что такое риск координатор

4.1. Субъекты первой линии защиты

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

• эксперты по инцидентам;

Перечисленные субъекты, безусловно, имеются во всех департаментах банка[7], так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.

Если эти субъекты департаментов не оформлены должным образом[8], то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления[9] и обучения.

4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников[10]. Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора[11].

4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Система раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы всех департаментов в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.

7. Контроль соблюдения стандартов минимизации рисков.

Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).

4.1.1.3. Риск-координатор для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:

1. Принимать решения по обнаруженным операционным рискам зеленой зоны (уровня «допустимый»)[12] – о мерах по устранению риска (или) об оставлении риска без его устранения.

2. Проводить проверку на предмет анализа операционных рисков всех процессов департамента, его региональных сотрудников, ресурсов, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).

3. Подготавливать и изменять нормативные документы об управлении операционными рисками своего департамента.

4. Давать обязательные для исполнения указания курируемым экспертам по инцидентам, регистраторам о выполнении ими положений настоящих Рекомендаций, контролировать исполнение этих указаний.

5. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и эффективности управления ими (относительно рисков, прямо связанных с департаментом).

6. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.

7. Обращаться к риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне (для их решения на уровне комитета по рискам или Правления банка).

8. Назначать экспертов по инцидентам в департаменте и среди региональных сотрудников (в случае если департамент и региональные сотрудники работают с инцидентами), а также контролировать их работу.

4.1.1.4. О выполнении этих задач риск-координатор отчитывается перед риск-менеджером с периодичностью, установленной нормативными документами банка.

4.1.2. Эксперты по инцидентам.

4.1.2.1. Эксперты по инцидентам[13] – это сотрудники подразделений банка (находящиеся в Центральном офисе / Головном банке, региональных и иных подразделениях), которые в рамках своих полномочий занимаются устранением последствий произошедших инцидентов[14].

4.1.2.2. Обязанность эксперта по инцидентам – организовать и осуществлять эффективную работу с инцидентами (их идентификацию, минимизацию ущерба, расследование, отчет об исполнении мер и прочие действия, указанные в разделе 6.1 настоящих Рекомендаций) и оказание помощи риск-координатору и риск-менеджеру в организации риск-процедур перечисленных в главе 6.

4.1.2.3. Эксперт по инцидентам для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:

1. Принимать необходимые меры для локализации инцидентов в пределах своих полномочий.

2. Получать от любых подразделений банка и их сотрудников информацию об инцидентах, находящихся в его компетенции.

3. Направлять курирующему риск-координатору документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников нарушающих правила нормативных документов об управлении операционными рисками.

4. Обращаться к курирующему риск-координатору и риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.

5. Инициировать подготовку и изменение нормативных документов о процедурах работы с инцидентами.

4.1.2.4. О выполнении этих задач эксперт по инцидентам отчитывается перед курирующим риск-координатором и риск-менеджером с периодичностью, установленной нормативными документами банка.

4.1.3.1. Регистраторы[15] – это все сотрудники подразделений, так как в рамках выполнения своих функций они могут обнаруживать инциденты и проблемы, вызывающие операционный риск.

4.1.3.2. Обязанность регистратора при обнаружении инцидентов и проблем, вызывающих операционный риск:

1. Осуществлять действия по сохранению жизни и здоровья сотрудников и клиентов и предпринимать первичные действия по минимизации ущерба от инцидента (при наличии такой обязанности).

2. Незамедлительно сообщать эксперту по инцидентам и риск-координатору об инциденте или проблеме.

3. Осуществлять иные обязательные действия согласно правилам, установленным нормативными документами банка.

При необходимости регистратор обязан также оказывать помощь эксперту по инцидентам, риск-координатору и риск-менеджеру в организации риск-процедур, перечисленных в разделе 6.

4.1.3.3. Регистратор имеет право:

1. Обращаться к экспертам по инцидентам, риск-координаторам, риск-менеджерам для получения разъяснений об особенностях регистрации инцидентов и проблем, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне.

2. Ставить вопрос перед риск-координатором и риск-менеджером о необходимости изменения нормативных документов и процедур, имеющих проблемы[16].

4.1.3.4. Контроль за исполнением всеми сотрудниками подразделений обязанностей регистраторов осуществляет тот риск-координатор, чей департамент курирует этих сотрудников.

