аудит эффективности». Объединяет эти формы не само слово «аудит», а единая концептуальная основа, в соответствии с которой аудит рассматривается в виде специальной деятельности, направленной на снижение управленческих информационных рисков.

Аудит эффективности систем управления может представляться как одна из разновидностей управленческого (операционного) аудита, рассматриваемого отечественными и западными учеными в виде самостоятельного вида аудита, предполагающего проведение проверок любой части процедур и методов функционирования организации в целях оценки производительности и эффективности.

Таким образом, организация управленческого аудита означает осуществление полноценной аудиторской проверки с соблюдением основных аудиторских стандартов с выражением аудитором квалифицированного мнения об эффективности объекта аудита (в данном случае, системы управления рисками). Поэтому, по мнению автора, правомерно рассматривать управленческий аудит, осуществляемый независимыми внешними аудиторами, не только как вид консультационных услуг, но и как самостоятельный вид аудиторской деятельности.

Являясь разновидностью управленческого аудита, аудит эффективности имеет и самостоятельное значение, поскольку именно эффективность осуществления основной деятельности является главным критерием надежности внутреннего контроля и оценки качества работы систем управления.

Под аудитом эффективности системы управления рисками следует понимать целенаправленный процесс тестирования, анализа и оценки функционирования аудируемой системы риск-менеджмента в целях подтверждения соответствия ее качественных характеристик установленным критериям эффективности. Основными задачами аудита эффективности системы управления рисками коммерческого банка являются определение «узких мест» (зон потери контроля над рисками), оценка адекватности существующей системы риск-менеджмента характеру и объему совершаемых операций, а также выработка рекомендаций по ее совершенствованию.

В отличие от традиционного финансового аудита аудит эффективности направлен не на

отчетные показатели, а на идентификацию наиболее важных и значимых областей системы управления. Кроме того, аудит эффективности активен по отношению к объекту аудита, поскольку направлен не столько на подтверждение фактов нарушений или отклонений, определяемых, как правило, ретроспективно, сколько на локализацию возможных проблемных областей, которые снижают общую или локальную эффективность системы.

В сфере контроля за деятельностью коммерческого банка проведение аудита эффективности системы управления рисками логично сопрягается с риск-ориентированным подходом. Таким образом, проводимый аудит можно рассматривать как часть общего процесса управления рисками, основанного на применении положений Банка России и Базельского комитета по банковскому надзору.

Методологическое обеспечение аудита эффективности системы управления рисками предполагает реализацию следующих элементов:

- определение задач и целей аудиторской проверки;

- определение основных стандартов, процедур и методов проведения аудита;

- формирование методик проверок.

Традиционный подход к финансовому аудиту предполагает оценку системы внутреннего контроля, что в современных условиях подразумевает и некоторый анализ функций управления рисками. Однако стандартная оценка аудитором системы внутреннего контроля не предусматривает комплексного анализа системы риск-менеджмента, т. е. ее эффективности. И хотя возрастающая роль внешних аудиторов в этой сфере отмечается в основных документах, определяющих методологию и практику современного риск-менеджмента (например, в документах Базельского комитета по банковскому надзору), в системе действующих принципов и стандартов аудиторской деятельности этот вопрос не нашел пока достаточного отражения.

Поскольку аудит эффективности является всего лишь одной из форм аудиторской деятельности, представляется, что к нему применимо большинство принципов и требований, заложенных в действующих стандартах аудиторской деятельности. В частности, это относится к требованиям планирования, документирования,

определения аудиторских рисков, получения аудиторских доказательств и т. д.

Рассматривая аудит эффективности как специфический элемент управления, направленный на оценку эффективности, качества и надежности функционирования системы риск-менеджмента, следует обратить внимание на его специфические цели, задачи и функции. Целью проведения аудита эффективности системы управления рисками является подтверждение соответствия применяемых процедур и методов риск-менеджмента профилю риска коммерческого банка, а также оценка ее надежности применительно к особым (стрессовым) рисковым ситуациям.

