Управление рисками в системе внутреннего контроля кредитной организации

Внутренний контроль кредитной организации – это комплекс контрольных процедур, методов и действий, организуемых руководством и осуществляемых в постоянном режиме на всех уровнях организации, которые направлены на оптимизацию рисков в деятельности и достижение качественных характеристик продуктов (услуг) кредитной организации в соответствии с установленными Банком России правилами и нормативами.

Система внутреннего контроля кредитной организации

Система внутреннего контроля представляет собой организованную совокупность элементов (субъектов внутреннего контроля, организационных мер, контрольных методов и процедур), взаимодействие которых призвано обеспечить наиболее эффективный порядок организации соответствующих процессов при соблюдении требований законодательства РФ и нормативных актов Банка России, а также внутренних регламентирующих документов кредитной организации, стандартов и правил.

За отсутствие правил внутреннего контроля после 2014 года Банк России планирует исключать кредитные организации из системы страхования вкладов [1].

Для обеспечения эффективности внутреннего контроля необходимо выявлять и оценивать риски, которые могут оказать отрицательное влияние на достижение целей деятельности кредитной организации, чтобы своевременно нейтрализовать либо минимизировать последствия их негативного воздействия.

Руководитель кредитной организации несет ответственность за:

- организацию работы по управлению рисками;

- полноту отражения всей имеющейся информации о рисках и рисковых событиях в деятельности организации по установленным формам;

- достоверность указанной информации;

- осуществление контроля за выполнением работ по управлению рисками.

Управление рисками осуществляется при последовательной реализации следующих этапов.

Идентификация рисков

Идентификация рисков, под которой понимается полное и однозначное определение рисков, способных оказать отрицательное влияние на достижение целей кредитной организации, и их последующее документирование. Риски идентифицируются по направлениям деятельности.

Сотрудники кредитной организации, наделенные руководителем полномочиями для реализации мероприятий по управлению рисками, анализируют бизнес-процессы по направлению деятельности с точки зрения возможностей достижения целей кредитной организации, а также в части, установленной нормативными актами Банка России, и определяют риски, присущие конкретному направлению деятельности.

В целях классификации рисков выделяют следующие основные виды банковских рисков: операционный риск (подвидами являются информационный и технологический риски), кредитный риск, рыночный риск (включая валютный), риск потери ликвидности, управленческий риск (в т.ч. риск системы внутреннего контроля), правовой риск, имущественный риск, хозяйственный риск, репутационный риск (риск потери деловой репутации) и др. [2, 3].

На основании проведенного сотрудниками анализа подготавливается Перечень основных рисков кредитной организации, который утверждается ее руководителем.

Сотрудники, осуществляющие мероприятия по управлению рисками, несут ответственность за:

- обеспечение своевременной идентификации рисков по курируемым направлениям деятельности организации и поддержание Перечня основных рисков в актуальном состоянии;

- ознакомление всех работников кредитной организации с перечнем рисков, присущих направлениям деятельности каждого подразделения организации.

Пересмотр и уточнение Перечня основных рисков инициируется руководителем структурного подразделения в случае, если произошли существенные изменения в организации бизнес-процессов по направлению деятельности подразделения, либо когда выявлен риск, возникший впервые.

Мониторинг риск-событий и устранение их последствий, сбор статистических данных

Риск реализуется в ходе бизнес-процесса, которому он присущ, при наступлении рискового события.

Сбор и анализ данных о реализации рисков в деятельности кредитных организаций является важным элементом для управления рисками, поскольку позволяет создать базу для последующей их оценки и выявления складывающихся негативных тенденций. Вся информация о наступивших рисковых событиях, а также записи, отражающие мероприятия по работе с ними, подлежат сбору, регистрации, анализу и поддержанию этих данных в актуальном состоянии.

Регистрация указанной информации в каждом структурном подразделении кредитной организации осуществляется в Журнале риск-событий в электронном виде:

- при осуществлении внутреннего контроля первого уровня – работниками структурного подразделения, выявившими рисковые события;

- при осуществлении внутреннего контроля второго уровня – сотрудниками, назначенными руководителем проверяемого подразделения ответственными за проведение мониторинга и контроля за возникающими в деятельности подразделения рисками.

В случае выявления отклонений в результате выполнения контрольной операции, осуществлявший контроль сотрудник выполняет следующие действия:

- регистрирует рисковое событие в Журнале риск-событий, указывает наименование проведенной контрольной операции, даты реализации рискового события и даты его выявления, дает описание рискового события;

- информирует руководителя структурного подразделения об имеющихся данных о зарегистрированном рисковом событии и его причинах;

- дает предложения о возможных действиях, необходимых для устранения или минимизации негативных последствий от реализации рискового события.