Данный текст является ознакомительным фрагментом.

Источник

Управление операционными рисками банка: практические рекомендации

Раскрываются цели и задачи банка в области управления операционными рисками, основные подходы, принципы и механизмы управления операционными рисками, а также линии защиты и соответствующие субъекты, управляющие рисками. Стандартное изложение информации об операционных рисках принесено здесь в жертву соображениям понятности, практичности и эффективности. Вся информация представлена в предельно сжатом и доступном виде, сопровождается наглядными схемами и приложениями. Может применяться и строго утилитарно – для формирования политики по операционным рискам. Рекомендации адресуются руководителям организаций, преследующим цель снижения убытков своих компаний, а также специалистам в области рисков, методологии, оптимизации деятельности. Они могут быть полезными и для учащихся, которые хотят узнать, что из себя представляет управление операционными рисками с практической точки зрения. Для всех заинтересованных читателей (и прежде всего незнакомых с операционными рисками) наибольший практический интерес вызовут стандарты минимизации рисков (раздел 6.7).

Оглавление

Приведённый ознакомительный фрагмент книги Управление операционными рисками банка: практические рекомендации предоставлен нашим книжным партнёром — компанией ЛитРес.

4. Субъекты управления операционными рисками

Для управления операционными рисками в банке существуют три линии защиты [4] :

1-я линия защиты — все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

• риск-координаторы (начальники департаментов и назначенные лица);

• эксперты по инцидентам;

• регистраторы (все сотрудники подразделения).

2-я линия защиты — субъекты, которые координируют в целом всю систему управления операционными рисками:

• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее — комитет по рискам);

• директор по рискам [5] ;

3-я линия защиты — подразделение внутреннего аудита (далее — подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные — аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

Субъекты, управляющие операционными рисками

Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач

4.1. Субъекты первой линии защиты

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

• эксперты по инцидентам;

4.1.1.2. Обязанность риск-координатора — организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Система раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы всех департаментов в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.

7. Контроль соблюдения стандартов минимизации рисков.

Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).

4.1.1.3. Риск-координатор для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:

1. Принимать решения по обнаруженным операционным рискам зеленой зоны (уровня «допустимый») [12] — о мерах по устранению риска (или) об оставлении риска без его устранения.

2. Проводить проверку на предмет анализа операционных рисков всех процессов департамента, его региональных сотрудников, ресурсов, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).

3. Подготавливать и изменять нормативные документы об управлении операционными рисками своего департамента.

4. Давать обязательные для исполнения указания курируемым экспертам по инцидентам, регистраторам о выполнении ими положений настоящих Рекомендаций, контролировать исполнение этих указаний.

5. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и эффективности управления ими (относительно рисков, прямо связанных с департаментом).

6. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.

7. Обращаться к риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне (для их решения на уровне комитета по рискам или Правления банка).

8. Назначать экспертов по инцидентам в департаменте и среди региональных сотрудников (в случае если департамент и региональные сотрудники работают с инцидентами), а также контролировать их работу.

4.1.1.4. О выполнении этих задач риск-координатор отчитывается перед риск-менеджером с периодичностью, установленной нормативными документами банка.

4.1.2. Эксперты по инцидентам.

4.1.2.2. Обязанность эксперта по инцидентам — организовать и осуществлять эффективную работу с инцидентами (их идентификацию, минимизацию ущерба, расследование, отчет об исполнении мер и прочие действия, указанные в разделе 6.1 настоящих Рекомендаций) и оказание помощи риск-координатору и риск-менеджеру в организации риск-процедур перечисленных в главе 6.

4.1.2.3. Эксперт по инцидентам для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:

1. Принимать необходимые меры для локализации инцидентов в пределах своих полномочий.

2. Получать от любых подразделений банка и их сотрудников информацию об инцидентах, находящихся в его компетенции.

3. Направлять курирующему риск-координатору документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников нарушающих правила нормативных документов об управлении операционными рисками.

4. Обращаться к курирующему риск-координатору и риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.

5. Инициировать подготовку и изменение нормативных документов о процедурах работы с инцидентами.

4.1.2.4. О выполнении этих задач эксперт по инцидентам отчитывается перед курирующим риск-координатором и риск-менеджером с периодичностью, установленной нормативными документами банка.

