К сегодняшнему дню большинство мировых банков приняло модель трех линий защиты из Базельских рекомендаций, но многие сохраняют скептичный настрой относительно ее способности повлиять на корпоративную культуру. В самом деле, теоретически универсальная и довольно простая в плане внедрения модель для управления операционными рисками, как оказалось, требует практически постоянного контроля и коррекции для правильного функционирования, и она явно не ознаменовала собой конец банковским трудностям.
Модель трех линий защиты (или “3LOD” – от “3 Lines of Defense”) проводит четкое разделение между менеджментом, рисками и контролем и, собственно, внутренним аудитом. Она стала одной из ключевых рекомендованных принципов от Базельского комитета по банковскому надзору 2011 года по обеспечению эффективного управления операционными рисками. Основная идея разработчиков заключалась в том, чтобы облегчить ответственным за управление рисками их функциональную задачу, показав им более четко, как распределяются риски по различным бизнес-функциям.
Интегрированная среда: автоматизация управления рисками, внутреннего контроля и внутреннего аудита
Подход нашел немало сторонников, утверждающих, что он принес с собой нужные изменения в корпоративной культуре: все, кто так или иначе занимается создающей риск деятельностью, начинают воспринимать себя самих в роли риск-менеджеров. Они уверены, что правильное использование модели — при условии, конечно, что в организации прислушаются к сигналу тревоги в случае возникновения проблем с внутренним контролем — позволит предотвратить многие нарушения типа несанкционированной торговли. Менеджеры по продажам или трейдеры, например, теперь так легко уже не сбросят с себя функцию управления рисками, просто сославшись на то, что их основная задача не в этом, а в том, чтобы просто делать деньги.
1 линия
Но так ли все радужно на самом деле? В банках эта точка зрения оказалась не столь популярна, а их корпоративная культура, как выяснилось, столь значительных позитивных сдвигов пока не испытала. Оппоненты считают, что желаемые изменения еще только должны проявиться после реальных сдвигов в корпоративной культуре (хотя многие при этом соглашаются, что за прошедшее время образ мышления фронт-офиса действительно начал постепенно меняться).
Джонатан Педди (Jonathan Peddie) – партнер, специализирующийся в юридической компании Baker McKenzie на расследовании корпоративных мошенничеств, и он утверждает, что окончательный вывод еще только предстоит сделать. Безусловно, пик крупномасштабных корпоративных мошенничеств остался позади, но на каждый громкий случай в банковской индустрии сегодня по-прежнему приходятся тысячи небольших, ведь людям здесь платят за то, чтобы они пользовались любой коммерческой возможностью – и люди по-прежнему часто делают это с нарушениями, говорит он.
Одно из наиболее частых замечаний среди тех, кто попробовал все на практике, заключается в том, что в модели отсутствует четкое разделение между первой и второй линиями защиты. Теория гласит, что на первой линии находятся, условно говоря, те, кто принимает на себя риски, а на второй – те, кто несет ответственность за инструменты контроля риска и комплайенс (третья – это внутренний аудит, который присматривает за первыми двумя). В то же время в июне прошлого года глава департамента контроля рисков в HSBC Дженни Берди (Jenny Birdi) заявила, что они действительно радикально пересмотрели свой подход, но внедрили модель в промежуточном варианте, распределив обязанности между людьми исходя из функций, которые они выполняют, а не подразделений, где они работают. Тот же самый вариант использовали Deutsche Bank, Santander и US Bank – среди многих других банковских организаций.
Управление рисками. Основы риск-менеджмента.
Пример Deutsche Bank заслуживает отдельного упоминания. Глава управления нефинансовыми рисками Балбир Бакши (Balbir Bakhshi) отмечает, что сама теоретическая структура оригинальной модели предполагает просто огромную первую линию защиты для любого банка со значительной ориентацией на рыночную деятельность: там она охватывает каждого, начиная с любого трейдера и заканчивая региональным руководителем кредитного направления.
То есть это не просто люди в создающих прибыль департаментах, но также люди, работающие, например, в IT. Получается, большая часть персонала будет значиться именно на первой линии. И многие организации действительно затратили немало ресурсов на то, чтобы назначить риск-менеджеров в эту раздутую первую линию, только по-прежнему не считают, что с тех пор произошли сколь-нибудь значимые перемены в мышлении фронт-офисного персонала (а они необходимы). Тем, от кого зависит доход банка, платят за то, чтобы каждый день они принимали на себя риск, но вопрос остается открытым: достаточно ли у них навыков и внутреннего желания смотреть на вещи чуть более широко, чем сфера их специализации?
