Практические инструменты управления стратегическими рисками: взгляд внутреннего аудитора
Раздел: Управление рисками
Автор: Денис Малыхин, CIA (дипломированный внутренний аудитор), на момент написания статьи - главный бухгалтер ООО «ИНРЕСБАНК», руководитель Программы сертификации Института внутренних аудиторов
Дата: июнь 2014 года
В продолжение предыдущей статьи[1] о задачах и планировании работы внутреннего аудита на стратегическом уровне управления банком предлагается рассмотреть набор практических инструментов и типовых решений, используемых внутренним аудитом при проведении оценки систем управления рисками и внутреннего контроля на стратегическом уровне в банке.
Как предусматривается Практическим указанием 2120-3[2], «при разработке плана аудита внутреннему аудиту следует максимально использовать работу менеджмента и других контрольных функций для того, чтобы с их помощью выявить риски, которые представляют наиболее существенные угрозы и возможности для достижения стратегических целей». В том случае, если банк разработал детализированные процедуры управления стратегическими рисками, с использованием передовой практики ведущих банков и/или рекомендаций отраслевых ассоциаций, задача упрощается.
Однако часто случается, что имеющейся в банке документации недостаточно для достоверного и целостного описания аудируемого процесса, и в то же время отсутствуют отраслевые (т.е. выпущенные регулятором и/или отраслевыми ассоциациями) нормативно-методические документы по данному вопросу. В этом случае внутреннему аудитору рекомендуется инициировать «обсуждение с руководителями и менеджментом банка их обязанностей по изучению, управлению и мониторингу рисков и необходимость им самим удостовериться в том, что эти процессы, пусть и неформализованные, осуществляются в организации, обеспечивая необходимую степень информированности о ключевых рисках и о том, как осуществляются управление такими рисками и их мониторинг»[3]. На практике это, чаще всего, означает: «Пишете сами», поскольку внутренние аудиторы, выполняя роль консультантов, могут помочь менеджменту идентифицировать, оценивать и внедрять методики управления рисками и контрольных процедур в отношении этих рисков. Следует обратить внимание, что в данном случае роль внутреннего аудитора как «третьего эшелона обороны[4] требует осторожного и профессионального подхода, поскольку, как подчеркивается и в документах БКБН[5], для данной роли внутренний аудит должен сохранять независимость и иметь возможность непредвзято оценивать риски, влияющие на организацию.
Как следует спланировать работу по такому консультационному проекту, не имея к тому же строгих регламентов осуществления стратегического управления? Каждый банк имеет свои особенности при построении процессов, базируясь на своей культуре, стиле управления и целях деятельности. Тем не менее, для выполнения подобного консультационного проекта в области управления стратегическим рисков внутреннему аудитору возможно и необходимо обратить внимание на некоторые компоненты процесса управления стратегическим риском, общие для всех видов организации, в т.ч. целеполагание, принципы работы ответственного (-ых) за стратегический риск подразделения (-ий) (т.н. «офиса стратегического управления»), идентификация источников информации.
Целеполагание при оценке системы управления рисками
Напомним, прежде всего, основные категории целей[6], которые преследует менеджмент при построении систем управления рисками и внутреннего контроля на стратегическом уровне.
1. Повышение результативности и эффективности (efficiency and effectiveness) риск-менеджмента. Для стратегического уровня это означает, что внимание внутреннего аудита будет уделено тому, как менеджмент банка изучает макротенденции, реагирует на новые вызовы и изменяет планы, внедряет передовые технологии управления рисками, управления бизнесом в целом.
2. Обеспечение соблюдения внешних требований (и внутренних политик и процедур, если таковые имеются в банке) по организации процесса стратегического управления (комплаенс-цель).
3. Обеспечение достоверности отчетности. В контексте обсуждаемой темы это означает создание процедуры обеспечения достоверности и синхронизации отчетных данных в разных отчетах для внешних и внутренних пользователей, в которых содержится информация о достижении стратегических целей, методах управления стратегическими рисками. Информация в таких отчетах включается, как правило, на основании типовой банковской отчетности (предоставляемой регулятору), однако, группировки отчетных данных могут существенно отличаться от типовых форм.
При подготовке плана проекта внутреннему аудитору необходимо идентифицировать, какие конкретные цели из указанных трех категорий установлены в банке, и каким образом это сделано.
