Как сохранить стоимость бизнеса, "не отказываясь от творчества": организация системы управления комплаенс-рисками в рамках трех линий защиты

Размещено на http://www.allbest.ru/

Как сохранить стоимость бизнеса, «не отказываясь от творчества»: организация системы управления комплаенс-рисками в рамках трех линий защиты

В статье представлены определения и подходы в части построения в рамках концепции трех линий защиты (обороны) деятельности контрольных функций, уделяя особое внимание комплаенс-функции, службе внутреннего контроля и системе управления рисками. Автор, описывая роль контрольных служб, особое внимание обращает на то, что, участвуя в общем деле компании, каждая контрольная функция должна четко понимать свою роль, не мешая при этом «творческому» процессу, которым живет каждый бизнес.

Ключевые слова: комплаенс, эффективность систем управления рисками и внутреннего контроля, концепция COSO, риск-менеджмент, финансовый контроль, контроль качества.

Отказаться от риска -- значит отказаться от творчества.

А. С. Пушкин

Последнее десятилетие наблюдается ужесточение регуляторных требований на большинстве мировых финансовых рынков с особым фокусом на эффективность систем управления рисками и внутреннего контроля. Потенциальные негативные последствия от реализации рисков, такие как потеря деловой репутации, финансовые потери и более серьезные -- административная или уголовная ответственность ответственных лиц и приостановление деятельности, любой бизнес сочтет нежелательными, и руководители компаний, заинтересованные в устойчивом долгосрочном развитии, понимании реальной ситуации по рискам, которые могут этому препятствовать, будут готовы предпринимать адекватные и своевременные действия. Таким образом, именно сам менеджмент, заинтересованный в сохранении стоимости бизнеса, повышении его устойчивости и эффективности, должен выявлять и снижать последствия воздействия рисков на финансовые результаты. Эффективнее всего это делать посредством построения интегрированной системы управления комплаенс-рисками, базирующейся на «трех линиях защиты».

Система внутреннего контроля явление комплексное и масштабное. Рассмотрим все основные составляющие системы исходя из банковской практики, а также на примере концепции COSO.

Согласно Положению Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»:

Внутренний контроль -- деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) и направленная на достижение следующих целей:

• эффективность и результативность финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективность управления активами и пассивами, включая обеспечение сохранности активов, управление банковскими рисками;

• достоверность, полнота, объективность и своевременность составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационная безопасность (защищенности интересов (целей) кредитной организации в информационной сфере, представляющая собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений);

• соблюдение нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации;

• исключение вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывании) доходов, полученных преступным путем,

и финансирования терроризма, а также своевременное представление в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.

Базельский комитет по банковскому надзору в своем документе «Система внутреннего контроля в банках: основы организации» (Базельский комитет по банковскому надзору, Базель, сентябрь 1998. URL: http://www.bis.org/publ/bcbs40.pdf) определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе. Осуществление внутреннего контроля преследует следующие основные цели:

6) производственная и финансовая эффективность деятельности (производственно-финансовые цели);

7) надежность, полнота и своевременность финансовой и управленческой информации (информационные цели);

8) соблюдение действующих законодательных и нормативных актов (комплаенс-цели).

Итак, очевидно, что система внутреннего контроля преследует не только достижение комплаенс-целей, но и производственных, финансовых и информационных. Данный процесс должен включать все риски, принимаемые на себя банками, и действовать на всех уровнях внутри организации.

Наглядно система внутреннего контроля, включая и цели, и составляющие компоненты и уровни организации, также представлена в концепции COSO¹.

Под внутренним контролем концепция COSO подразумевает процесс, осуществляемый советом директоров, менеджментом и другими сотрудниками для обеспечения достаточной уверенности в отношении достижения целей компании, а именно:

— эффективности операционной деятельности;

— надежности отчетности;

— соблюдения законодательства.

Модель системы внутреннего контроля COSO представлена в форме многогранного куба, который в первоначальной версии концепции состоял из пяти взаимосвязанных компонентов (контрольной среды,

Разработана Комитетом спонсорских организаций -- COSO.