Некоторые, впрочем, отметили определенное изменение мышления. Неназванный старший управляющий операционными рисками в одном из банков Европы говорит: “В общем все сводится к тому, чтобы попросить людей изменить свое мышление и начать задавать вопросы типа “С какими рисками мы сталкиваемся?”, “Что может пойти не так?”, “Что мы можем сделать, чтобы добиться тех же результатов, но более безопасным образом?”, “Что я замечают в поведении других из того, что не имеет смысла?” Мы используем термин “управляющий рисками” в общем смысле, но задача в том, чтобы обеспечить изменения в мышлении”.
2 линия
Перейдем ко второй линии защиты. Задача работающих здесь людей не просто в том, чтобы измерять риск, но ставить под сомнение системы и процедуры, использующиеся на первой линии. Это значит, что здесь обязаны работать достаточно опытные банкиры, способные в случае необходимости поставить под сомнение работу старших трейдеров, а не просто те, кто день за днем накапливает данные – а именно так обычно и происходит в областях, где особенно велика потребность в точных данных. “Вторая линия зависит от того, чтобы поставить сюда людей, имеющих правильные наклонности и правильное понимание. Им требуется значительный опыт в данной области. На второй линии требуется больше количественных данных в расчете на число проверяющих и членов команд по комплайенсу, многие из которых могут быть слишком сосредоточены на процессе”, — говорит Ян Мейсон (Ian Mason), руководитель команды по регулированию финансовых услуг в юридический компании DLA Piper, а в прошлом – глава департамента контроля в британском Управлении по финансовым услугам.
На протяжении последних нескольких лет многие крупные американские банки вложили колоссальные ресурсы в тестирование модели, но по признанию многих, им по-прежнему не хватает персонала. Такой ответ может быть симптомом того, что они ожидают слишком многого от второй линии. Однако директор Larocourt Risk Management и экс-председатель Института операционных рисков Эдвард Сэнки (Edward Sankey) говорит, что “отправной точкой для второй линии является то, что она должна выполнять минимум, а после — чуть больше”. Он говорит, что в банках нагружают на вторую линию защиты слишком многое, а те, кто в ней находятся — напротив, хотят взять на себя слишком многое, чтобы доказать собственную полезность, поэтому, если не соблюдать осторожность, вторая линия может распространиться на всю организацию.
Про нее также стоит сказать, что работающим здесь людям необходимо не просто обладать авторитетом, чтобы бросать вызов главам бизнес-направлений, но также иметь связь со старшими управляющими на уровне совета директоров, чтобы понимать общую склонность к риску всей организации, и само собой — чтобы обеспечить понимание используемых основ контроля риска членами совета. Старшие управляющие рисками в частных беседах иногда сознаются, что на второй линии в отдельных областях на своих местах сидят люди, которые ранее риски на себя никогда не брали, в результате чего их часто обвиняют в том, что у них отсутствует общий язык с представителями первой линии защиты. В прошлом эти две группы людей вообще противопоставлялись друг другу, и будет просто наивным полагать, что такое представление автоматически исчезнет только благодаря внедрению модели 3LOD.
Очень многие, как это уже показывают примеры названных выше банков, считают, что распределение ролей нужно осуществлять на основе деятельности или выполняемой функции, а не на основе того, кто где сидит в корпоративной структуре. В этой связи возникает вопрос: на первой линии защиты люди сидят в зависимости от организационной структуры или же в зависимости от вида деятельности, которую они выполняют? Само собой разумеется, если речь идет о принятии на себя рисков, то оно должно в развитых организациях зависеть от деятельности, а не структуры.
Может быть, именно поэтому банк HSBC в попытке добавить ясности и прозрачности выделил пять основных ролей на линиях защиты 1 и 2 – и распределил роли соответствующим образом. Например, у него имеются так называемые “держатели” (“owners”) риска на первой линии – те, кто отвечает за ежедневное управление рисками, “держатели” инструментов контроля на первой линии — те, кто несет ответственность за управление ключевыми ролями на уровне всей организации, и управляющие инструментами контроля бизнес рисков, которые помогают с оценкой инструментов контроля рисками на первой линии. На второй линии защиты у них есть “наблюдатели” (“stewards”) за риском и “распорядители” (“officers”), отвечающие за разработку общей политики в отношении операционного риска. Такой более тонкий подход к внедрению модели 3LOD в банке HSBC подчеркивает одну из ключевых проблем изначальной концепции: она носит слишком предписательный характер и не ставит под сомнение универсальность своего применения – в том числе для крупнейших международных банков и развитым розничным бизнесом и рыночными операциями.