Достижение указанных целей опосредуется выполнением целого ряда задач, решаемых в ходе проведения аудиторской проверки эффективности системы управления рисками, в частности:

- анализ действующей организационной структуры и информационной базы риск-менеджмента;

- оценка реального профиля риска как на уровне всего банка, так и в рамках его отдельных подразделений или видов деятельности;

- оценка соответствия внутренней контрольной среды характеру принимаемых коммерческим банком рисков;

- оценка общего уровня квалификации персонала, ответственного за управление рисками;

- выявление и анализ узких мест в системе риск-менеджмента банка;

- стресс-тестирование и оценка устойчивости системы риск-менеджмента применительно к критическим ситуациям.

Исходя из характера и направленности решаемых задач, можно сформулировать следующие основные функции аудита эффективности:

• контрольная — связана с проверкой деятельности аудируемых подразделений;

• информационная — подтверждение контрольных результатов значений вероятности наступления рискового события и проведение соответствующей оценки в случае необходимости; поддержка решений, корректирующих рисковые позиции банка, включая осуществление конкретных процедур для своевременной ликвидации «сбоев»;

• аналитическая — выявление дисфункций или явных несоответствий функций управления риском характеру риск-профиля банка, а

также отклонений действий ответственных лиц от существующих методик и нормативов; разработка организационных принципов, стратегий, политик, методик, процедур и регламентов по отслеживанию рисковых позиций банка; • консультативная — формирование рекомендаций, выбор направлений совершенствования системы риск-менеджмента коммерческого банка, помощь в планировании мероприятий по хеджированию рисков, расчету и утверждению лимитов. В качестве первого и основного методологического подхода при проведении аудита эффективности можно использовать метод сравнения, когда действующая система риск-менеджмента рассматривается в сравнении с эталонным образцом. В качестве эталонного образца может быть выбран один из следующих вариантов:

- базовый вариант — формируется на формальной основе, когда система риск-менеджмента строится на полном соответствии нормативным рекомендациям Банка России, а внутренние положения и инструкции полностью повторяют положения соответствующих документов регулирующего органа, но не предусматривают более детальной проработки;

- продвинутый вариант — формируется на системной основе, когда внутренняя организация риск-менеджмента предусматривает более детальную и проработанную регламентацию управления рисками по сравнению с базовыми инструкциями регулирующего органа;

- внешнее сравнение — бенчмаркинг, когда в качестве эталона принимается лучшая рыночная практика или действующая, хорошо зарекомендовавшая себя система риск-менеджмента, как правило, стороннего банка.

Сравнение с эталонным образцом позволяет не только выработать определенные сравнительные критерии, но и указать на отсутствующие звенья в цепочке управления тем или иным риском. Однако аудиторы не должны ограничиваться сравнением, поскольку сравнение обеспечивает только внешний компонент оценки эффективности.

В качестве второго методологического подхода может использоваться структурный анализ с декомпозицией системы управления рисками на основные элементы и их последующий синтез с выявлением узких мест или неэффективных

компонентов. Поскольку управление рисками организации не является линейным процессом, в котором один компонент оказывает однозначное влияние на следующий, аналитическая декомпозиция предполагает тщательное исследование всей организационной структуры банка и, в частности общей организационной схемы функции риск-менеджмента. Интегрированная система управления рисками, таким образом, может быть разложена на отдельные компоненты, в частности:

- по видам рисков (кредитный, рыночный, процентный, операционный и т. д.);

- по характеру рисков (внешние / внутренние, постоянные / разовые и т. д.);

- по характеру и объему потерь (в рублях, в иностранной валюте; незначительные потери или катастрофические и т. д.);

- по зонам ответственности / компетентности (совет директоров, кредитный отдел, казначейство и т. д.).

На уровне каждого из выделенных компонентов проводится стандартная последовательность процедур, связанных с проведением аудита эффективности. Однако в зависимости от принятой декомпозиции может меняться характер, объем и иные качественные характеристики выбранных как аудиторских доказательств, так и проводимых аналитических процедур. Общая последовательность декомпозиции и анализа определяется аудиторами самостоятельно в зависимости от поставленного аудиторского задания.

Декомпозицию логично дополняет анализ различных элементов риск-менеджмента. Этот анализ может иметь как количественный, так и качественный характер, что предполагает развитый аналитический аппарат. Результатом анализа может быть выявление новых риск-факторов, уточнение характера воздействия уже существующих риск-факторов, уточнение профиля рисков, выявление слабых мест в системе внутреннего контроля и прогнозирование возможных сценариев развития бизнеса.

