Методические аспекты формирования системы аудит-контроллинга операционных рисков банка Текст научной статьи по специальности «Экономика и бизнес»

13.3. МЕТОДИЧЕСКИЕ АСПЕКТЫ ФОРМИРОВАНИЯ СИСТЕМЫ АУДИТ-КОНТРОЛЛИНГА ОПЕРАЦИОННЫХ РИСКОВ БАНКА

Кузнецова Юлия Анатольевна, заместитель директора по операционным рискам ОАО АКБ «ПРОБИЗНЕСБАНК» Контакты автора: kuznetsova1@bk.ru

Аннотация. В статье исследуются методические подходы по формированию системы аудит-контроллинга операционных рисков банка на основании норматива - письма Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитной организации», которое предусматривает возможность внедрения его рекомендаций с учетом специфики бизнес-процессов конкретного банка. Исследуются источники возникновения риска. Изложен подход к решению проблемы контроля системы управления операционным риском банка.

Ключевые слова: операционный аудит, банк, контроллинг, риск

METHODICAL ASPECTS OF FORMATION OF SYSTEM OF AUDIT-CONTROLLING OF OPERATIONAL RISKS OF BANK

Kuznetsova Julia Anatolevna, the deputy director on operational risks OPEN SOCIETY AKB "PROBUSINESSBANK"

Annotation: In article methodical approaches on formation of system of audit-controlling of operational risks of bank on the basis of the specification - letters of Bank of Russia from May, 24th, 2005 № 76 «About the management organization by operational risk in the credit organization» which provides possibility of introduction of its recommendations taking into account specificity of business processes of concrete bank are investigated. Sources of occurrence of risk are investigated. The approach to a solution of a problem of control of a control system is stated by operational risk of bank.

Keywords: operational audit, bank, controlling, risk

Систему аудит-контроллинга операционных рисков предлагается включить в состав системы обеспечения непрерывной деятельности банка и начать ее создание путем разработки соответствующих принципов контроля операционных рисков бизнес-процессов банка в форме «Положения о построении системы аудит-контроллинга операционными рисками», нормативом для разработки которого должны служить рекомендации Банка России [1].

Процесс управления операционным риском в банке должен осуществляется в соответствии со следующими основными принципами.

1. Система управления операционными рисками создается и функционирует таким образом, чтобы обеспечить акционеров и руководство банка полной и адекватной информацией об основных операционных рисках, которым подвержена деятельность банка.

2. Система оценки операционных рисков должна быть полностью интегрирована в деятельность банка по управлению рисками и его общую систему управления информацией.

3. Система управления операционными рисками функционирует на уровне всего банка, и сотрудники всех уровней должным образом понимают свою ответственность в части управления операционными рисками. Проекты разрабатываемых регламентов и процедур управления операционными рисками рассматриваются на Комитете по операционным рискам и утверждаются приказом Президента банка.

4. Потоки информации и система подотчетности проектируются и функционируют таким образом, чтобы обеспечить эффективное управление операционными рисками. Внутренние коммуникации в банке способствуют созданию общей культуры управления операционными рисками и оказывают содействие в осуществлении мониторинга и контроля операционного риска в банке.

5. В рамках системы управления операционным риском выявляются и оцениваются риски по всем направлениям деятельности, банковским продуктам, процессам и системам банка. Перед внедрением новых направлений деятельности, банковских продуктов, процессов и систем выявляются и оцениваются все сопутствующие им операционные риски.

6. В рамках системы управления операционным риском осуществляется регулярный мониторинг операционных рисков банка, включая мониторинг характера этих рисков и подверженности операционным потерям.

7. Для целей контроля и минимизации операционных рисков разрабатываются нормативные документы, регламентирующие процесс управления операционным риском. Стратегии контроля и минимизации рисков пересматриваются на регулярной основе, а также пересматривается профиль.

Моделью организационной структуры управления операционным риском может послужить пример приведенный ниже.