3 LOD пытались сделать обязательной для всех компаний вне зависимости от различий в размерах, видах бизнеса или географического местоположения. Но находится ли какая-то определенная функция на первой или же на второй линии, будет варьироваться от одного банка к другому, и от банка к более крупной или более мелкой компании. Компаниям необходимо дать возможность внедрять правила так, как они их видят”, — сказал неназванный управляющий операционными рисками одного британского банка.
Изменения “из-под палки”
По секрету в приватных беседах многие старшие риск-менеджеры признаются, что после кризиса все изменения в корпоративной культуре и образе мыслей, которые якобы или в самом деле имели место, произошли в результате ужесточения регулирующей политики со стороны надзорных органов, а отнюдь не благодаря инициативам, подобным модели трех линий защиты. В конце концов, и после кризиса крупнейшие мировые банки продолжали штрафовать на огромные суммы, общая величина которых оценивается примерно в 320 млрд. долларов. И это лишь вершина айсберга. По данным международной ассоциации специалистов в области управления операционными рисками ORX, в период с 2011 по 2016 год произошло 347 498 отдельных случаев потерь в 88 банках, общая сумма которых составила 200 млрд. евро (в нее вошли штрафы, но кроме них – также все потери, имеющие самые различные причины, от хищений на рабочем месте до кибератак).
Еще одно важное замечание со стороны непримиримых критиков модели 3LOD заключается в том, что хотя ключевые принципы ее в целом верны, до сих пор ей еще не удалось в действительности повысить персональную ответственность. Колин Лоренс (Colin Lawrence), директор специализирующейся на рисках консалтинговой компании (Lawrence https://gaap.ru/articles/3_linii_zashchity_Cizifov_trud/» target=»_blank»]gaap.ru[/mask_link]
Риском управлять должны все!
— Варвара, что сейчас происходит на рынке труда в области специалистов по управлению операционными рисками?
— Несмотря на то что во многих организациях из-за пандемии наем новых сотрудников был заморожен, в ряде компаний различных отраслей открыты вакансии специалистов в области риск-менеджмента.
Если бы мы в конце 2020 года зашли на сайт одной из популярных компаний интернет-рекрутмента и осуществили поиск таких вакансий, открытых нашлось бы более 9 тыс. за последний месяц, за последние три дня — более 3 тыс., за последние сутки — около 1 тыс. Числа кажутся внушительными. Но для сравнения позиций в области управления персоналом, открытых за последний месяц, — более 16 тыс., а области финансов — более 40 тыс.
На том же популярном ресурсе для поиска работы в конце 2020 года были размещены объявления чуть более 1,3 млн компаний. Если предположить, что все 9 тыс. вакансий по управлению рисками — от разных компаний, то всего лишь каждая 147-я компания нуждается в специалистах по управлению рисками, в то время как потребность в финансистах испытывает каждая 33-я.
Выводы о спросе на ту или иную профессию требуют глубокого анализа, однако доступные данные позволяют предположить, что не в каждой компании рисками управляют в масштабах всей организации. Если делать выводы об уровне зрелости процессов управления рисками, основываясь на более прикладном опыте — опыте консультанта рисковой практики вендора ПО, а в прошлом консультанта BIG4, то можно подтвердить сделанное заключение.
— Очевидно, это один из признаков незрелости риск-менеджмента?
— Безусловно! По итогам взаимодействия с компаниями — представителями производственной сферы, ретейла и даже финансовой отрасли с уверенностью могу сказать, что далеко не в каждой даже крупной компании управление рисками выделено в отдельную функцию. Во многих отсутствуют методология и регламенты, а также нет сотрудников, занимающихся исключительно риск-менеджментом.
В то же время сотрудники средних и крупных компаний в России воспринимают «риски» как отдельную профессиональную область, знают своих «коллег-рисковиков». Но далеко не каждый сможет объяснить, чем эти коллеги занимаются, поскольку достаточно часто процессы риск-менеджмента обособлены. В лучших практиках управления бизнесом давно признано, что риски есть у любой организации, и если, например, рыночные или комплаенс-риски требуют специальных знаний и присущи не всем видам деятельности, то операционные риски — это неопределенность, существующая на каждом этапе любого процесса. По идее, каждый участник процесса эти риски должен понимать, а каждая организации должна ими управлять.