4.1.3.1. Регистраторы [15] — это все сотрудники подразделений, так как в рамках выполнения своих функций они могут обнаруживать инциденты и проблемы, вызывающие операционный риск.

4.1.3.2. Обязанность регистратора при обнаружении инцидентов и проблем, вызывающих операционный риск:

1. Осуществлять действия по сохранению жизни и здоровья сотрудников и клиентов и предпринимать первичные действия по минимизации ущерба от инцидента (при наличии такой обязанности).

2. Незамедлительно сообщать эксперту по инцидентам и риск-координатору об инциденте или проблеме.

3. Осуществлять иные обязательные действия согласно правилам, установленным нормативными документами банка.

При необходимости регистратор обязан также оказывать помощь эксперту по инцидентам, риск-координатору и риск-менеджеру в организации риск-процедур, перечисленных в разделе 6.

4.1.3.3. Регистратор имеет право:

1. Обращаться к экспертам по инцидентам, риск-координаторам, риск-менеджерам для получения разъяснений об особенностях регистрации инцидентов и проблем, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне.

4.1.3.4. Контроль за исполнением всеми сотрудниками подразделений обязанностей регистраторов осуществляет тот риск-координатор, чей департамент курирует этих сотрудников.

4.2. Субъекты второй линии защиты

Вторая «линия защиты» включает в себя процесс координации системы управления операционными рисками в целом, проверку данных и отчетов об операционных рисках, организацию деятельности комитетов по риску, представление отчетности руководству банка [17] (централизованный подход).

В рамках второй линии защиты операционными рисками управляют:

• директор по рискам [18] ;

4.2.1. Комитет по рискам (или иной комитет, наделенный соответствующими полномочиями — далее — комитет по рискам).

4.2.1.1. Комитет по рискам (в рамках управления операционными рисками) — это высший коллегиальный орган, который принимает решения о действиях банка в отношении тех или иных рисков (в т. ч. операционных). Председателем комитета по рискам является директор по рискам с правом вето на любые решения комитета.

4.2.1.2. Права комитета по рискам (в рамках управления операционными рисками) [20] :

1. Принимает решения по обнаруженным операционным рискам красной зоны (уровня «высокий» и выше), а также по рискам желтой и зеленой зон в случаях, когда они были эскалированы до уровня комитета.

Источник

Методы управления рисками и 3 линии защиты: почему риск-координатор необходим каждой компании

Методы управления рисками и 3 линии защиты: почему риск-координатор необходим каждой компании

Как бы много ни было сказано и написано о стратегии и отдельно – о методах управления рисками – до сих пор многие успешные управленцы неохотно воспринимают идею тратить время и деньги здесь и сейчас на то, что может стать существенной проблемой в будущем. Оно же неопределенно. Между тем, именно наличие риск-департаментов в банках, которые выжили, а не потерпели крах в финансовом кризисе в итоге стало решающим – так показывает опыт. В нашем обзоре мы изучили основные методы управления рисками, разобрав их преимущества по отдельности, рассмотрели значение трех линий защиты в методике риск-менеджмента с использованием карты гарантий, а также оценили роль риск-координаторов в системе управления рисками и значение уровня их профессионализма для глобальной стратегии компании в целом.

Основные методы управления рисками

Идет ли речь о транснациональной корпорации или небольшом стартапе, избежать рисков со 100%-ной гарантией не получится ни в одном из случаев. Это часть любого нового или уже представленного на рынке дела.

Лучший способ снизить последствия негативного воздействия – взять во внимание методы риск-менеджмента, которые впишутся в структуру внутреннего контроля той или иной компании.

В целом, управление рисками – полезный процесс, при котором риски идентифицируются и контролируются проактивно. Это позволяет компаниям повышать свои шансы на успех за счет минимизации угроз и максимального использования возможностей.

Методы управления рисками на предприятии помогают:

На сегодня риск-инструментарий представлен достаточно широко. Существуют методы управления экологическими рисками, методы управления финансовыми рисками, методы управления предпринимательскими рисками, методы управления кредитными рисками, методы управления валютными рисками и т.д. Причем система управления рисками не запрещает использовать имеющиеся инструменты одновременно и взаимовыгодно.

