Законодательное регулирование

Л.В. Костикова, ОАО «БИНБАНК», руководитель центра внутреннего контроля департамента внутреннего контроля и аудита, член Института внутренних аудиторов
Н.Е. Цангль, руководитель службы внутреннего аудита ОАО «ТрансФин-М», заместитель директора Банковского института НИУ Вшэ, руководитель финансовой секции Института внутренних аудиторов, к.э.н.

В срок до 1 октября 2014 года кредитные организации обязаны привести свои учредительные и внутренние документы в соответствие с новой редакцией Положения Банка России № 242-П. Новая трактовка понятий «внутренний контроль» и «внутренний аудит», организационные требования, цели и задачи служб внутреннего контроля и внутреннего аудита все больше приближают форму их функционирования к концепции «три линии защиты», соответствующей международным стандартам.

А.С. Яковенко, НТЦ «ОРИОН», консультант по вопросам в области ПОД/ФТ

В один из основных комплексов мероприятий «антиотмывочного» законодательства - идентификацию клиентов, их представителей, выгодоприобретателей, бенефициарных владельцев - в 2014 году внесены значительные изменения. В каких случаях проводится упрощенная идентификация? Каковы способы и порядок ее проведения при предоставлении клиенту - физическому лицу электронного средства платежа? В какие сроки кредитная организация должна обновлять сведения, полученные в результате идентификации, и пересматривать уровень риска? Какие меры должна содержать программа идентификации, самостоятельно разработанная банком?

Банковский надзор

Д.Н. Козлов, ОАО Банк ЗЕНИТ, департамент рисков, начальник управления операционных рисков и контроля, доцент, к.т.н.
Ю.Н. Юденков, МГУ имени М.В. Ломоносова, факультет политологии, доцент, к.э.н.

Система внутреннего контроля в кредитной организации функционирует в первую очередь в соответствии с требованиями Банка России и лишь потом - в соответствии с рекомендациями корпоративного управления. Нормотворчество методологов Банка России - процесс непрерывный и ускоряющийся. В новой редакции Положения № 242-П используется много новых терминов, но не объясняются их сущность и процедуры внедрения, в частности термин «регуляторный риск». Разберемся с этим объектом контроля.

Т.А. Цыпурко, ГПБ (ОАО), департамент внутреннего контроля, директор управления методологии и развития

Несмотря на то что российский регулятор предписывает кредитным организациям обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, в какие сроки) не существует. Банк России рекомендует применять систему показателей, характеризующих качество системы органов и направлений внутреннего контроля, а также критерии, приведенные в новой редакции Положения № 242-П. С одной стороны, регулятор предлагает механизм, который кредитная организация может применить самостоятельно, с другой - он пока не может заставить участников оценки давать честные ответы на адресованные им вопросы.

Контроль потенциальных потерь

А.Л. Поспелов, Банк России, начальник управления Главного управления безопасности и защиты информации
П.В. Ревенков, Банк России, начальник отдела Главного управления безопасности и защиты информации, д.э.н.

Если в следующие пять лет пользователей дистанционного банковского обслуживания станет вдвое больше, какие риски грозят банкам по причине такого возрастания технической составляющей? Какие проблемы связаны с недостатками в обеспечении информационной безопасности в банках? Это и расширение профиля операционного риска, и неподготовленность сотрудников в вопросах обеспечения информационной безопасности в условиях дистанционного обслуживания, и другие факторы.

Е.В. Старостина, PwC, младший менеджер направления «Информационная безопасность»
В.Г. Наймарк, PwC, руководитель службы информационной безопасности региона Центральной и Восточной Европы

PC World называет BYOD самым ужасающим акронимом для IT-специалистов. Но корпоративные стандарты, похоже, все-таки проигрывают битву принципу «все свое ношу с собой». Насколько данная технология применима в банках? Каковы достоинства и недостатки BYOD? На что нужно обратить внимание IT-специалистам, службе внутреннего аудита и СВК, если принято решение внедрять данную технологию? Как минимизировать риски мошенничества и сохранять информационную безопасность банка при BYOD?

М.П. Бурдонова, АКБ «РосЕвроБанк» (ОАО), начальник управления нефинансовых рисков

Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонал разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.