Третьим методологическим подходом является независимая оценка уровня риска. Ее проведение может осуществляться по нескольким направлениям, но основным является выявление определенных вероятностных характеристик ключевых рисков и степени тяжести потенциальных потерь. Кроме того, в связи с переходом

к риск-ориентированному банковскому надзору, инициированному с принятием Базеля II, особое внимание стало уделяться оценке совокупного или «интегрального» риска банкротства банка.

В этих условиях задачей аудиторов становится не только оценка различных компонентов системы управления рисками, но и определение различных показателей, характеризующих ключевые позиции деятельности банка с точки зрения принимаемых им рисков. Одним из таких показателей, широко используемых в банковской практике, является показатель скорректированной на риск рентабельности капитала (risk-adjusted return on capital — RAROC). Он позволяет внедрить систему управления рисками непосредственно в процесс принятия решений руководством банка [3, с. 586].

Удобство использования показателя RAROC выражается в том, что он является сопоставимым и, следовательно, может служить критерием размещения капитала между различными по величине и структуре портфелями, подразделениями и направлениями деятельности. Методика RAROC предназначена для обеспечения банка капиталом на уровне, достаточном для покрытия непредвиденных потерь вследствие реализации всех основных видов риска с определенной (высокой) степенью уверенности. Таким образом, можно сделать вывод о том, что главной целью применения RAROC с точки зрения интегрированного риск-менеджмента является оптимизация совокупной величины и структуры капитала банка.

Для банка скорректированная на риск рентабельность капитала (RAROC) может быть оценена следующим образом:

RAROC = E / RC, где Е(earnings) — чистая прибыль, рассчитанная с учетом затрат на частичное хеджирование рыночного и кредитного риска; RC (risk capital) — капитал, необходимый для покрытия основных видов риска по проводимым операциям с целью защиты от банкротства.

Показатель RAROC может рассчитываться как по итогам выбранного отчетного периода, так и планироваться на будущее. Поэтому оценка результатов работы руководителя каждого направления бизнеса будет осуществляться путем сравнения планового значения RAROC с фактически достигнутым, анализа тенденций в

динамике RAROC за последнее время, а также сравнения с другими подразделениями и направлениями деятельности.

Изучение опыта зарубежных банков по использованию данного метода позволяет автору сделать вывод о том, что метод RAROC сыграл революционную роль в развитии финансового риск-менеджмента. К достоинствам этой методики относятся:

- объективность — более точная оценка потребности в капитале и экономической выгодности операций по сравнению с традиционными показателями (рентабельность капитала или активов);

- комплексность — интеграция в одном показателе оценок основных видов финансового риска (рыночного, кредитного и операционного);

- универсальность — возможность применения в стратегическом планировании, ценообразовании и системах мотивации персонала на всех уровнях управления в банке.

Эти достоинства вместе с появлением в 1990-х гг. математических моделей для расчета экономического капитала на покрытие рыночного, кредитного и операционного рисков на основе методики VaR1 обусловили широкое распространение подхода RAROC среди крупных транснациональных банков.

Неотъемлемым элементом методологического обеспечения аудита эффективности системы управления рисками является формирование методик проведения аудита. Алгоритм формирования любой методики аудита предполагает последовательность определенных действий, совершаемых аудитором независимо от того, какой объект и вид аудита выбран. При этом общие принципы его проведения остаются неизменными.

На взгляд автора, основными составляющими методики проведения аудита эффективности системы управления рисками коммерческого банка являются:

- общая диагностика системы риск-менеджмента в аудируемом банке;

- выбор базовых показателей эффективности системы управления рисками и согласование их с руководством;

- проведение проверочных мероприятий;

1 Метод оценки стоимости риска — VaR (Value-at-Risk), базирующийся на анализе статистической природы рынка.

- представление результатов аудита руководству;

- формирование рекомендаций по совершенствованию системы управления рисками.

Рассмотрим особенности каждой составляющей в отдельности.

