В статье представлена попытка систематизировать инструменты управления стратегическими рисками банка с точки зрения внутреннего аудитора. Статья подготовлена на основе материалов ряда проектов, осуществленных при участии автора в ряде банков стран СНГ, где в качестве методической основы применялись международные профессиональные стандарты внутреннего аудита и рекомендации Базельского комитета по банковскому надзору.
Продолжая тему предыдущей статьи о задачах и планировании работы внутреннего аудита на стратегическом уровне управления банком, предлагаем рассмотреть набор инструментов и типовых решений, который можно использовать для оценки систем управления рисками и внутреннего контроля.
Как предусмотрено Практическими указаниями Института внутренних аудиторов, "при разработке плана аудита внутреннему аудиту следует максимально использовать работу менеджмента и других контрольных функций для того, чтобы с их помощью выявить риски, которые представляют наиболее существенные угрозы и возможности для достижения стратегических целей". Задача упрощается, если банк разработал детализированные процедуры управления стратегическими рисками с использованием передовой практики ведущих банков и (или) рекомендаций отраслевых ассоциаций.
Однако часто случается, что имеющейся в банке документации недостаточно для достоверного и целостного описания аудируемого процесса, к тому же нет отраслевых (т.е. выпущенных регулятором и (или) отраслевыми ассоциациями) нормативно-методических документов по данному вопросу. Тогда внутреннему аудитору рекомендуется инициировать "обсуждение с руководителями и менеджментом банка их обязанностей по изучению, управлению и мониторингу рисков и необходимость им самим удостовериться в том, что эти процессы, пусть и неформализованные, осуществляются в организации, обеспечивая необходимую степень информированности о ключевых рисках и о том, как осуществляются управление такими рисками и их мониторинг" . На практике это чаще всего означает "Пишите документы сами", так как внутренние аудиторы, выполняя роль консультантов, могут помочь менеджменту идентифицировать, оценить и внедрить методики управления рисками и контрольные процедуры в отношении этих рисков. Следует обратить внимание, что в данном случае роль внутреннего аудитора как "третьего эшелона обороны" требует осторожного и профессионального подхода, поскольку, как подчеркивается и в документах БКБН, для данной роли внутренний аудит должен сохранять независимость и иметь возможность непредвзято оценивать риски, влияющие на организацию.
Как следует спланировать работу по такому консультационному проекту, не имея к тому же строгих регламентов осуществления стратегического управления? Каждый банк по-своему выстраивает процессы, основываясь на своей культуре, стиле управления и целях деятельности. Тем не менее для выполнения подобного консультационного проекта в области управления стратегическим риском внутренний аудитор может и должен обратить внимание на некоторые общие компоненты процесса управления стратегическим риском, в том числе целеполагание, принципы работы ответственного (ответственных) за стратегический риск подразделения (подразделений) (т.н. офиса стратегического управления), идентификацию источников информации.
Целеполагание при оценке системы управления рисками
Напомним прежде всего основные категории целей, которые преследует менеджмент при построении систем управления рисками и внутреннего контроля на стратегическом уровне. Это:
1) повышение результативности и эффективности риск-менеджмента. На стратегическом уровне это означает, что внимание внутреннего аудита будет уделено тому, как менеджмент банка изучает макротенденции, реагирует на новые вызовы и изменяет планы, внедряет передовые технологии управления рисками и бизнеса в целом;
2) соблюдение внешних требований (и внутренних политик и процедур, если таковые имеются в банке) по организации процесса стратегического управления ;
3) обеспечение достоверности отчетности. В контексте обсуждаемой темы это означает создание процедуры обеспечения достоверности и синхронизации отчетных данных в отчетах для внешних и внутренних пользователей, в которых содержится информация о достижении стратегических целей, методах управления стратегическими рисками. В них, как правило, используется информация из типовой банковской отчетности (представляемой регулятору), но с перегруппировкой отчетных данных.
При подготовке плана проекта внутреннему аудитору необходимо идентифицировать цели из указанных трех категорий и понять, посредством чего банк собирается их достичь.
Перечисляя и интерпретируя эти цели, не нужно забывать о том, что управление рисками и внутренний контроль - не самоцель для банка. Бизнес-цели всегда важнее (при условии соблюдения требований законодательства, разумеется), и затраты на организацию контроля, которые не оправдываются коммерческими выгодами, нельзя считать разумными. Это и есть одно из ключевых правил риск-ориентированного подхода к организации внутреннего контроля и внутреннего аудита. Соответственно, при идентификации целей на стратегическом уровне внутреннему аудитору следует дополнить приведенный выше перечень целями из бизнес-областей.