Регламентация процессов и процедур

Н.С. Андреева, ОАО «Открытие Холдинг», глава внутреннего аудита

По мнению автора статьи1, СВК находилась на стыке второго и третьего уровня контроля, а иногда их совмещала или замещала. Теперь перед банками стоит задача разделить функционал между двумя службами - внутреннего контроля и внутреннего аудита. На ее решение направлены изменения, внесенные в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Какими будут подходы к организации системы контроля в банках и какими документами будет регламентирована деятельность двух контрольных служб?

О.Ю. Кашанова, Внешэкономбанк, заместитель начальника управления внешних проверок службы внутреннего контроля, аттестованный аудитор, к.э.н.

Открытие счета клиенту является одной из важнейших и своего рода уникальной услугой банка, и к различным аспектам внутреннего контроля открытия, закрытия и порядка ведения счетов клиентов, внутрибанковских и внебалансовых счетов сегодня проявляется особый интерес. Вопросы открытия и закрытия счетов четко регламентированы Банком России. Это упрощает деятельность контрольных служб кредитных организаций, но требует тщательного выявления несоответствий нормативным требованиям.

Комплаенс-контроль

Д.В. Чистов, КПМГ в России и СНГ, руководитель группы по системам комплаенс и ПОД/ФТ, директор

Какие подразделения банка должны входить в состав рабочей группы по FATCA? Удачным решением автор считает лидирующую роль службы комплаенса в подготовке банка к применению требований FATCA. Это созвучно и последним изменениям, внесенным в Положение Банка России об организации внутреннего контроля в кредитных организациях. Включение в службу комплаенс специалистов ПОД/ФТ и других областей, знающих банковские процессы и продукты, поможет банку провести работу по внедрению требований закона США на должном уровне и избежать претензий со стороны IRS или FATCA-аудитора.

В.В. Березанский, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, глава практики комплаенса
А.А. Килячков, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, менеджер

Казалось бы, чем может грозить антикоррупционный закон США компании, если она не эмитент и не резидент этой страны? Однако закон имеет экстерриториальный характер, и даже компании, которые не являются местными эмитентами или резидентами, могут попасть под юрисдикцию FCPA и понести ответственность, если они напрямую или через агента осуществляют любые действия на территории Соединенных Штатов, связанные с коррупционным платежом. Весьма поучительные примеры - известное дело Штрауба и не менее известное дело Штеффена.

М.А. Шалимова, Инвестиционный банк «Открытие Капитал», начальник управле- ния комплаенс, Международная ассоциация по комплаенсу (ICA), директор по развитию и сотрудничеству

Почему международный санкционный комплаенс становится существенным звеном в работе комплаенс-подразделения? Достаточно проанализировать режим международных санкций, установленных США и ЕС, чтобы ответить на этот вопрос. Требования режима носят экстратерриториальный характер, поэтому международный санкционный комплаенс необходим при взаимодействии с иностранными регуляторами, потенциальными международными инвесторами, контрагентами и другими международными стейкхолдерами, чтобы минимизировать репутационные и финансовые риски.

На сегодняшний день, риск является неотъемлемой характеристикой банковской деятельности. Он играет определяющую роль в формировании финансовых результатов деятельности банков, служит важной характеристикой качества активов и пассивов банков, и, таким образом, должен использоваться при сравнительном анализе их финансового состояния, положения на рынке банковских услуг.

Риски присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента -- это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, -- моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк -- абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах беспрецедентный. Сейчас внедрено в процесс и работает более 600 моделей различного уровня сложности. Очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все модели работают и показывают высокую предикативную способность.

В Сбербанке реализована "классическая" концепция трех линий защиты от рисков. Первая линия защиты -- это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты -- это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много -- ведь именно они видят "живого" клиента и "реальные" документы. Вторая линия защиты -- это риск-менеджмент. Сейчас в блоке "Риски" работает более 4 тыс. сотрудников -- это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты -- служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.

Основным банковским риском, особенно в российской практике, является кредитный риск. Управление этим риском является ключевой фактор, определяющий эффективность деятельности банка. Это риск невозврата или несвоевременного возврата кредита держателю актива, который в этом случае понесет финансовые потери. Это определяет актуальность темы дипломной работы.