При выстраивании данной интегрированной системы и выборе нужных инструментов помимо сферы деятельности компании значительную роль играют:

Одним из самых востребованных методов управления рисками на сегодня принято считать страхование, подразумевающее переадресацию ответственности за возмещение возможного ущерба стороннему предприятию. Однако покупка страховки покрывает лишь часть проблемы управления рисками.

Предотвращение, снижение, передачу и удержание также относят к наиболее распространенным методам управления рисками:

Три линии защиты в методике риск-менеджмента

С развитием системы управления рисками и востребованностью методов их идентификации значительно изменился и штат команд. Сегодня руководители заинтересованы во внутренних аудиторах, специалистах по управлению рисками, комплаенс-менеджерах, сотрудниках внутреннего контроля, инспекторах качества и других экспертах по рискам и контролю.

Каждая из данных специальностей имеет свой уникальный набор навыков, полезных компании, однако и здесь возникают трудности. Зачастую деятельность, связанная с управлением рисками и контролем, подразделена на отделы и департаменты, между которыми возникают как коммуникационные, так и организационные барьеры. Необходима эффективная координация их действий и обязанностей – в целях недопущения продолжающихся споров о том, кто за что отвечает или неправильной трактовки представленной информации.

В начале 2000-х годов международный Институт внутренних аудиторов (IIA) представил так называемую модель Трех линий защиты. Она призвана координировать процессы управления рисками и внутреннего контроля через строгое определение и делегирование необходимого функционала и обязанностей, достигая таким образом поставленных целей.

По словам главного исполнительного директора IIA Р. Чемберса, данная модель рассматривается как основа для надежного управления рисками. Она дает полное представление о том, кто несет ответственность за обеспечение гарантий в структуре организации и на каком уровне.

Модель позволяет по-новому взглянуть на текущие процессы, способствуя улучшению этапов по управлению рисками – в любой организации, независимо от того, представлена в ней формально структура управления рисками или нет. Если говорить о небольших компаниях, как правило, они адаптируют модель под себя, ограничиваясь 1 и 2 линиями.

Модель различает три линии или группы, вовлеченные в эффективное управление рисками:

Рассмотрим каждую подробнее.

1 ЛИНИЯ: ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ

В качестве 1-ой линии защиты выступают операционные менеджеры, владеющие и управляющие рисками. Они же несут ответственность за выявление, уменьшение уровня рисков, анализ и подготовку управленческой отчетности по основным рискам.

Также они ответственны за выполнение корректирующих действий и контроль так называемых недостатков при выполнении процедур контроля рисков на ежедневной основе.

Руководители подразделений несут ответственность за организацию «работающей» системы внутреннего контроля, за реализацию контрольных процедур в вверенных им бизнес-процессах, за создание и внедрение регламентирующих нормативных документов. Представители 1-ой линии на регулярной основе задаются вопросами – «Что может пойти не так?» и «Что я сделал, чтобы этого не произошло?».

2 ЛИНИЯ: УПРАВЛЕНИЕ РИСКАМИ

В идеальном мире, возможно, потребуется только одна линия защиты для обеспечения эффективного управления рисками. Однако в реальных условиях такой сценарий неприемлем.

Речь идет о департаментах, ответственных за управление рисками. По их части – методологический подход с определением стандартов и координацией действий в области управления рисками. Сюда нужно отнести установленные процессы, технологии и культуру.

Подразделения из этой линии не отвечают за своевременное выявление и оценку рисков, поскольку это – задача первой линии. Они призваны обеспечить защиту той самой 1-ой линии – при необходимости обучить сотрудников или предоставить рекомендации по разработке и внедрению контрольных процедур, предотвращению мошенничества и т.д.

К ключевым функциям 2-ой линии относят:

В состав 2-ой линии в крупных компаниях входят департаменты, ответственные за управление рисками, СВК, безопасность, комплаенс и др., обеспечивающие безостановочный мониторинг процесса создания и действия контрольных процедур.

3 ЛИНИЯ: ВНУТРЕННИЙ АУДИТ

Проводить объективную оценку и согласование уровня рисков, исходя из стратегических задач компании, а также контроль эффективности всей системы управления рисками Совету директору помогают внутренние аудиторы.