Общая диагностика системы риск-менеджмента в аудируемом банке. Основным объектом аудита эффективности выступают системы управления или их отдельные компоненты, являющиеся уникальными по своей природе. Соответственно, первым шагом аудита эффективности должно стать понимание принципов построения информационных связей и контроля, действующих в данной системе. Это требование находит отражение в системе международных аудиторских стандартов, где часть стандартов прямо или косвенно определяет действия аудитора, направленные на адекватное понимание деятельности аудируемого лица.

Учитывая специфику объекта аудита—системы риск-менеджмента коммерческого банка, аудитору в первую очередь следует провести общую диагностику состояния системы управления рисками и оценить ее общую надежность. В качестве основы такой диагностики можно использовать показатели и методику их расчета и определения обобщающего результата по ним, предложенные Банком России в указании от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов».

Несмотря на то, что методика Банка России была подвергнута критике со стороны банковского сообщества за неполноту и очевидную произвольность выбранных показателей, она представляет определенный интерес, во-первых, как первая попытка регулирующего органа построить интегральную оценку системы управления рисками, во-вторых, как основа для построения индивидуальных и более развернутых методик такой оценки.

Более эффективные варианты предполагают более сложные инструменты общей диагностики. В частности, в качестве такого инструмента можно рассматривать используемую специалистами «Делойт» («Deloitte») специальную шкалу оценки, отражающую уровень зрелости системы управления рисками коммерческого банка: на нижнем этаже пирамиды представлено такое состояние

системы, при котором банк выявляет и отражает в своей системе совершаемые им операции, но при этом не осуществляет выявление и оценку возможных рисков. На верхнем — шестом этаже — отражено такое состояние системы управления рисками, при котором банк осуществляет расчет экономического капитала, его аллокацию на подразделения и оценку их эффективности с учетом уровня риска [2].

Общая диагностика системы управления рисками коммерческого банка предполагает рассмотрение целого ряда вопросов и включает общую оценку:

- стратегии в области управления рисками, включая анализ существующих рисков как с точки зрения их наличия, так и осознания руководством значимости вопросов управления ими;

- целостности, системности общей организационной структуры риск-менеджмента и качества ее информационной поддержки, а также общего соответствия ее требованиям регулирующих органов;

- основных факторов рисков, идентифицированных руководством и способных реально оказать влияние на деятельность банка;

- действующих технологий и процессов, задействованных в области риск-менеджмента;

- используемых моделей, расчетов, техник анализа, используемых в рамках текущего и стратегического мониторинга рисков.

Выбор базовых показателей эффективности системы управления рисками и согласование их с руководством. Этот элемент представляет особый интерес, поскольку выбор показателей эффективности в какой-то мере определяет сущность аудиторского задания и конечный результат при проведении аудита эффективности.

Проведение проверочных мероприятий. Проверочные мероприятия осуществляются в соответствии с программой и планом аудита эффективности. Проверочные мероприятия (как и в случае финансового аудита) предусматривают процедуры сбора и оценки соответствующих аудиторских доказательств, анализа и оценки их с точки зрения соответствия характеру проводимого аудита.

В ходе основных проверочных мероприятий проводится более детальная, чем при общей диагностике, оценка структуры риск-менеджмента банка. При этом рассматриваются взаимосвязи

между процедурами, которые составляют процессы управления рисками и ключевые функции управления. В ходе оценки анализируется реальная модель управления рисками, рассматривается действующая система распределения ответственности в рамках административной иерархии и определяется характер функционального взаимодействия лиц, ответственных за управление рисками. Кроме того, оценивается реальная схема информационных потоков, а также их соответствие стратегии и модели управления рисками. Также рассматриваются вопросы соответствия функции риск-менеджмента банка объемам и характеру проводимых операций.

В ходе проверочных мероприятий анализируется риск-профиль банка с формированием карты рисков и оценки вероятности их наступления, определяется характер потенциальных угроз и возможностей банка с точки зрения воздействия на них.

На заключительном этапе проверочных мероприятий может быть предусмотрено сравнение реальной модели риск-менеджмента с эталонной. Такое сравнение необходимо для принятия обоснованных решений и более объективной оценки результатов управления рисками.