оценки рисков, контрольных процедур, информации и коммуникаций, мониторинга), а впоследствии с публикацией Концептуальных основ управления рисками организаций (ERM COSO) был преобразован в восемь компонентов c добавлением компонентов постановки целей, определения событий и реагирования на риск (рис. 1).

Рис. 1. Модель COSO ERM

внутренний контроль комплаенс риск

Суть модели продемонстрировать взаимосвязь между компонентами системы внутреннего контроля и целями. Система внутреннего контроля направлена на достижение целей, которые включают четыре категории:

е стратегические цели -- цели высокого уровня, соотнесенные с мис- сией/видением организации;

е операционные цели -- эффективное и результативное использование ресурсов;

е цели в области подготовки отчетности -- достоверность отчетности;

е цели в области соблюдения законодательства -- соблюдение применимых законодательных и нормативных актов.

С точки зрения комплаенс-функции основное направление комплаенс-контроля заключается в обеспечении соответствия именно последней цели вышеуказанной модели. В то время как цели в области подготовки отчетности обычно находятся в зоне ответственности финансового контроля, а стратегические и операционные цели разделяются всеми участниками организации.

Итак, с учетом многогранности задач, компонентов и уровней организации, как эффективно организовать систему внутреннего контроля, включая управление комплаенс-рисками? Как оптимально скоординировать работу подразделений, составляющих вторую линию защиты?

Организация системы внутреннего контроля и сфера ответственности комплаенс-службы

Лучшая практика предусматривает организационную модель внутреннего контроля, состоящую из трех линий защиты и соответственно трех уровней контроля. Есть контроль первого уровня -- это те процедуры, которые осуществляются на повседневной основе непосредственно владельцами бизнес-процессов. Есть функции, которые составляют контроль второго уровня, -- это могут быть подразделения риск-менеджмента, комплаенса, финансовый контроль, контроль качества и т.д. И есть третий уровень -- внутренний аудит, осуществляющий независимый контроль с прямым подчинением аудиторскому комитету.

Рис. 2. Модель «Трех линий защиты»

Менеджеры бизнес-процессов лучше всех понимают угрозы и риски в разрезе своих функций и составляют первую линию защиты в системе внутреннего контроля, непосредственно отвечая за управление своими рисками и достижение бизнес-показателей. Вторая линия защиты -- контрольные функции, подотчетные руководству (управление рисками, комплаенс и финансовый контроль, информационная безопасность и пр.). Данные функции обеспечивают наличие единых подходов и методик управления рисками и угрозами, включая такие инструменты, как:

— использование интегрированных подходов по оценке рисков;

— проведение сценарного анализа и стресс-тестирования;

— мониторинг ключевых индикаторов риска;

— разработка планов антикризисного управления и восстановления финансовой устойчивости.

Третья линия защиты -- независимая и подотчетная акционерам через комитет по аудиту и наблюдательный совет служба внутреннего аудита, глобальной целью которой является независимая, периодическая оценка эффективности систем внутреннего контроля и управления рисками (предыдущих двух линий защиты).

Все три линии защиты призваны обеспечить своевременное выявление и реагирование на риски. Руководство, которое это понимает, будет нормально реагировать на риски, выявленные как первой, так и второй и третьей линиями защиты. Тем не менее на практике каждая из перечисленных линий может болезненно воспринимать риски, выявленные другими линиями, как некую угрозу собственной эффективности. Таким образом, одна из основных задач руководства любого банка или иной организации -- это обеспечение конструктивного взаимодействия всех трех линий защиты и соответствующей корпоративной культуры, где каждый сотрудник осведомлен о рисках и понимает свою роль в процессе управления ими.

Сфера ответственности комплаенс-службы

В каждом банке может быть свой перечень контролируемых комплаенс-службой процессов. Хотя, как показывает российский и зарубежный опыт, есть базовый набор таких процессов:

• ПОД/ФТ;

• экономические санкции;

• операции с аффилированными лицами;

• конфликты интересов;

• манипулирование рынком и инсайдерская торговля;

• деятельность, связанная с регулированием ценных бумаг;

• антикоррупционный комплаенс;

• кодекс поведения и этики.