Они предоставляют высшему руководству заключения, основанные на независимой оценке, определяют нарушения, разрабатывают рекомендации по доработке и улучшению структуры управления рисками, контролируют функции 1-ой и 2-ой линий защиты и т.д.

Совет директоров, в свою очередь, принимает заключения аудиторов как безоговорочное руководство к принятию соответствующих мер.

Организация профессионального внутреннего аудита в идеальном видении должна быть требованием для всех предприятий. Это важно не только для больших и средних компаний, но и для маленьких, поскольку они так же могут сталкиваться со сложностями при создании организационной структуры для обеспечения эффективного управления рисками.

Лучшее решение для компании – создать и поддерживать независимую и профессиональную службу внутреннего аудита (в том числе из имеющегося кадрового состава специалистов с необходимым опытом), которая:

Карта гарантий при управлении рисками

Поскольку каждая компания уникальна, а конкретные ситуации различаются, нет единого способа в разработке линий защиты. При координации этапов управления рисками важно правильно разграничить обязанности участников, обеспечив тем самым плодотворное сотрудничество и обмен необходимыми данными между ними, в том числе сбор необходимой отчетности.

Часто при регламентировании зон ответственности прибегают к Карте гарантий. Что это такое?

Это документ, координирующий деятельность подразделений с контрольными функциями на разных уровнях, в который входят следующие данные:

Создание Карты гарантий допускается при использование внутренних документов – классификатор рисков и процессов, карта рисков и др.

Роль риск-координатора в системе управления рисками

Рассматривая основные методы управления рисками, важно особое внимание уделить работе риск-координаторов и их значительной роли в системе управления в целом.

Координаторы по управлению рисками имеют ряд задач, но, в первую очередь, несут ответственность за минимизацию рисков и потерь организации. Это касается как движения денежных средств, так и имущества или персонала.

Риск-координаторы предпринимают все необходимые шаги для снижения и смягчения рисков для компании, а их повседневные обязанности включают мониторинг тех или иных условий работы, чтение и интерпретацию кодексов, юридических требований для компании, опрос клиентов, ведение переговоров с сотрудниками относительно условий труда и пр.

Координаторы также ответственны за то, чтобы внутри компании отсутствовали факты мошенничества, если же они имеют место быть – от них требуется надлежащее принятие юридических мер для предотвращения последствий.

Для должности риск-менеджеров, как правило, принципиальна степень бакалавра в финансовой области, а также опыт работы в качестве специалиста по убыткам.

Если выделять задачи координатора управления рисками тезисно, они звучат так:

Так или иначе, в далеко нестабильных условиях все больше компаний желают минимизировать свои риски, оградившись от неприятных последствий. Для этого они используют разные методики, рекомендации, программы и платформы. Необходимость выбора обусловлена различными причинами возможных рисков – это могут быть как внешние факторы (форс-мажоры, смена власти, пандемии и пр.), так и внутренние (сбои в поставке товаров, непрофессиональный анализ, некачественное прогнозирование рисков и т.д.).

Качественное моделирование системы внутреннего контроля, профессиональный подход к разработке методологии и регламентов, их внедрение на основе актуальных автоматизированных процедур – это то, что сегодня действительно может помочь организации в достижении поставленных бизнес-целей, с учетом возможных / реальных трудностей и угроз.

При этом риск-менеджмент многовариантен – он не запрещает сочетать в себе стандартные методики одновременно с непривычными, подходящими под сугубо данное рисковое событие.

Как бы много ни было сказано и написано о стратегии и отдельно – о методах управления рисками – до сих пор многие успешные управленцы неохотно воспринимают идею тратить время и деньги здесь и сейчас на то, что может стать существенной проблемой в будущем. Оно же неопределенно. Между тем, именно наличие риск-департаментов в банках, которые выжили, а не потерпели крах в финансовом кризисе в итоге стало решающим – так показывает опыт. В нашем обзоре мы изучили основные методы управления рисками, разобрав их преимущества по отдельности, рассмотрели значение трех линий защиты в методике риск-менеджмента с использованием карты гарантий, а также оценили роль риск-координаторов в системе управления рисками и значение уровня их профессионализма для глобальной стратегии компании в целом.

Основные методы управления рисками

Идет ли речь о транснациональной корпорации или небольшом стартапе, избежать рисков со 100%-ной гарантией не получится ни в одном из случаев. Это часть любого нового или уже представленного на рынке дела.