На практике же для большинства сотрудников риски — это какие-то сакральные знания, ведомые только отделу по управлению рисками.
Это свидетельствует о том, что компании предпринимают попытки выделить риск-менеджмент в отдельный процесс, но в то же время говорит о не самой высокой эффективности этого элемента управления. Как эту эффективность измерить, кто должен управлять операционными рисками и почему о рисках нужно знать не только риск-менеджерам?
Мировые стандарты по управлению рисками пытаются помочь организациям найти ответы на эти вопросы.
— Расскажите, пожалуйста, немного об этих стандартах.
— Согласно стандарту управления рисками COSO ERM, один из основных компонентов управления — контрольная среда.
Комплексный подход в работе риск-менеджмента включает оценку уровня рисков с учетом имеющихся в процессах компании контролей. Соответственно риск-менеджеры тесно связаны с системой внутренних контролей. Кроме того, лучшие практики предполагают вовлечение всей организации в оценку рисков и контролей, а также в дальнейшую проработку и реализацию мероприятий по снижению уровня риска.
В различных отраслях требования регуляторов к процессам управления рисками различаются. Самое строгое регулирование — в финансовом секторе: банковская отрасль зачастую является не только объектом жесткого контроля со стороны регуляторов, но еще и лидером по зрелости процессов управления и IT. Многие банки уже выстроили процессы управления рисками, а вот вне финансового сектора риск-менеджмент развит в меньшей степени. При этом есть достаточно зрелые системы управления в компаниях других отраслей — производство, телекоммуникации, ретейл и пр.
С 1 октября 2020 года в силу вступило Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», которое обязывает банки выстроить полноценную систему управления операционным риском.
Одним из основных инструментов этой системы Банк России видит самооценку рисков: «Самооценка операционного риска проводится кредитной организацией в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации по всем направлениям деятельности, в том числе в разрезе составляющих их процессов».
То есть для банков уже на уровне регулятора закреплено требование вовлекать в управление рисками сотрудников из бизнес-подразделений. Очень вероятно, что многие организации из других отраслей тоже выберут такой подход для выстраивания процессов риск-менеджмента.
— В чем причина такого решения и есть ли подходы, которые помогают наладить совместную работу в области рисков?
— На мой взгляд, это обусловлено тем, что никто не знает процесс лучше, чем его участники. Соответственно и риски процесса лучше всего знают сотрудники, работающие с ними каждый день.
Распространенным путем для обеспечения эффективного взаимодействия между подразделениями является подход трех линий защиты, который предполагает вовлечение всей организации в управление рисками:
- первая линия — бизнес-подразделения, исполнители и владельцы процессов;
- вторая линия — служба по управлению рисками и служба по управлению внутренними контролями;
- третья линия — служба внутреннего аудита.
Остановимся на выстраивании взаимодействия между первой и второй линиями защиты. Полный жизненный цикл управления риском предполагает непрерывное функционирование этапов:
- сбор информации и идентификация рисков;
- оценка рисков;
- реагирование;
- мониторинг.
— Какая роль отводится каждой из линий защиты на этапах жизненного цикла процесса управления рисками и как достичь максимальной эффективности на каждом из них?
— Начну со сбора информации и идентификации рисков. Сотрудники бизнес-подразделений, например департамента розничного бизнеса в банке или отдела логистики в производстве, обладают более полной информацией о процессе выдачи кредита или транспортировки сырья соответственно. Они же — и владельцы риска.
Обладая экспертизой, менеджер по управлению рисками может идентифицировать потенциальную угрозу, классифицировать ее, но именно специалист, ежедневно принимающий заявки на получение кредита и регистрирующий договоры в системах банка, может наиболее точно описать условия потенциальной реализации риска, именно менеджер по логистике может точно обозначить источники и сферу влияния риска.
Определяя риск выдачи кредита по ставке ниже согласованной, риск-менеджер должен получить информацию от исполнителя процесса в виде регламента исполнения процесса, данные о распределении ролей между сотрудниками, задействованными в информационных системах. Оценивая риск срыва срока поставки сырья, риск-менеджер должен узнать, какие существуют в цепочке поставок рамки и ограничения, получить сведения о контрагентах, прецедентах реализации риска.