Аудит эффективности системы управления рисками может быть дополнен анализом эффективности управления банка в целом.

По итогам реализации всех процедур аудита эффективности выявляются узкие места существующей системы, определяются ключевые направления, на которых необходимо усилить существующие функции риск-менеджмента, определяются зоны катастрофического и повышенного риска, оцениваются мероприятия по оптимизации затрат на систему мониторинга внутренних и внешних факторов риска.

Представление результатов аудита руководству. В результате осуществления необходимых аудиторских процедур формируется детализированный отчет о системе управления рисками банка и эффективности ее функционирования. Отчет является основой для дальнейшего совершенствования системы риск-менеджмента и принятия возможных стратегических решений относительно действий банка в зонах повышенного риска. В отчете дается развернутая оценка системы внутреннего контроля, чем это происходит при проведении стандартного финансового

аудита. Аудиторский отчет может стать основой для формирования уточненного риск-профиля банка и уточнения оценки возможностей по управлению им.

К отчету могут быть приложены рекомендации, прогнозы и оценки отдельных программ и действий. Эта информация наряду с аудитом финансовой отчетности организации создает «объемную» картину текущего и потенциального состояния риск-менеджмента банка и служит базой для прогнозирования угроз и возможностей на ближайшую перспективу,

Формированиерекомендаций по совершенствованию системы управления рисками. Результаты, отраженные в аудиторском отчете, могут стать основой рекомендаций аудиторов относительно совершенствования существующей системы управления рисками банка и включения в рассмотрение новых направлений. Рекомендации аудиторов могут лечь в основу выработки новой политики в области управления рисков. Их ценность не только в том, что определяются приоритеты и контуры дальнейшего совершенствования, но даются конкретные рекомендации по их достижению. В числе прочего может быть дана оценка необходимых финансовых вложений в развитие риск-менеджмента и определена последовательность шагов по реализации намеченных мероприятий.

Предлагаемый концептуальный подход к проведению аудита эффективности системы управления рисками не ограничивается только банковской сферой, а с некоторыми модификациями может быть использован при аудите эффективности любой корпоративной системы управления рисками, независимо от вида деятельности.

Многие авторы отмечают, что в современных условиях внешний аудит все более рассматривается как интегрированный компонент управления рисками, тесно связанный со службой внутреннего контроля и высшим менеджментом

компании. «Внешние аудиторы (как партнеры по управлению риском) призваны играть специфическую роль. Коль скоро средством обеспечения стабильности банковской системы становится рыночная дисциплина, рыночные системы должны, прежде всего, обладать информацией и возможностью возлагать на директоров и менеджеров ответственность за надежное функционирование банка» [1, с. 51].

Таким образом, проведение аудита эффективности системы управления рисками внешними аудиторами можно рассматривать как своеобразную гарантию действенности и качества механизмов и методов управления рисками, используемых в повседневной практике риск-менеджмента.

Аудит эффективности системы управления рисками не только облегчает задачу выявления рисков и предотвращения серьезных сбоев в службе внутреннего контроля. В ходе его проведения оценивается и тестируется внутренняя контрольная среда. При этом основные параметры риска и внешние условия осуществления управления им сопоставляются с основными стратегическими целями, действующими стандартами и качественными показателями деятельности банка, что позволяет определить приоритетные направления по укреплению и совершенствованию функции риск-менеджмента.

Список литературы

1. Грюнинг Х. ван, Брайович Б. С. Анализ банковских рисков. Система оценки корпоративного управления и управления финансовым риском / пер. с англ. М.: Весь Мир, 2003.

2. Деклерк Дж, Шибаев В. Расчет экономического капитала как показатель зрелости системы управления рисками // Управление рисками. 2008. № 1 (59) . С. 21-24.

3. Энциклопедия финансового риск-менеджмента / под ред. А. А. Лобанова, А. В. Чугунова. 3-е изд. М. : Альпина Бизнес Букс, 2007.

л

ВНИМАНИЕ! На сайте Электронной библиотеки <^ПЬ> собран архив электронных версий журналов Издательского дома «ФИНАНСЫ и КРЕДИТ» с 2006 года и регулярно пополняется свежими номерами. Подробности на сайте библиотеки:

www.dilib.ru