Перечисляя и интерпретируя эти цели, мы не должны забывать о том, что управление рисками и внутренний контроль – не самоцели для банка. Бизнес-цели всегда важнее (при условии соблюдения требований законодательства, разумеется), и неразумно нести такие затраты на контроль, которые не оправдываются коммерческими выгодами. Это одно из ключевых правил риск-ориентированного подхода к организации внутреннего контроля и внутреннего аудита. Соответственно, при идентификации целей на стратегическом уровне внутреннему аудитору следует дополнить этот перечень целями из бизнес-областей.
Удобным инструментом для систематизации целей стратегического управления могут служить документы Банка России по вопросам оценки финансового положения банка. Прежде всего речь идет об Указании Банка России от 30 апреля 2008 г. № 2005-У «Об оценке экономического положения банков». Комплексный подход к оценке финансовой устойчивости банка, предусмотренный в этих документах, реализует тезис, что устойчивость – категория стратегическая. Кроме того, логика построения документа и процесса внешней оценки финансовой устойчивости подсказывает и внутреннему аудитору логику оценки зрелости процессов стратегического управления банком. В рамках Указания № 2005-У предусмотрено четыре уровня зрелости по каждому из нескольких компонент системы управления банком и простой перечень вопросов по некоторым качественным критериям оценки[7].
Аудит деятельности офиса стратегического управления
Но кто отвечает за сам процесс стратегического управления, подвергаемый аудиту? Кто на первой и второй линиях обороны, кто формирует цели развития банка, в том числе и в части управления рисками и внутреннего контроля? Отсылка к «руководству», как правило, означает, что на систематической основе процесс стратегического управления не выстроен, стратегический офис в явном виде не сформирован.
Привычное правило: по каждому существенному процессу в банке должен быть внутренний документ. Но что делать, если такого документа нет, даже в черновике? Весьма часто можно встретиться с ситуацией, что документ то имеется, но очень формальный, оторванный от реальной жизни.
Интересный инструмент для оценки степени зрелости процесса стратегического управления (СУ) предлагает «Стандарт качества организации стратегического управления в кредитной организации», разработанный Ассоциацией российских банков. В рамках предложенного АРБ процесс СУ оценивает по пяти уровням зрелости в банке и восьми элементам процесса (см. приложение)[8]. При этом общая (интегральная) оценка степени зрелости процесса характеризуется следующим образом:
- Уровень 1 «Нулевой» – СУ отождествляется с бюджетированием. Цели банка не определены и произвольно декларируются;
- Уровень 2 «Начальный» – СУ отождествляется с годовым финансовым и бюджетным планированием, служит для поддержания банком финансовой устойчивости и достижения целевых показателей. Цели банка выражаются финансовыми показателями (активы, капитал, прибыль и т.п.), которые выступают в качестве ориентиров;
- Уровень 3 «Повторяемый» – СУ понимается как сочетание годового финансового и бюджетного планирования и бизнес-планов. Цели банка выражаются объемными финансовыми и производными от них относительными показателями (рентабельность активов и капитала, эффективность операций и т.п.). Достижение поставленных целей контролируется;
- Уровень 4 «Управляемый» – СУ представляет собой процесс методичной работы менеджмента по достижению целей банка. Достижение целей контролируется с помощью системы целевых показателей, имеющих преимущественно нефинансовый характер;
- Уровень 5 «Оптимизированный» – процесс СУ осознается и слаженно применяется всем коллективом банка с опорой на передовые управленческие и информационные технологии как основа устойчивого поступательного продвижения к поставленным целям, выраженным преимущественно нефинансовыми показателями.
Деятельность офиса стратегического управления затрагивает практически все области деятельности банка. Существует множество учебников по тематике организации стратегического планирования и стратегического маркетинга, с некоторыми из которых внутреннему аудитору следует предварительно ознакомиться перед началом работы по этому проекту. Одним из образцов детального и структурированного описания процессов стратегического управления, которые я рекомендую, является учебник Ламбена «Стратегический маркетинг. Европейская перспектива»[9].
Работа над ошибками
При анализе работы стратегического офиса внутреннему аудитору следует также обратить внимание на то, как банк умеет извлекать уроки из каждого кризиса. Работу над ошибками нужно уметь делать и самим внутренним аудиторам, в рамках Программы повышения качества, рекомендации по составлению которой представлены в Практическом указании 1300-1. Подобная же программа должна разрабатываться и офисом стратегического управления.