Координирующую роль в системе, выработке и принятии решений по проведению единой, согласованной политики в области управления операционными рисками осуществляет Комитет по операционным рискам. Функционирование системы управления операционными рисками обеспечивается подразделением в рамках ДПУР, отвечающим за координацию и централизацию управления операционным риском - ДОМР. Ответственность за реализацию конкретных мер по управлению и контролю операционных рисков несут бизнес-подразделения (дивизионы/ дирекции/ управления/ отделы), непосредственно осуществляющие операции.

Правление банка одобряет создание Комитета по операционным рискам.

Руководители дивизионов/дирекций ответственны за назначение должностных лиц, в чью компетенцию будет входить реализация конкретных мер по управлению и контролю операционных рисков.

Комитет по операционным рискам обладает контролирующими, координирующими и консультативными функциями в сфере регулирования операционных рисков, возникающих в деятельности банка. В сферу компетенции Комитета входит мониторинг эффективности методов идентификации операционных рисков, их измерения, контроля, минимизации возможных потерь от операционных рисков, а также анализ потенциальных и существующих в банке операционных рисков.

Кузнецова ю.А. АУДИТ-КОНТРОЛЛИНГ РИСКОВ БАНКА

Все задействованные в процессе управления операционными рисками структурные подразделения выполняют задачи, определенные в настоящем Положении, а также в их собственных нормативных требованиях, в рамках которых они также осуществляют управление операционными рисками банка. Структурные подразделения контролируют события, связанные с операционным риском с момента их возникновения до момента их завершения, т.е. рассматривая их в качестве процессов.

Что касается процессов управления операционными рисками, то они должны проводиться на постоянной основе во всех структурных подразделениях банка и состоять из четырех повторяющихся этапов:

- идентификация (выявление) операционного риска

- анализ всех аспектов деятельности банка на предмет наличия или возможности возникновения факторов операционного риска;

- оценка (измерение) операционного риска - оценка вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, оценка размера потенциальных убытков;

- мониторинг операционного риска - отслеживание изменений, имеющих место в процессе управления рисками;

- минимизация операционного риска - осуществ -ление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и (или) на уменьшение (ограничение) размера потенциальных операционных убытков.

Учитывая разнородность источников возникновения риска, необходимо подробно изложить основные моменты идентификации и оценки риска.

Для целей идентификации, операционные риски классифицируются по следующей системе.

Первый уровень классификации операционных рисков, содержит семь следующих категорий:

1)внутреннее мошенничество;

2) внешнее мошенничество;

3) кадровая политика и безопасность труда;

4) клиенты, продукты и деловая практика - нарушения иного законодательства, (в том числе по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма, антимонопольного), неисполнение или ненадлежащее исполнение возникающих из договоров обязательств банка перед клиентами, контрагентами и (или) иными третьими лицами (например, ненадлежащее использование конфиденциальной информации, навязывание услуг и пр.);

5) причинение ущерба физическим активам - повреждение или утрата основных средств и других материальных активов;

6) нарушения в ведении бизнеса и системные сбои -выход из строя оборудования и систем (например, сбой (отказ) в работе автоматизированной банковской системы, систем связи, поломка оборудования);

7) исполнение, доставка и управление процессами -ненадлежащая организация бизнес-процессов, ошибки управления или исполнения (например, в результате отсутствия или несовершенства систем защиты и порядка доступа к информации, невыполнения обязательств перед банком поставщиками услуг (исполнителями работ), ошибок при вводе или обработке данных по операциям, сделкам, утеря документов и пр.).

Оценка операционного риска предполагает оценку вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, построена на выявлении связей между возможными операционными потерями и факторами операционного риска или некими индикативными переменными, отражающими комплексное или промежуточное действие факторов операционных рисков. Оценка уровня операционного риска может основываться как на информации базы данных потерь, так и на экспертных оценках ответственных сотрудников, данных внешних источников, результатах сценарного анализа.

Сбор информации об операционных рисках осуществляется следующими методами:

- анализ реализованных рисков (убытков) - анализ произошедших ранее убытков (частоты, величины убытков, среднего количества, длительности, распределения убытков);

- анализ первичных документов (например, договоров) или вторичных документов (например, регулирующих положений) в отношении конкретного риска;

- организационный анализ - идентификация рисков, присущих организационной структуре банка и происходящим в рамках данной структуры процессам/процедурам (пробелы либо частичное наложение (дублирование) обязанностей);

- заполнение «опросных листов» - информация об операционных рисках собирается с помощью опросных листов, в которых описываются риски, ключевые индикаторы рисков и последствия реализации рисков.