Система внутреннего контроля на этом этапе должна обладать информацией о наличии контролей в процессе, например контроля четырех глаз, который предотвращает самостоятельное исполнение операции и контроль за ней одним сотрудником. Такую информацию также должны предоставлять непосредственные участники бизнес-процесса.
В производственных процессах контрольные процедуры редко формализованы, но это не означает, что их не существует. Достоверная информация, подтверждающая регулярность работы этих процедур, находится у владельца бизнес-процесса. В таких ситуациях плотное взаимодействие первой и второй линий защиты служит залогом эффективного риск-менеджмента.
— Как происходит оценка рисков?
— Это задача второй линии защиты, а именно риск-менеджеров, которые должны определить, каким образом, с какой частотой будут оцениваться риски, то есть разработать методологию, которая будет обеспечивать адекватную, качественную и полную оценку.
Первая линия защиты на этапе оценки должна привлекаться в качестве экспертов, которые будут оценивать риск с учетом ежедневно накапливаемого опыта и информации о реализации риска в прошлых периодах. Служба внутреннего контроля на этом этапе включает в оценку информацию о контролях процесса, об их операционной эффективности и помогает учесть влияние контрольной среды на уровень риска.
Здесь стоит поговорить о мотивации первой линии защиты правильно и добросовестно оценивать риски. Часто вопрос эффективности самооценки рисков упирается в ряд проблем:
- непонимание необходимости оценки и эффекта от нее;
- страх ответственности;
- непонимание процесса оценки;
- нежелание тратить время на оценку;
- отсутствие простого и удобного инструмента проведения оценки.
Если говорить о непонимании необходимости оценки и эффекта от нее, то часто оценка риска воспринимается как нечто формальное и бесполезное. Однако организациям следует чаще просвещать бизнес-сотрудников в части основ риск-менеджмента, а именно на примере конкретных подразделений показывать последствия несвоевременной идентификации риска и его недобросовестной оценки. Это могут быть примеры потери компанией крупного заказчика в силу утраты доверия или потери денежных средств в силу мошеннических действий. При этом важно не усилить у сотрудников страх ответственности.
Страх препятствует объективной оценке. Часто среди сотрудников организации можно встретить мнение о том, что если в процессе и есть риски, то только потому, что сами сотрудники не справляются со своими задачами, плохо работают, и первое, что сделает руководство после того, как увидит выявленные риски, — начнет всех наказывать и увольнять. Несмотря на то что организации активно развивают риск-культуру, многие из них в рамках проектов внедрения комплексной системы по управлению рисками одним из первых озвучивают вопрос: «Как заставить сотрудников добросовестно оценивать риски и регистрировать рисковые события?». И здесь руководству важно уйти от концепции «заставить» и начать движение в сторону «помочь» и «стимулировать».
Бывает, что в компании риск-культура развита на высоком уровне, сотрудники понимают, зачем оцениваются риски, но существуют трудности в понимании того, как это можно делать. Организации, стремящиеся к зрелой культуре управления рисками, должны формализовать процедуру оценки риска, разработать шаблоны оценок, простые и понятные анкеты для самооценки.
Полноценное вовлечение сотрудников в управление рисками требует некоторого количества времени, что также препятствует построению эффективного процесса. Руководство не горит желанием отвлекать сотрудников от решения бизнес-задач, а рядовые служащие не хотят тратить время на то, что не входит в их прямые обязанности. Кроме того, часто оценка рисков — это редкое заполнение файлов, которые потом отправляются по почте и забываются до следующей оценки.
В такой ситуации необходимо показать каждому сотруднику, что оценка риска — это не самоцель, а мощный инструмент изменений в компании. Дайте сотрудникам единое пространство для оценки риска, коммуникации с риск-менеджерами и руководством, покажите влияние их оценки на общую оценку риска в организации, пусть они увидят отчеты по рискам, узнают, что оценка риска — это начало большего процесса управления, результатом которого являются оптимизация всех процессов, совершенствование работы каждого участка в организации. Качественно выстроенный процесс — возможность для сотрудника проще и быстрее выполнять собственные KPI и получать соответствующее вознаграждение.
И раз уж мы заговорили об оптимизации, подчеркну, что процессы управления рисками можно и нужно сделать более унифицированными, быстрыми, понятными и эффективными.