Источники информации
При анализе источников информации о том, как организованы процессы управления банком на стратегическом уровне, следует уделить внимание не только регламентам процессов, но и внешней и внутренней отчетности. Прежде всего, необходимо упомянуть доклады для рассмотрения Советом директоров. Кроме того, в некоторых из следующих типов отчетов содержится весьма подробное описание процессов стратегического управления:
- ежеквартальный отчет эмитента ценных бумаг,
- годовой отчет банка, подготавливаемых по требованиям Банка России,
- проспекты выпуска ценных бумаг.
Информацию, содержащуюся в проспекте и отчетах, можно условно разделить на несколько частей, из которых наиболее чувствительными для принятия инвесторами решения о возможных сделках, как нам представляется, являются части, описывающие структуру бизнеса банка и результаты финансовой деятельности банка-эмитента. Основу проспекта составляют, разумеется, проаудированные отчеты о финансовых результатах деятельности (по РСБУ и/или по МСФО) за последние несколько. В наиболее полном виде перечень возможных характеристик, на стратегическом уровне описывающих деятельность банка, в т.ч. изменения показателей деятельности банка-эмитента, представлены в приложении 2. Этот перечень может служить основой для доклада-презентации перед заинтересованными сторонами.
Следует отметить, что одной из задач внутреннего аудитора при анализе указанных отчетов является также оценка достоверности отчетов и степени зрелости процесса подготовки отчетности.
Изменение привычного для многих российских банков формата работы внутреннего аудита и спектра рассматриваемых им вопросов - актуальная необходимость. Поддержку им в этой работе могут и должны оказывать специализированные комитет по аудиту и комитет по стратегическому планированию совета директоров, в задачи которых входят организация управления стратегическим развитием, организация процессов управления рисками и внутреннего контроля в банке.
Приложение 1. Элементы процесса стратегического управления в банке
|
1. Общие требования к организации процесса СУ |
|
|
1.1. |
Участники процесса СУ |
|
1.2. |
Документы СУ |
|
1.3. |
Горизонт стратегического планирования |
|
1.4. |
Основные этапы процесса СУ |
|
1.5. |
Регламентная и методическая база СУ |
|
1.6. |
Организация контроля процесса СУ |
|
1.7. |
Оценка эффективности процессов СУ |
|
1.8. |
Стимулирование участников процесса СУ |
|
1.9. |
Связь процессов СУ и ОУ |
|
1.10 |
Информационное обеспечение разработки, мониторинга и контроля реализации стратегии |
|
1.11 |
Автоматизация процесса СУ |
|
2. Требования к этапу стратегического анализа |
|
|
2.1. |
Организация анализа |
|
2.1.1. |
Анализ условий внешней среды |
|
2.1.2. |
Анализ конкурентного окружения банка |
|
2.1.3. |
Анализ потенциала клиентской базы |
|
2.1.4. |
Анализ рынка банковских продуктов |
|
2.1.5. |
Внутренняя бизнес-диагностика |
|
2.2. |
Оценка (самооценка) стратегического риска |
|
3. Требования к этапу формирования стратегии банка |
|
|
3.1. |
Структура и состав стратегических документов |
|
3.2. |
Учет интересов основных заинтересованных лиц (ОЗЛ, «стейкхолдеры») в стратегии банка |
|
3.3. |
Формирование целевых показателей банка |
|
3.4. |
Разработка сценариев развития банка |
|
4. Требования к этапу планирования реализации стратегии банка |
|
|
4.1. |
Инструменты планирования реализации стратегии |
|
4.2. |
Планирование финансового обеспечения реализации стратегии банка |
|
4.3. |
Формирование стратегических проектов |
|
5. Требования к этапу мониторинга и контроля реализации стратегии банка |
|
|
5.1. |
Мониторинг и контроль реализации стратегии банка |
|
5.2. |
Мониторинг условий внешней и внутренней среды |
|
5.3. |
Мониторинг и контроль реализации стратегических проектов |
|
5.4. |
Контроль достижения целей и целевых показателей банка |
|
6. Требования к адаптивности стратегии банка |
|
|
6.1. |
Плановое изменение стратегии банка |
|
6.2. |
Наличие альтернативных сценариев |
|
6.3. |
Способность оперативно менять стратегию при существенном изменении внешней ситуации |
|
6.4. |
Регламентация изменения стратегии банка |
|
7. Требования к функциям участников процесса СУ (участники определены в п. 1.1 Стандарта) |
