к какой линии защиты относятся работники бизнес и операционных подразделений
Исполнение функций контроля первой линии
«Внутренний контроль в кредитной организации», 2014, N 3
Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонала разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.
Из всех банков можно выделить те, которые пришли к риск-взвешенной политике управления осознанно, эволюционно, которые не стали ждать регуляторных требований и указаний, а стали самостоятельно применять в менеджменте лучшие международные практики.
Хотя Банк России активно обновляет законодательную базу в области регулирования и надзора, именно принципы международных базельских соглашений заложили основные стандарты управления банковским бизнесом, в том числе по модели трех линий защиты. Применение данной модели не зависит от размера кредитной организации, в ней заложены основополагающие принципы, суть которых заключается в иерархическом принятии решений и многоуровневой ответственности. В организационной структуре банка модель представляет собой «восходящую горизонталь», то есть вовлечение каждой последующей линии защиты в процесс управления рисками осуществляется последовательно, в рамках установленных лимитов и полномочий.
Три линии защиты
Характер, структуру и конкретные мероприятия на каждой линии защиты банки могут определять самостоятельно в зависимости от масштабов своего бизнеса, регионального присутствия, направлений деятельности, уровня автоматизации процессов и используемых систем. Как уже упоминалось, важнейшую роль играет подход к управлению рисками. Эффективное управление рисками по модели трех линий защиты возможно только при условии постоянного тесного взаимодействия между участниками всех трех линий, при этом нельзя недооценивать роль каждой из них.
Кто же они, участники трех линий защиты?
Первая линия
Если в банке внедрено процессное управление, зоны ответственности, как правило, более очевидны и прозрачны. Именно владельцы процессов, по сути, являются владельцами рисков. Их основными задачами являются внедрение полноценной системы контроля и мониторинга деятельности низовых подразделений, создание условий для повышения эффективности работы, в том числе путем постановки четких задач, определения зон ответственности каждого сотрудника (групп сотрудников), а также применение системы как материальной, так и нематериальной мотивации.
В последнее время вопросы модернизации системы мотивации владельцев риска выходят на первый план. Но чтобы иметь более полную картину о роли первой линии защиты и условиях ее эффективного функционирования при управлении рисками по модели трех линий защиты, давайте рассмотрим функции второй и третьей линий.
Вторая линия
Вторая линия представляет собой дополнительную, независимую функцию по управлению рисками. Соблюдение принципа независимости имеет особое значение. В большинстве банков уже созданы отдельные подразделения по управлению рисками, которые не подчиняются руководителям, курирующим бизнес-направления. Однако, если банк небольшой, базельские каноны допускают возложение ответственности по управлению рисками или отдельным видом риска на выделенного сотрудника (сотрудников) при соблюдении принципа разделения обязанностей, а также при обеспечении независимого анализа выполняемых процессов и функций.
Вторая линия отвечает за внедрение системы управления рисками в соответствии с заданной советом директоров стратегией, в том числе с методологией по управлению рисками (выявление, оценка, контроль и минимизация). В целях повышения эффективности второй линии многие банки организовывают коллегиальные органы по управлению риском или профильные комитеты по управлению отдельными видами рисков. Количество, состав и уровень комитетов зависят от масштаба банка. Они могут образовываться как при исполнительных органах, так и при совете директоров. Чем больше банк, тем выше уровень комитета по рискам.
Вторая линия осуществляет дополнительный контроль за соблюдением владельцами рисков принципов управления рисками, в частности за работой систем оценки риска, проверками первичных данных и отчетности. Вторая линия эскалирует вопросы вышестоящим участникам системы управления рисками (третьей линии), в том числе через систему отчетности. Именно подразделения по управлению рисками должны обеспечивать продвижение корпоративной культуры, поэтому традиционно на них лежит ответственность за многоуровневое обучение персонала, консультационную поддержку и координацию участников системы управления рисками.