Лучший способ снизить последствия негативного воздействия – взять во внимание методы риск-менеджмента, которые впишутся в структуру внутреннего контроля той или иной компании.

В целом, управление рисками – полезный процесс, при котором риски идентифицируются и контролируются проактивно. Это позволяет компаниям повышать свои шансы на успех за счет минимизации угроз и максимального использования возможностей.

Методы управления рисками на предприятии помогают:

На сегодня риск-инструментарий представлен достаточно широко. Существуют методы управления экологическими рисками, методы управления финансовыми рисками, методы управления предпринимательскими рисками, методы управления кредитными рисками, методы управления валютными рисками и т.д. Причем система управления рисками не запрещает использовать имеющиеся инструменты одновременно и взаимовыгодно.

При выстраивании данной интегрированной системы и выборе нужных инструментов помимо сферы деятельности компании значительную роль играют:

Одним из самых востребованных методов управления рисками на сегодня принято считать страхование, подразумевающее переадресацию ответственности за возмещение возможного ущерба стороннему предприятию. Однако покупка страховки покрывает лишь часть проблемы управления рисками.

Предотвращение, снижение, передачу и удержание также относят к наиболее распространенным методам управления рисками:

Три линии защиты в методике риск-менеджмента

С развитием системы управления рисками и востребованностью методов их идентификации значительно изменился и штат команд. Сегодня руководители заинтересованы во внутренних аудиторах, специалистах по управлению рисками, комплаенс-менеджерах, сотрудниках внутреннего контроля, инспекторах качества и других экспертах по рискам и контролю.

Каждая из данных специальностей имеет свой уникальный набор навыков, полезных компании, однако и здесь возникают трудности. Зачастую деятельность, связанная с управлением рисками и контролем, подразделена на отделы и департаменты, между которыми возникают как коммуникационные, так и организационные барьеры. Необходима эффективная координация их действий и обязанностей – в целях недопущения продолжающихся споров о том, кто за что отвечает или неправильной трактовки представленной информации.

В начале 2000-х годов международный Институт внутренних аудиторов (IIA) представил так называемую модель Трех линий защиты. Она призвана координировать процессы управления рисками и внутреннего контроля через строгое определение и делегирование необходимого функционала и обязанностей, достигая таким образом поставленных целей.

По словам главного исполнительного директора IIA Р. Чемберса, данная модель рассматривается как основа для надежного управления рисками. Она дает полное представление о том, кто несет ответственность за обеспечение гарантий в структуре организации и на каком уровне.

Модель позволяет по-новому взглянуть на текущие процессы, способствуя улучшению этапов по управлению рисками – в любой организации, независимо от того, представлена в ней формально структура управления рисками или нет. Если говорить о небольших компаниях, как правило, они адаптируют модель под себя, ограничиваясь 1 и 2 линиями.

Модель различает три линии или группы, вовлеченные в эффективное управление рисками:

Рассмотрим каждую подробнее.

1 ЛИНИЯ: ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ

В качестве 1-ой линии защиты выступают операционные менеджеры, владеющие и управляющие рисками. Они же несут ответственность за выявление, уменьшение уровня рисков, анализ и подготовку управленческой отчетности по основным рискам.

Также они ответственны за выполнение корректирующих действий и контроль так называемых недостатков при выполнении процедур контроля рисков на ежедневной основе.

Руководители подразделений несут ответственность за организацию «работающей» системы внутреннего контроля, за реализацию контрольных процедур в вверенных им бизнес-процессах, за создание и внедрение регламентирующих нормативных документов. Представители 1-ой линии на регулярной основе задаются вопросами – «Что может пойти не так?» и «Что я сделал, чтобы этого не произошло?».

2 ЛИНИЯ: УПРАВЛЕНИЕ РИСКАМИ

В идеальном мире, возможно, потребуется только одна линия защиты для обеспечения эффективного управления рисками. Однако в реальных условиях такой сценарий неприемлем.

Речь идет о департаментах, ответственных за управление рисками. По их части – методологический подход с определением стандартов и координацией действий в области управления рисками. Сюда нужно отнести установленные процессы, технологии и культуру.