|
|
7.1. |
Совет Директоров (Наблюдательный совет) |
|
7.2. |
Правление банка |
|
7.3. |
Подразделение, ответственное за стратегическое планирование |
|
7.4. |
Подразделение финансово-бюджетного планирования |
|
7.5. |
Бизнес- и обеспечивающие подразделения банка |
|
8. Требования к раскрытию информации о стратегии банка |
|
|
8.1. |
Доступность информации о стратегии банка персоналу банка |
|
8.2. |
Доступность информации о стратегии банка собственникам банка |
|
8.3. |
Доступность информации о стратегии банка иным ОЗЛ |
Приложение 2. Перечень вопросов для раскрытия информации
Основа:
- данные о динамике финансовых показателей за 3 последних года по РСБУ и МСФО,
- показатели оценки финансового состояния по методикам ЦБ РФ, включая требования к участникам системы страхования вкладов,
- отдельные качественные характеристики и финансовые показатели, оцененные по рекомендациям Базельского Комитета по банковскому надзору, профессиональных ассоциаций
1. Общая характеристика рыночных условий совершения операций
Организация процесса кредитования
Казначейство, Ликвидность и Фондирование
Описание услуг, предоставляемых банком
Система управления рисками и внутреннего контроля. Внутренний аудит
Финансовые отчеты и бюджет
Информационные технологии
Интеллектуальная собственность
Личный состав руководящих органов
Отношения с сотрудниками
Налогообложение, Судебные споры
Операции со связанными сторонами
Отношения с внешними аудиторами
2. Существенные факторы, влияющие на результаты операций
Процентные ставки по кредитам и источники ресурсов, Кредитная политика и основные клиенты, Кредитные взаимоотношения с органами власти
3. Принципы подготовки финансовой отчетности
3.1. Учетная Политика: Резервы на возможные потери, Отложенные налоги, Операции со связанные сторонами, Учет доходов и расходов
3.2. Основные показатели: Усредненный баланс и процентные доходы/расходы, Изменения в процентных расходах и доходах
4. Финансовые результаты операций
4.1. Результат операций за последние 3 года: Процентные доходы/расходы, чистый процентный доход и резервы на возможные потери, чистая процентная маржа, непроцентный доход, административные и прочие операционные расходы, расходы (восстановление расходов) по налогам
4.2. Ликвидность и Источники капитала: Ликвидность, Поток денежной наличности, Капитальные затраты, Фондирование.
4.3. Общая характеристика операций и крупнейшие сделки в последний год: Взносы в уставный капитал, выпуск векселей и облигаций, Клиентские расчетные счета, Депозиты, Межбанковские займы.
4.4. Кредитный портфель и портфель ценных бумаг: резерв на возможные потери, основные сегменты, концентрация по крупнейшим заемщикам, отраслевая диверсификация.
4.5. Достаточность капитала
4.6. Внебалансовые статьи и деривативы: условные обязательства и другие операции, основные характеристики операций.
[1] Д.В. Малыхин. Тестирование стратегии банка: уроки для риск-менеджмента и внутреннего аудита // Управление в кредитной организации. 2013. № 4.
[2] Практическое указание 2120-3: Включение в область внутреннего аудита рисков, связанных с достижением стратегических целей // Международный Институт внутренних аудиторов, 2013 г.
[3] Практическое указание 2120-1: Оценка адекватности процессов управления рисками. // Международный Институт внутренних аудиторов, 2013 г.
[4] Войлуков А.А., Пашковский Д.А. Функция внутреннего аудита: новый взгляд на управление кредитной организацией // Управление в кредитной организации. 2012. N 2. С. 30 - 36.
[5] Рекомендации "Функция внутреннего аудита в банках" (июнь 2012 г., публикация Базельского комитета по банковскому надзору № 223).
[6] Основа этой классификации категорий целей – модели COSO, в переработанном виде изложенные и в документах БКБН, в Положении ЦБ РФ № 242-П.
[7] Подробный обзор методических подходов к верхнеуровневой оценке систем управления рисками представлен в статье Д.В. Малыхина «Обзор современных методических подходов к оценке системы управления рисками и внутреннего контроля в банке». // Управление финансовыми рисками. 2011 г., № 1.
[8] Полный текст Стандарта размещен на интернет-сайте АРБ.
[9] Ламбен Жан-Жак «Стратегический маркетинг. Европейская перспектива.» Пер. с французского.-СПб. : Наука, 1996.