- анализ убытков - анализ информации о событиях, приведших к убыткам;

- ситуационное исследование рисков;

- опрос сотрудников банка о причинах возникновения рисков.

Для отслеживания и прогнозирования различных операционных событий используется метод ключевых индикаторов риска (КИР). КИР позволяет косвенным способом оценивать уровень операционных рисков банка, а также рост степени подверженности рискам в силу усложнения деятельности или увеличения объемов операций. Основной целью КИР является прогнозирование неблагоприятного события и предотвращение возможных потерь при его реализации. ДОМР корректируют КИР по мере необходимости, назначают пороговые значения и удаляют «устаревшие» индикаторы из набора практических инструментов.

Индикаторы операционных рисков, связанные с реализованными потерями («исторические»), используются для оценки уровня возможных потерь в будущем. Руководитель процесса должен проводить ситуационное исследование каждого операционного события, определяя скрытые риски, отмечая завершение события и определяя необходимые меры по минимизации риска. Ситуационное исследование должно затрагивать следующие аспекты:

- внешняя оценка события;

- внутренняя оценка события;

- принятые меры;

- факторы риска, послужившие причиной события;

- расположение события на карте рисков;

- действие плана непрерывности бизнеса;

- операции по обмену кризисной информацией;

- полученные результаты и выводы.

Индикаторы операционных рисков, кроме того, могут быть «опережающими» (предикативными), а также ориентированными не на потери, а на бизнес-процессы.

Например, часто меняющийся персонал банка связан с процессом трансформации банка. Такие индикаторы, как правило, исторические, путем определенных трансформаций можно перевести в разряд предикативных, например, зная число не совершенных из-за поломки в системе расчетных операций.

Предикативные индикаторы риска - индикаторы окружения, например, число жалоб со стороны клиентов, удовлетворенность персонала своей работой, количество проведенных тренингов для сотрудников подразделения. Опережающие индикаторы риска должны использоваться руководителями подразделений банка с целью воздействия на профиль риска путем расчета для сопоставления с остальными индикаторами.

1. Бизнес-процессы: контроль исполнения работ по видам внутренних процессов (операции по обмену валюты, налично-кассовое обслуживание, эквайринг пластиковых карт, инкассация, осуществление операций на межбанковском рынке, обслуживание через банкоматы, процесс бухгалтерского и управленческого учета и отчетности, внутренние процессы документооборота, административно-хозяйственная деятельность банка, процесс внутреннего контроля).

2. Персонал: контроль исполнения работ по факторам, непосредственно связанным с сотрудниками компании; процент «сменяемости» сотрудников; процент неадекватных действий персонала, выявленных в ходе аудиторской проверки; процент уровня некомпетентности сотрудника; степень зависимости компании от определенного сотрудника; число рабочих дней, пропущенных персоналом по уважительным причинам; число позитивных оценок или полученных наград; соотношение числа уволившихся сотрудников к общему числу работников и др. индикаторы.

3. Внешние риски: число событий, произошедших из-за внешних факторов (в том числе социальных или политических событий); число стихийных бедствий, нанесших ущерб организации; число пожаров; количество несанкционированных проникновений в базу данных / архив банка; число взломов банкоматов; число внешних хищений наличных средств / имущества; количество несанкционированных проникновений в помещения банка; количество поломок банкоматов.

4. Розничный бизнес: контроль исполнения работ для бизнес-процессов по работе с клиентами: неопознанные зачисления / списания; штрафы, уплаченные клиентами; некорректное поведение клиентов; некорректное выполнение обязательств со стороны банка; платежные системы (Visa, Western Union); процессинговые компании; внутрибанковские процессы; претензии клиентов и др. индикаторы.

5. Контроль исполнения работ для !Т-системы: сбои оборудования и инфраструктуры; сбои в работе программного обеспечения; внешние сбои.

6. Контроль исполнения работ для персонала: текучка кадров; обучение персонала; наличие конфликта интересов у сотрудников.