Удобным инструментом для систематизации целей стратегического управления могут служить документы Банка России по вопросам оценки финансового положения кредитной организации, речь идет прежде всего об Указании Банка России от 30.04.2008 N 2005-У "Об оценке экономического положения банков" (далее - Указание N 2005-У). Комплексный подход к оценке финансовой устойчивости банка, предусмотренный в этих документах, реализует тезис, что устойчивость - категория стратегическая. А логика построения Указания N 2005-У и процесса внешней оценки финансовой устойчивости подсказывает внутреннему аудитору логику оценки зрелости процессов стратегического управления банком. В Указании N 2005-У предусмотрены четыре уровня зрелости по каждому из нескольких компонентов системы управления банком и простой перечень вопросов по некоторым качественным критериям оценки.
Аудит деятельности офиса стратегического управления
Но кто отвечает за сам процесс стратегического управления, который подлежит аудиту? Кто находится на первой и второй линиях обороны, кто формирует цели развития банка, в том числе и в части управления рисками и внутреннего контроля? Отсылка к "руководству", как правило, означает, что систематический процесс стратегического управления не выстроен, а стратегический офис не сформирован.
Стандартное правило: по каждому существенному процессу в банке должен быть выпущен внутренний документ. Но что делать, если такого документа нет даже в черновике? А часто документ имеется, но очень формальный, оторванный от реальной жизни.
Интересный инструмент для оценки степени зрелости процесса стратегического управления (СУ) предлагается в стандарте качества организации стратегического управления в кредитной организации, разработанном Ассоциацией российских банков. В нем процесс СУ оценивается по пяти уровням зрелости в банке и восьми элементам процесса. При этом общая (интегральная) оценка степени зрелости процесса характеризуется следующим образом:
- уровень 1 "Нулевой". Стратегическое управление отождествляется с бюджетированием. Цели банка не определены и произвольно декларируются;
- уровень 2 "Начальный". Стратегическое управление отождествляется с годовым финансовым и бюджетным планированием, служит для поддержания банком финансовой устойчивости и достижения целевых показателей. Цели банка выражаются финансовыми показателями (активами, капиталом, прибылью и т.п.), которые являются ориентирами;
- уровень 3 "Повторяемый". Стратегическое управление понимается как сочетание годового финансового и бюджетного планирования и бизнес-планов. Цели банка выражаются объемными финансовыми и производными от них относительными показателями (рентабельность активов и капитала, эффективностью операций и т.п.). Достижение поставленных целей контролируется;
- уровень 4 "Управляемый". Стратегическое управление представляет собой процесс методичной работы менеджмента по достижению целей банка. Достижение целей контролируется с помощью системы целевых показателей, имеющих преимущественно нефинансовый характер;
- уровень 5 "Оптимизированный". Процесс стратегического управления осознается и слаженно применяется всем коллективом банка с использованием передовых управленческих и информационных технологий, которые являются основой устойчивого поступательного продвижения к поставленным целям, выраженным преимущественно нефинансовыми показателями.
Деятельность офиса стратегического управления затрагивает практически все области деятельности банка. Существует множество учебников по тематике организации стратегического планирования и стратегического маркетинга, и с некоторыми из них внутреннему аудитору следует ознакомиться перед началом работы по этому проекту. Одним из образцов детального и структурированного описания процессов стратегического управления, по мнению автора, является учебник Ж.-Ж. Ламбена "Стратегический маркетинг. Европейская перспектива".
Мнение. В.И. Васильев, Сбербанк России, управление по работе с корпоративными клиентами и малым бизнесом, кредитный инспектор, к. э. н.
Важно, что стандарт качества организации стратегического управления содержит не только общие требования к организации процесса стратегического управления и критерии соответствия определенному уровню, но и требования к отдельным этапам: анализу, формированию стратегии банка, планированию ее реализации, мониторингу и контролю и т.д.
Применяя документ, банк может оценить соответствие стандарту текущего уровня стратегического управления и определить "дорожную карту" совершенствования работы в этом направлении. Вместе с тем нельзя уповать исключительно на соответствие формальным критериям "лучшей практики". Не меньшее значение в управлении стратегическими рисками имеет и субъективный фактор, а именно опыт и квалификация как высшего менеджмента банка, так и офиса стратегического управления. Важно и то, как наиболее оптимально организовать деятельность по совершенствованию стратегического управления - собственными силами банка или с привлечением независимых консультантов.