Сбор информации и идентификация риска будут осуществляться оперативнее, если дать сотрудникам бизнес-подразделений простой и понятный инструмент для быстрого ввода информации о реализовавшихся событиях или выявленных проблемах. При этом у сотрудников будет возможность сразу же вносить информацию о причинах проблемы и вариантах решения. Этот ресурс можно использовать как пространство для анализа процессов и предложений по их улучшению.
Доступ к этому ресурсу должны иметь как система внутреннего контроля, так и риск-менеджмент, так как при помощи такого ресурса гораздо проще и быстрее запрашивать информацию, актуализировать, разделять или агрегировать ее в зависимости от целей использования.
Потребность в изменении и улучшении процессов гораздо проще донести до руководства, имея в качестве дополнительных аргументов уровень риска процесса и уровень убытков, которые могут быть снижены при реализации этих изменений. Службе внутреннего контроля будет проще «заставить» бизнес-подразделения внедрить контроли, если бизнесу будет доступна и понятна информация о том, какой риск эти контроли призваны исключить и как внедрение контроля позволит изменить шаги процесса, перераспределить задачи, чтобы процесс функционировал максимально эффективно.
— Что происходит на этапе реагирования?
— После идентификации и оценки рисков, а также анализа причин и последствий необходимо принять решение, что с этими рисками делать: оставить все как есть, застраховать деятельность от потенциальных потерь, отказаться от процесса или осуществить действия по минимизации рисков.
Такое решение должно приниматься совместно первой и второй линиями защиты. Если в условиях обособленной работы риск-менеджеры создают план мероприятий, который может включать разработку внутренних контролей, и далее этот план транслируется на бизнес-подразделения, которые обязаны выполнить все предписанные действия, то при комплексном подходе источником предложений и планов мероприятий является первая линия защиты, то есть непосредственные участники бизнес-процесса.
Так, для снижения уровня риска могут быть предложены программа найма и обучения персонала, внедрение дополнительного контроля и пр. В комплексном управлении рисками первая линия защиты должна участвовать в детальной проработке плана, предлагать способы минимизации риска с учетом влияния этого плана не только на уровень риска, но и на эффективность бизнес-процесса.
— Кто и как осуществляет мониторинг?
— Контроль уровня рисков, отслеживание изменений в процессах и сбор статусов исполнения планов — основные инструменты, обеспечивающие руководство актуальной информацией для принятия решений.
На этом этапе инструменты, внедренные второй линией, позволяют бизнесу использовать для принятия решений наиболее актуальную информацию: ключевые индикаторы риска помогут контролировать уровень убытков, статус выполнения планов. Служба внутреннего контроля, со своей стороны, оценивает, как изменится контрольная среда при условии реализации всех планов по минимизации рисков: не появятся ли при этом дополнительные риски, не станут ли какие-то контроли избыточными и не потребуются ли дополнительные ресурсы для проверки процессов.
— Как оценить эффективность управления рисками?
— Отталкиваясь от определения риска в ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» («Риск — следствие влияния неопределенности на достижение поставленных целей»), можно сказать, что если компания в полной мере достигает своих целей, то рисками управляют эффективно. Однако это очень общий и сложно измеримый показатель. Тем не менее компании могут анализировать эффективность, оценивая уровень потерь от реализации риска, затраты на меры по митигации рисков в сопоставлении с эффектом от таких мер, количество повторяющихся рисковых событий, количество замечаний от внешних проверяющих и др.
Если оценивать, насколько продвинуто компания управляет рисками, то хорошим ориентиром будут уровень риск-культуры, количество сотрудников, пользующихся риск-инструментами, и инициативность бизнеса в части изменений таких инструментов. Например, для мониторинга уровня рисков используются ключевые индикаторы риска (КИР), дизайн которых разрабатывают риск менеджеры, однако при сборе информации по КИР может оказаться, что в таком разрезе показатель неинформативен и никак не отражает реальное положение дел.
— Так как же улучшить процессы, контролировать уровень риска и при этом не отвлекать подразделения от основных задач?
— Обеспечить сотрудникам единое пространство для работы, доступ к одним и тем же ресурсам, инструмент для быстрой коммуникации и оперативной трансляции необходимой информации. Такое пространство — автоматизированная информационная система (АИС) по управлению рисками.