При формировании раздела о минимизации операционных рисков следует исходить из того, что факторы операционного риска делятся на подконтрольные и не подконтрольные банку, поэтому раздел может содержать два соответствующих подраздела. В отношении подконтрольных банку факторов операционного риска

в разделе описываются основные меры, направленные на их снижение (минимизацию).

Целесообразно применять такие меры по ограничению риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек.

Для того чтобы обеспечить максимально оперативный выход из кризиса, необходимо заранее предусматривать варианты действий при возникновении непредвиденных обстоятельств.

В состав мер по снижению (минимизации) операционного риска должно входить расширение зоны контролируемого риска за счет идентификации максимально возможного количества факторов операционного риска и снижения или устранения их отрицательного воздействия на деятельность банка за счет лучшей регламентации деятельности, оптимизации бизнес-процессов, перераспределения функций, полномочий и рабочей нагрузки, автоматизации и применения мер защиты информации, подготовки персонала, улучшения контроля со стороны службы внутреннего контроля банка.

Контроль системы управления операционным риском банка осуществляется службой внутреннего контроля (СВК) и исполнительными органами банка на постоянной основе. Периодичность проверок СВК определяется частотой возникновения операционных убытков; в любом случае проверка должна проводиться не реже одного раза в год. СВК имеет полномочия и обязанность только по проверке и контролю эффективности системы управления операционным риском, но не по контролю самих рисков.

Решение задач оперативного контроллинга можно осуществить только на основе использования операционного аудит-контроллинга, разработанного в соответствии с возможностями, предоставляемыми как теорией и практикой операционного аудита, так и теорией и практикой оперативного контроллинга.

Список литературы:

1. Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитной организации», которое предусматривает возможность внедрения его рекомендаций с учетом специфики бизнес-процессов конкретного банка.

2. Якупова Н.М. Модель контроллинга рисков в системе стратегического управления предприятием / Н.М. Якупова, З.И. Магомедова // Эконом. науки, 2О08 (июнь). - С. 317-323.

References:

1. Bank of Russia Low of 24.05.2005 #76-T “About organization of opération risk management in commercial banks”, provides possibility of introduction of its recommendations taking into account specificity of business processes of concrete bank.

2. Yakupova N. Controlling model of risks in system of strategic operation of business / Yakupova N., Magomedova Z. // Economic science 2008 (June) - l. 317-323

РЕЦЕНЗИЯ

на статью соискателя Ю.А. Кузнецовой на тему: «Методические аспекты формирования системы аудит-контроллинга операционных рисков банка».

В рецензируемой статье соискателя Ю.А. Кузнецовой исследуются методические подходы к формированию системы аудит-контроллинга операционных рисков банка на основании письма Банка России от 24 мая 2005 г. № 76-Т «Об организации управления опе-

Кузнецова Ю.А. АУДИТ-КОНТРОЛЛИНГ РИСКОВ БАНКА

рационным риском в кредитной организации», которое предусматривает возможность внедрения его рекомендаций с учетом специфики бизнес-процессов и бизнес-линий конкретного российского банка.

Личным вкладом автора в решение указанной проблемы является предложение о включении системы аудит-контроллинга операционных рисков в состав системы обеспечения непрерывной деятельности банка (ОНиВД) и создания соответствующих принципов контроля операционных рисков бизнес-процессов банка в формате «Положения о построении системы аудит-контроллинга операционными рисками», нормативом для разработки которого должна служить указанная рекомендация Банка России. Автор предлагает методически обоснованные принципы управления операционным риском и модель организационной структуры управления ими, реализуемой в рамках регламента Комитета по операционным рискам. Приводятся функциональные обязанности членов Комитета, степень их ответственности за принимаемые решения. В целях учета источников возникновения операционных рисков, разнородных по своей сущности, предлагаются оригинальные методы мониторинга, идентификации и оценки рисков. Решение задач оперативного управления операционными рисками автор предлагает осуществлять на основе методов операционного аудит-контроллинга, разработанного в соответствии с возможностями, предоставляемыми как теорией и практикой операционного аудита, так и теорией, и практикой оперативного контроллинга.

Профессор,

д.э.н. В.А. Дадалко