Подразделения из этой линии не отвечают за своевременное выявление и оценку рисков, поскольку это – задача первой линии. Они призваны обеспечить защиту той самой 1-ой линии – при необходимости обучить сотрудников или предоставить рекомендации по разработке и внедрению контрольных процедур, предотвращению мошенничества и т.д.

К ключевым функциям 2-ой линии относят:

В состав 2-ой линии в крупных компаниях входят департаменты, ответственные за управление рисками, СВК, безопасность, комплаенс и др., обеспечивающие безостановочный мониторинг процесса создания и действия контрольных процедур.

3 ЛИНИЯ: ВНУТРЕННИЙ АУДИТ

Проводить объективную оценку и согласование уровня рисков, исходя из стратегических задач компании, а также контроль эффективности всей системы управления рисками Совету директору помогают внутренние аудиторы.

Они предоставляют высшему руководству заключения, основанные на независимой оценке, определяют нарушения, разрабатывают рекомендации по доработке и улучшению структуры управления рисками, контролируют функции 1-ой и 2-ой линий защиты и т.д.

Совет директоров, в свою очередь, принимает заключения аудиторов как безоговорочное руководство к принятию соответствующих мер.

Организация профессионального внутреннего аудита в идеальном видении должна быть требованием для всех предприятий. Это важно не только для больших и средних компаний, но и для маленьких, поскольку они так же могут сталкиваться со сложностями при создании организационной структуры для обеспечения эффективного управления рисками.

Лучшее решение для компании – создать и поддерживать независимую и профессиональную службу внутреннего аудита (в том числе из имеющегося кадрового состава специалистов с необходимым опытом), которая:

Карта гарантий при управлении рисками

Поскольку каждая компания уникальна, а конкретные ситуации различаются, нет единого способа в разработке линий защиты. При координации этапов управления рисками важно правильно разграничить обязанности участников, обеспечив тем самым плодотворное сотрудничество и обмен необходимыми данными между ними, в том числе сбор необходимой отчетности.

Часто при регламентировании зон ответственности прибегают к Карте гарантий. Что это такое?

Это документ, координирующий деятельность подразделений с контрольными функциями на разных уровнях, в который входят следующие данные:

Создание Карты гарантий допускается при использование внутренних документов – классификатор рисков и процессов, карта рисков и др.

Роль риск-координатора в системе управления рисками

Рассматривая основные методы управления рисками, важно особое внимание уделить работе риск-координаторов и их значительной роли в системе управления в целом.

Координаторы по управлению рисками имеют ряд задач, но, в первую очередь, несут ответственность за минимизацию рисков и потерь организации. Это касается как движения денежных средств, так и имущества или персонала.

Риск-координаторы предпринимают все необходимые шаги для снижения и смягчения рисков для компании, а их повседневные обязанности включают мониторинг тех или иных условий работы, чтение и интерпретацию кодексов, юридических требований для компании, опрос клиентов, ведение переговоров с сотрудниками относительно условий труда и пр.

Координаторы также ответственны за то, чтобы внутри компании отсутствовали факты мошенничества, если же они имеют место быть – от них требуется надлежащее принятие юридических мер для предотвращения последствий.

Для должности риск-менеджеров, как правило, принципиальна степень бакалавра в финансовой области, а также опыт работы в качестве специалиста по убыткам.

Если выделять задачи координатора управления рисками тезисно, они звучат так:

Так или иначе, в далеко нестабильных условиях все больше компаний желают минимизировать свои риски, оградившись от неприятных последствий. Для этого они используют разные методики, рекомендации, программы и платформы. Необходимость выбора обусловлена различными причинами возможных рисков – это могут быть как внешние факторы (форс-мажоры, смена власти, пандемии и пр.), так и внутренние (сбои в поставке товаров, непрофессиональный анализ, некачественное прогнозирование рисков и т.д.).

Качественное моделирование системы внутреннего контроля, профессиональный подход к разработке методологии и регламентов, их внедрение на основе актуальных автоматизированных процедур – это то, что сегодня действительно может помочь организации в достижении поставленных бизнес-целей, с учетом возможных / реальных трудностей и угроз.

При этом риск-менеджмент многовариантен – он не запрещает сочетать в себе стандартные методики одновременно с непривычными, подходящими под сугубо данное рисковое событие.

Источник