Помимо этого, в зону внимания могут входить такие процессы, как взаимодействие с надзорными и регулирующими органами, работа с жалобами клиентов, соблюдение стандартов ответственного банковского бизнеса и защиты прав клиентов/инвесторов, контроль над работой с аутсорсингом, поставщиками и посредниками, защита персональных данных, защита конкуренции. В дополнение комплаенс-служба должна активно участвовать в процессе внедрения новых продуктов банка и иных инициатив и обладать необходимыми полномочиями для комплексной оценки комплаенс-рисков в процессе принятия решений.

Данный перечень в целом соответствует главе 4.1 Положения 242-П, которая устанавливает требования к службе внутреннего контроля (комплаенс-службе) и описывает ее функции, основной из которых является комплексное управление регуляторным риском. Проводя параллель с моделью COSO, управление регуляторным риском, включая процессы выявления, анализа, оценки, контроля, мониторинга и отчетности, призвано обеспечить выполнение поставленных комплаенс-целей, а именно соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов банка. При этом важно отметить, что за комплаенс-цели, конечно, не отвечает одна лишь комплаенс-служба, даже с точки зрения второй линии защиты. Все руководители подразделений должны обеспечивать соответствие своей деятельности внутренним правилам и политикам, а также требованиям законодательства. Более того, по специализированным направлениям комплаенса, таким как налоговый комплаенс, трудовой комплаенс, интеллектуальная собственность, защита окружающей среды, имеются отдельные подразделения (налоговый отдел, отдел по работе с персоналом и т.д.) с соответствующей экспертизой для обеспечения исполнения требований. Но при этом получается, что руководитель службы внутреннего контроля (комплаенс-службы), даже если не несет прямую ответственность за такие отдельные комплаенс-направления, должен координировать работу общей системы комплаенс-контроля и управления комплаенс-рисками на уровне банка. Более того, основные комплаенс-риски должны быть включены в планы мониторинга и тестирования, осуществляемые службой внутреннего контроля. Таким образом, эксперты службы должны быть хорошо знакомы с общей банковской методологией и требованиями законодательства по всем основным направлениям, а не только ключевым областям комплаенса, таким как инсайд, антикоррупция и ПОД/ФТ.

Как было отмечено ранее, комплаенс-цели -- это лишь одна составляющая системы внутреннего контроля, которая преследует и иные цели (стратегические, операционные и в области подготовки отчетности). Участниками такой системы, как мы видим из модели трех линий защиты, являются все сотрудники компании и органы управления. Все подразделения второй линии защиты составляют костяк системы внутреннего контроля, так как определяют правила и процедуры, общую культуру поведения для первой линии защиты и являются основным механизмом контроля эффективности системы внутреннего контроля. Получается, что основными «коллегами по второй линии» для службы внутреннего контроля являются:

• финансовый контроль (главный бухгалтер);

• безопасность (включая информационную безопасность);

• риск-менеджмент;

• ПОД/ФТ (в случае наличия отдельного от комплаенса подразделения);

• иные контрольные функции.

Очень важно обратить внимание на последний пункт. В каждом банке может быть своя структура распределения полномочий и ответственности. Перечень участников системы внутреннего контроля и, в частности, второй линии защиты не является закрытым. Более того, некоторые подразделения могут одновременно быть первой линией защиты по одним процессам и второй линией защиты по другим. Практически в целях построения не формальной системы, а реальнодействующей рекомендуется детально обозначить ответственность всех подразделений с точки зрения их роли на второй линии. Например, юристы могут отвечать за мониторинг изменений нормативно-правовых актов, ИТ-департамент за обеспечение информационной безопасности, операционный департамент за внедрение плана по обеспечению непрерывности бизнеса, финансовый департамент осуществлять финансовый контроль за достоверностью отчетности и т.д. Чем больше игроков на второй линии, тем выше риски дублирования функционала, использования разных подходов по оценке рисков и информационного вакуума. Более того, комплаенс-цели не могут быть вырваны из контекста остальных целей и управления рисками банка в целом. Эффективное управление комплаенс-рисками, как и другими видами рисков, оптимизирует капитал банка и высвобождает созданные резервы на возможные потери, такие как штрафные санкции или внесудебное урегулирование убытков.