На величину кредитного риска могут оказывать влияние как макро-, так и микроэкономические факторы. В условиях, когда экономика нестабильна, законодательство несовершенно, а во многих случаях и противоречиво, очень важно иметь эффективную систему управления кредитным риском. Поэтому банк должен разработать кредитную политику, документально оформленную схему организации и систему контроля над кредитной деятельностью.

Объект исследования - Новосибирское отделение 8047/0386 ОАО "Сбербанк России".

Целью данной работы является изучение теоретических основ и анализ кредитных рисков в организации на примере Внутреннего структурного подразделения ОАО "Сбербанк России" № 8047/0386 (далее ВСП)

Для достижения поставленной цели необходимо решить следующие задачи:

1. Рассмотреть теоретические основы кредитного риска;

2. Показать систему управления кредитным риском;

3. Проанализировать методику анализа кредитного риска;

4. Представить анализ управления кредитным риском на примере ВСП 8047/0386;

5. Разобрать основные недостатки в управлении кредитным риском;

6. Определить направления совершенствования управления кредитным риском.

В выпускной квалификационной работе применялись методы: метод системного анализа, метод включенного наблюдения, метод анализа документов.

Практическая значимость работы заключается в том, что полученные в процессе исследования результаты и основанные на них выводы могут быть непосредственно использованы в работе ВСП 8047/0386 ОАО "Сбербанк России", при успешной адаптации и выявлении реального экономического эффекта есть возможность распространения данной практики во всей филиальной сети ОАО "Сбербанк России".

МОДЕЛЬ «ТРЕХ ЛИНИЙ ЗАЩИТЫ»

Модель улучшает понимание управления рисками и контроля с помощью разделения ролей и обязанностей. Ее основополагающая предпосылка заключается в том, что для эффективного управления рисками и контроля необходим надзор и управление высшего руководства и совета директоров в рамках трех отдельных групп (или линий защиты) в пределах организации (см.рис.18). Обязанности каждой из групп (или "линий") следующие:

• 1. владение и управление рисками и контролем (первая линия - операционное руководство).
• 2. отслеживание рисков и работы системы контроля в целях поддержки менеджмента (функции по управлению рисками, осуществлению контроля и обеспечению нормативно-правового соответствия, определенные менеджментом).
• 3. обеспечение независимого подтверждения совету и высшему руководству эффективности управления рисками и системы контроля (внутренний аудит).

Рисунок 18. Взаимосвязь между целями, концепцией и моделью

Каждая из трех линий играет важную роль в определении концептуальных основ управления организацией. Если каждая из трех линий будет выполнять свою роль эффективно, то это повышает вероятность успешного достижения организацией своих целей.

Каждый человек в организации несет ответственность в рамках внутреннего контроля, но чтобы гарантировать надлежащее исполнение ключевых обязанностей, Модель вносит ясность в определение конкретных ролей и обязанностей. Если организация надлежащим образом построит структуру трех линий, и они будут эффективно работать, то это обеспечит отсутствие уязвимых мест и ненужного дублирования действий, а также гарантирует эффективное управления рисками и контроль. Совет директоров сможет получать объективную информацию о наиболее серьезных рисках организации - и о том, как менеджмент минимизирует такие риски.

Модель предусматривает гибкую структуру, которая может использоваться в дополнение к Концептуальным основам. Подразделения каждой линии защиты будут отличаться от организации к организации, а некоторые подразделения могут быть объединены или разделены по линиям защиты (см.рис.19). Например, в некоторых организациях подразделения по обеспечению нормативно-правового соответствия во второй линии могут быть вовлечены в разработку средств контроля для первой линии, в то время как другие составляющие второй линии сфокусированы, в основном, на отслеживании работы таких средств контроля.

Реализация принципов внутреннего контроля (от 1 до 17), изложенному в концептуальных основах COSO, для каждой линии защиты отражены в Приложении 5 настоящего издания.

Рисунок 19. Модель грех линий защиты 1 .

1 Три линии защиты в рамках эффективного правления рисками и контроля. Институт внутренних аудиторов, 2013.