Работа над ошибками
При анализе работы стратегического офиса внутреннему аудитору следует обратить внимание на то, как банк умеет извлекать уроки из каждого кризиса. Внутренний аудитор должен уметь делать работу над ошибками и в рамках программы повышения качества, рекомендации по составлению которой представлены в Практических указаниях. Подобная программа должна разрабатываться и офисом стратегического управления.
Источники информации
При анализе источников информации о том, как организованы процессы управления банком на стратегическом уровне, следует уделить внимание не только регламентам процессов, но и внешней и внутренней отчетности. Прежде всего необходимо упомянуть доклады для рассмотрения советом директоров. Кроме того, подробное описание процессов стратегического управления содержится в некоторых отчетах, например:
- ежеквартальном отчете эмитента ценных бумаг;
- годовом отчете банка в соответствии с требованиями Банка России;
- проспектах выпуска ценных бумаг.
Информацию, содержащуюся в проспекте и отчетах, можно условно разделить на несколько частей, из которых наиболее чувствительными для принятия инвесторами решения о возможных сделках, как нам представляется, являются части, описывающие структуру бизнеса банка и результаты финансовой деятельности банка-эмитента. Основу проспекта составляют, разумеется, аудированные отчеты о финансовых результатах деятельности (согласно РПБУ и (или) МСФО) за последние несколько лет. В наиболее полном виде перечень возможных характеристик, на стратегическом уровне описывающих деятельность банка, в том числе изменения показателей деятельности банка-эмитента, представлены в приложении. Этот перечень может служить основой для доклада-презентации перед заинтересованными сторонами.
Задачей внутреннего аудитора при анализе указанных отчетов является также оценка их достоверности и степени зрелости процесса подготовки отчетности.
Выводы
Изменение привычного для многих российских банков формата работы внутреннего аудита и спектра рассматриваемых им вопросов является актуальной необходимостью. Поддержку в этой работе им могут и должны оказывать специализированные комитеты: комитет по аудиту и комитет по стратегическому планированию совета директоров, в задачу которых входит организация управления стратегическим развитием, процессов управления рисками и внутреннего контроля в банке.
Приложение
Перечень вопросов для раскрытия информации
Основа:
- данные о динамике финансовых показателей за три последних года согласно РПБУ и МСФО;
- показатели оценки финансового состояния по методикам Банка России, включая требования к участникам системы страхования вкладов;
- отдельные качественные характеристики и финансовые показатели, оцененные в соответствии с рекомендациями Базельского комитета по банковскому надзору, профессиональных ассоциаций.
1. Общая характеристика рыночных условий совершения операций:
- организация процесса кредитования;
- казначейство, ликвидность и фондирование;
- описание услуг, предоставляемых банком;
- система управления рисками и внутреннего контроля. Внутренний аудит;
- финансовые отчеты и бюджет;
- информационные технологии;
- интеллектуальная собственность;
- личный состав руководящих органов;
- отношения с сотрудниками;
- налогообложение, судебные споры;
- операции со связанными сторонами;
- отношения с внешними аудиторами.
2. Существенные факторы, влияющие на результаты операций:
- процентные ставки по кредитам и источники ресурсов;
- кредитная политика и основные клиенты;
- кредитные взаимоотношения с органами власти.
3. Принципы подготовки финансовой отчетности:
учетная политика:
- резервы на возможные потери;
- отложенные налоги;
- операции со связанными сторонами;
- учет доходов и расходов.
основные показатели:
- усредненный баланс и процентные доходы/расходы;
- изменения в процентных доходах и расходах.
4. Финансовые результаты операций:
1) результат операций за последние три года:
- процентные доходы/расходы;
- чистый процентный доход и резервы на возможные потери;
- чистая процентная маржа;
- непроцентный доход;
- административные и прочие операционные расходы;
- расходы (восстановление расходов) по налогам;
2) ликвидность и источники капитала:
- ликвидность;
- поток денежной наличности;
- капитальные затраты;
- фондирование;
3) общая характеристика операций и крупнейшие сделки в последний год:
- взносы в уставный капитал, выпуск векселей и облигаций;
- клиентские расчетные счета;
- депозиты;
- межбанковские займы;
4) кредитный портфель и портфель ценных бумаг:
- резерв на возможные потери;
- основные сегменты;
- концентрация по крупнейшим заемщикам;
- отраслевая диверсификация;
5) достаточность капитала;
6) внебалансовые статьи и деривативы:
- условные обязательства и другие операции;
- основные характеристики операций.