Поэтому очень важно грамотно наладить взаимодействие всех вовлеченных функций и организовать необходимый обмен информацией.

Итак, кто же все-таки должен отвечать за координацию работы эффективной системы внутреннего контроля? Очевидно, что это не внутренний аудит. Так же очевидно, что координатор должен быть частью второй линии защиты, так как именно здесь определяются подходы, методология и правила и осуществляется контроль исполнения процессов. И если в случае небольшой организации можно обойтись наличием формального координатора (руководителя службы внутреннего контроля), то чем шире перечень комплаенс-рисков и больше направлений деятельности в банке, тем насущнее проблема реальной координации работы. В больших банках иногда встречается наличие отдельного подразделения по внутреннему контролю, которое в основном сконцентрировано на оценке рисков и проведении тестирования (проверок) контрольных процедур, и отдельного подразделения комплаенса, отвечающего за работу по основным направлениям комплаенса, упомянутым ранее. Но даже при такой модели есть смысл иметь единого спонсора достаточно высокого уровня, с соответствующими полномочиями, который был бы не только главным рефери на второй линии защиты с точки зрения внутреннего контроля, но и мог бы выстроить работу всех подразделений слаженно и эффективно, минимизируя излишние издержки, «перетягивание одеяла», выбивание отдельных бюджетов и ресурсов под идентичные задачи -- все, что так часто встречается в любой организации.

Посмотрим более внимательно на роль руководителя службы внутреннего контроля, или, как мы его назвали выше, главного рефери на второй линии защиты. Что значит координировать работу по внутреннему контролю? Безусловно, руководитель службы внутреннего контроля не может являться экспертом во всех процессах и контролировать эффективность всех контрольных механизмов. Но он должен задать правила игры и четко распределить роли и обязанности каждого участника.

Рис. 3

Вначале необходимо внедрить политику или положение по внутреннему контролю, а также ряд других взаимосвязанных политик, например политику по управлению комплаенс-рисками, кодекс этики и т.д. Эти высокоуровневые документы должны четко распределять роли и обязанности не только между разными уровнями защиты, но и между подразделениями на второй линии. Далее, владельцы конкретных направлений второй линии создают и внедряют отдельные стандарты и процедуры, которые должны соблюдаться на первой линии. При этом необходимо внедрить и четко закрепить контрольные механизмы как на первой, так и на второй линии защиты. А аудит уже периодически независимо проверяет выстроенную систему или ее элементы.

Руководитель службы внутреннего контроля помимо координации функционирования системы в целом должен также анализировать ее эффективность и потребности в изменении.

Так, надо оценить как минимум две линии защиты с точки зрения достаточности ресурсов, включая человеческие (экспертизу и опыт) и ИТ-ресурсы, своевременности выявления рисков и их эскалирова- ния, эффективности обмена информацией и мониторинга. Понять, где существуют «слабые места» или избыточные контроли и как можно повысить устойчивость системы. И наконец, определить стратегию внутреннего контроля, каким образом можно измерить эффективность системы на основании конкретных показателей и метрик, не только исходя из необходимости минимизировать риски, но и операционной эффективности.

Литература

1. Colbert J. L., Bowen P. L. Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78 // Audit and Control Journal. -- 1996. -- № IV. -- 26-35.

2. IIA Position Paper: The Three Lines of Defense in Efective Risk Management and Control, January 2013. URL: http://www.theiia.org/chapters/pubdocs/278/ PP_Three_Lines_of_Defense.pdf

3. The COSO Financial Controls Framework 1992. Retrieved from the Committee of Sponsoring Organizations of the Treadway Commission's Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html

Размещено на Allbest.ru