Независимо от структуры трех линий защиты, созданной конкретной организацией, существует несколько основных принципов, используемых в Модели:

• 1. Первая линия защиты возлагается на собственников бизнес- процессов, деятельность которых создает и/или регулирует риски, которые могут способствовать либо препятствовать достижению целей организации. Она включает выявление правильных рисков. Первая линия владеет рисками, и отвечает за разработку и использование средств контроля организации для управления такими рисками.
• 2. Вторая линия предусмотрена для оказания поддержки руководству посредством консультирования, совершенствования процессов и отслеживания эффективности управления, наряду с первой линией, в целях обеспечения эффективного управления рисками и контроля. Подразделения второй линии защиты отделены от первой линии защиты, но находятся под контролем и управлением высшего руководства и обычно выполняют некоторые управленческие функции. Вторая линия неотъемлема для выполнения функции управления и/или надзора в отношении многих аспектов управления рисками.
• 3. Третья линия обеспечивает подтверждение высшему руководству и совету относительно того, насколько усилия первой и второй линии соответствуют ожиданиям совета директоров и высшего руководства. Третья линия защиты обычно не может выполнять управленческие функции в целях защиты ее объективности и организационной независимости. Кроме того, третья линия отчитывается непосредственно перед советом. Как таковая, третья линия не выполняет управленческих функций, что отделяет ее от второй линии защиты.

Цель любой организации - достижение ее целей. Реализация таких целей включает использование возможностей, стремление к росту, принятие рисков и управление ими - все для развития организации. Неспособность принимать соответствующие риски, надлежащим образом управлять ими и контролировать может препятствовать достижению целей организации. Между двумя направлениями деятельности «создать ценность предприятия» и «сохранить ценность предприятия» существует и всегда будет существовать противоречия. Концептуальные основы предусматривают создание структуры для оценки риска и контроля для обеспечения их надлежащего регулирования и управления. Модель содержит руководство по созданию организационной структуры, распределению ролей и обязанностей между сторонами, что повысит эффективность управления рисками и контроля.

5. Координация работы всех департаментов в управлении своими рисками.

7. Контроль соблюдения стандартов минимизации рисков.

Ключевые цели и задачи

Схема 1. Процедуры (компоненты), с помощью которых банк управляет своими операционными рисками

Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:

Случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;

Несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;

Сбои в функционировании систем и оборудования;

Неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).

Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.

Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей . Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).

Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):

3.3.1. По типу риска:

1. Риски техногенного, природного, социального характера.

2. Риски сбоев техники, программ, простоев.

3. Риски нарушений прав сотрудников, условий труда, конфликтов.

4. Риски ошибок в процессе обслуживания клиента или контрагента.

5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.

6. Риски мошенничества и злоупотреблений с участием сотрудников банка.

7. Риски мошенничества и злоупотреблений с участием третьих лиц.

Эти типы рисков детализированы в Приложении 1.

3.3.2. По значимости:

1. Экстремальный (символьное обозначение AAA, красная зона).

2. Критичный (AA, красная зона).

3. Высокий (A, красная зона).

4. Средний (BB, желтая зона).

5. Низкий (B, желтая зона).

6. Допустимый (C, зеленая зона).

Эта шкала риска детализирована в Приложениях 2.1 и 2.2.

3.3.3. По бизнес-линии:

1. Банкинг физических лиц.

2. Банкинг юридических лиц.

3. Платежи и расчеты лиц, не являющихся клиентами банка.

4. Агентские услуги.

5. Биржевая и внебиржевая торговля.

6. Финансирование корпораций.

7. Управление активами.

8. Брокерские услуги.

Эти бизнес-линии детализированы в Приложении 3.

Могут использоваться и иные классификации риска.

Для управления операционными рисками в банке существуют три линии защиты :

1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

Риск-координаторы (начальники департаментов и назначенные лица);

Эксперты по инцидентам;

Регистраторы (все сотрудники подразделения).

2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:

Комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);

3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

Субъекты, управляющие операционными рисками

Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

Риск-координаторы;

Эксперты по инцидентам;

Регистраторы.

Перечисленные субъекты, безусловно, имеются во всех департаментах банка , так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.

Если эти субъекты департаментов не оформлены должным образом , то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления и обучения.

4.1.1. Риск-координаторы.

4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников . Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора .

4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Система раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы всех департаментов в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.