АИС — это мощный инструмент выстраивания коммуникации между различными подразделениями, готовый унифицированный процесс с возможностью увидеть подсказки на каждом шаге, с опциями оперативной трансляции любых комментариев и задач, а также с механизмами отслеживания результатов действий каждого из сотрудников. Простой и современный интерфейс, понятная интерактивная отчетность, доступность анализа различных блоков информации (с соблюдением разграничения полномочий) — дополнительный способ мотивации сотрудников вовлекаться в процессы управления рисками.
Да, системы такого класса в явном виде не приносят компании дополнительной прибыли, однако унифицированные процессы, преднастроенные жизненные циклы согласования, единые справочники, инструменты оперативного мониторинга — это своевременно выявленные актуальные риски, правильно расставленные приоритеты по реагированию, полная информация для принятия решений и как следствие сокращение потерь и оптимизация бизнес-процессов. Важными условиями извлечения максимальной пользы от комплексного подхода к управлению рисками являются грамотно выстроенная ролевая модель, достаточная мотивация и высокий уровень риск-культуры.
В современных условиях высокой неопределенности и постоянных изменений знания о назначении и функционале инструментов риск-менеджмента, их комплексное использование каждым из сотрудников — одни из ключевых факторов достижения организацией ее целей. Поэтому управлять операционным риском должны все.
Источник: bosfera.ru
Модель трех линий защиты бизнеса
Еще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.
Как это работает?
Еще в 2015 году Комитет спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors) разработали модель Трех линий защиты (3LOD — 3 Lines of Defense). Цель этого документа заключается в методической поддержке компаний в развитии их управленческих структур благодаря распределению ролей и обязанностей по части внутреннего контроля.
Концепция трех линий защиты нацелена на проведение взаимосвязи между менеджментом, рисками и контролем. Это универсальная схема, которую возможно применить в компании любого масштаба, адаптировав ее под индивидуальные особенности.
Первая линия защиты
Это операционный бизнес, бизнес-функции. Тот, кто «на периферии» общается с возможными рисковыми внешними лицами (контрагентами, клиентами, партнерами), с различными государственными структурами, контрольно-надзорными органами. К первой линии относятся:
- отдел продаж,
- юристы,
- менеджеры,
- маркетологи,
- бухгалтеры и т.п.
Главная задача этих сотрудников — самоконтроль при выполнении своих действий. Они должны смотреть на свои обязанности чуть шире их специализации. При оценке эффективности внутреннего контроля важно отвечать не только на вопрос «что может случиться?», но и на «что сделано, чтобы не случилось?».
Вторая линия защиты
Здесь находится непосредственно комплаенс, функция мониторинга. Если первая линия рассчитана на сдерживание рисков, то вторая в текущей деятельности выступает больше как наблюдающий советник, представитель регулятора, доносящий его требования до бизнеса. Комплаенс-менеджер обязан подумать о тех рисках, которые пропустили операционные отделы.
Департамент комплаенса отвечает за:
- внедрение практики управления рисками;
- соблюдение сотрудниками государственного законодательства и локальных нормативных актов;
- распространение работы по контролю и управлению рисками на филиалы компании (при их наличии);
- аналитику угроз;
- расследование фактов недобросовестных действий;
- сбор информации по рискам и ее предоставление высшему менеджменту и т.д.
Между 1 и 2 линиями должен быть налажен свободный регулярные обмен данными. Так, например, если работники бухгалтерии не знают, как общаться с налоговой при возникновении внештатных ситуаций — они приходят к комплаенс-отделу и спрашивают, как нужно «безопасно» себя вести.
Третья линия защиты
Это последующий контроль в форме аудита, который периодически всех проверяет. Он включается в защиту по факту, когда неблагоприятные события уже произошли и риски наступили. То есть это реагирующая независимая функция.
У бизнеса «замыленное» мнение о том, что комплаенс и аудит — одно и то же. Несмотря на то, что их функции частично пересекаются, это не так. Комплаенс работает с текущей деятельностью, а аудит проверяет то, что уже случилось. Аудит выявляет нарушения и наказывает за них. Комплаенс тоже выявляет противоправные действия, но учит, как правильно надо делать впредь и ищет возможности, чтобы их предупредить.
При верном разграничении функций на всех трех линиях защиты, качественной разработке регламентов, выделении достаточных ресурсов и применении автоматизации эта модель помогает достигать бизнес-целей предприятия, предотвращая потенциальные и минимизируя наступившие риски.
Источник: legal-network.ru