Руководитель структурного подразделения, в свою очередь, предпринимает следующие действия:

- согласует необходимые корректирующие мероприятия и организует их выполнение;

- дает поручение сотруднику, ответственному за идентификацию рисков, либо выполнявшему контрольную операцию работнику о заполнении Журнала риск-событий с указанием причины возникновения рискового события, Ф.И.О., должности сотрудника, выявившего рисковое событие, и предпринятых корректирующих действий;

- на основании полученной информации определяет вид реализовавшегося риска;

- отражает в Журнале риск-событий вид и размер фактического или потенциального ущерба от реализации рискового события;

- устанавливает, входит ли данный риск в Перечень основных рисков по направлению деятельности структурного подразделения.

Если риск выявлен впервые, то руководитель структурного подразделения предпринимает следующие действия:

- организует внесение дополнений в Перечень основных рисков;

- проводит анализ всех бизнес-процессов структурного подразделения на предмет подверженности вновь выявленному риску;

- по результатам анализа разрабатывает упреждающие мероприятия, направленные на возможную нейтрализацию возникшего нового риска для деятельности структурного подразделения;

- организует выполнение упреждающих мероприятий;

- вносит информацию о предпринятых действиях в Журнал риск-событий.

Если установлено, что реализовавшийся риск уже включен в Перечень основных рисков, руководитель структурного подразделения выполняет следующие действия:

- разрабатывает план дополнительных предупреждающих действий, направленных на минимизацию или оптимизацию риска в деятельности структурного подразделения;

- организует выполнение указанного плана предупреждающих действий;

- вносит информацию о проведенных мероприятиях в Журнал риск-событий.

В случае, когда невозможно предотвратить наступление рискового события, руководитель структурного подразделения должен организовать разработку механизма ликвидации или минимизации ущерба от реализации риска, определить порядок и сроки его запуска.

Руководитель структурного подразделения регулярно (раз в месяц) анализирует Журнал риск-событий по всем направлениям деятельности структурного подразделения, результаты анализа в виде отчета представляет руководителю кредитной организации. В отчете должны содержаться:

- заключение о результативности и эффективности предпринятых мероприятий, корректирующих и (или) предупреждающих риски;

- выводы о наличии либо отсутствии системности в выявленных отклонениях;

- оценка существенности ущерба в результате реализовавшихся рисковых событий;

- анализ причин и предпосылок реализовавшихся риск-событий;

- при необходимости, предложения о дополнительных предупреждающих мероприятиях.

В ходе внутреннего аудита деятельности структурных подразделений кредитной организации проводится мониторинг и оценка:

- организации работ по управлению рисками в структурном подразделении;

- полноты отражения в Журнале риск-событий информации о рисках и рисковых событиях в деятельности структурного подразделения;

- достоверности указанных данных;

- результативности контроля за выполнением работ по управлению рисками;

- эффективности управления рисками по направлениям деятельности.

В случае выявления расхождений между зарегистрированными данными и фактическим состоянием, руководитель аудита информирует об этом руководителя кредитной организации для принятия соответствующих управленческих решений.

Оценка рисков

Оценка рисков должна проводиться регулярно в установленный срок. Оценку каждого реализованного риска рекомендуется проводить экспертным методом с использованием матрицы оценки риска (см. рис.).

Рис. Матрица оценки риска

По 5-ти бальной шкале оцениваются параметры «Вероятность возникновения риска» и «Последствия возникновения риска».

Вероятность возникновения риска (частота возникновения) оценивается по результатам анализа накопленных статистических данных, а также с учетом ожидаемых негативных факторов (например, изменения в нормативных актах, необходимость модификации технологических процессов, изменение штатного состава структурного подразделения и др.).

Последствия возникновения риска (возможный ущерб от реализации риска) оцениваются по уровню понесенных или потенциальных потерь, либо по величине усилий, которые необходимо приложить для возвращения процесса в исходное состояние. Если величина ущерба в денежном выражении неизмерима, оценка потерь производится в единицах измерения качественных характеристик продуктов или услуг, которым нанесен ущерб (если они количественно измеримы).

Определение величины существенности риска (индекс риска) производится по формуле [6]:

Величина риска = Вероятность возникновения риска ´ Последствия возникновения риска.

Критический риск (значение индекса риска 11–25) – неприемлемый уровень риска, на котором необходимо в первую очередь сосредоточить внимание. Процессы, которым присущ такой уровень риска, подлежат немедленному корректирующему воздействию. Для этого разрабатываются и осуществляются дополнительные предупреждающие мероприятия по отношению к данным процессам.

Умеренный риск (индекс риска 5–10) – существенный уровень риска, требующий меры по его снижению.

Незначительный риск (индекс риска 1–4) – уровень риска, приемлемый для большинства кредитных организаций.

Вывод

Управление рисками, организованное в соответствии с рассмотренными принципами, позволит кредитной организации повысить эффективность системы внутреннего контроля, что в конечном итоге будет способствовать повышению устойчивости кредитной организации.