Следует отметить, что в международных базельских соглашениях прослеживаются рекомендации по укомплектованию второй линии достаточным количеством квалифицированных сотрудников. Банк России пошел по пути применения этого принципа посредством предъявления требований к должностным лицам, отвечающим в банках за управление рисками.
Третья линия
Совет директоров не только определяет стратегию и утверждает основные принципы управления рисками, но и задает корпоративный тон как основу корпоративного управления. Он определяет уровень допустимого для банка риска, основываясь на стратегических целях и задачах, оценивает результаты и эффективность независимого контроля. Именно совет директоров принимает решение о привлечении внешнего аудитора и рассматривает результаты проведенного им аудита, оценивающего в том числе и качество внутреннего аудита.
Для содействия совету директоров в реализации возложенных на него задач при нем часто создаются комитеты по аудиту, управлению рисками и политике в области вознаграждений и компенсаций, которые помогают контролировать эффективность управления банком. Что касается комитета по аудиту, то под его надзором служба внутреннего аудита может проводить оценку ресурсов, вовлеченных в управление рисками, эффективность корпоративного управления, тестировать систему отчетности и методики оценки риска, а также осуществлять иные функции в соответствии с планами проверок.
Условия эффективного функционирования первой линии защиты
Мы сформировали общее представление об участниках каждой из трех линий защиты и задачах, которые они выполняют. Несмотря на краткую характеристику первой линии защиты, именно она выполняет первостепенную по важности задачу, на ее плечах лежит ответственность за управление рисками, образующимися в результате бизнес-деятельности. Под бизнес-деятельностью, как правило, подразумеваются направления банковской деятельности, в которых сконцентрированы риски для банка.
Представителей первой линии защиты называют по-разному: фронт-офис, бизнес-менеджеры, операционный менеджмент, руководители направлений деятельности, владельцы процессов, работники, принимающие риски. Банк России, например, при рассмотрении вопросов организации и оценки системы оплаты труда в кредитных организациях остановился на термине «работники, принимающие риски». Однако не менее выразительно их роль в системе управления рисками раскрывает термин «владельцы рисков».
Владельцы рисков осуществляют управление рисками курируемых бизнес-процессов посредством механизмов контроля, ориентированных на интеграцию элементов управления рисками, как при осуществлении бизнес-процессов, так и при принятии решений. Таким образом, владельцы рисков несут ответственность за выявление, анализ, управление, минимизацию рисков и формирование соответствующей отчетности по результатам управления рисками на своем уровне.
К сожалению, не многие банки могут похвастаться надежной первой линией защиты, представители которой в процессе ежедневной деятельности своевременно выявляют и оценивают риски, эскалируют проблемы и формируют необходимую отчетность для участников второй линии защиты, разрабатывают и внедряют планы мероприятий по управлению рисками. Попробуем прояснить, при каких условиях владельцы рисков будут качественно выполнять возложенные на них задачи, то есть обеспечивать эффективное функционирование первой линии защиты.
Система управления рисками должна быть чувствительна к изменениям внешних и внутренних факторов функционирования бизнеса, поэтому все перечисленные условия и мероприятия постоянно пересматриваются и совершенствуются.
Владельцы рисков должны принимать активное участие в разработке и согласовании инструментов и методологических документов в области управления рисками. Чем больше их вовлеченность, тем результативнее их обучение и тем более эффективно они смогут осуществлять функции первой линии защиты.
Включение результатов управления рисками в систему мотивации менеджеров
Понятно, что владельцы рисков в первую очередь заинтересованы в осуществлении бизнес-функций. Однако важно, чтобы система мотивации персонала, осуществляющего бизнес-операции и сделки, учитывала не только достигнутые подразделением бизнес-показатели, но и общие результаты деятельности банка, в том числе результаты управления рисками, с учетом временных горизонтов их реализации. Вознаграждение владельцев рисков должно состоять из фиксированной и нефиксированной частей, при этом корректируется нефиксированная часть.
Для корректировки вознаграждения владельцев риска Банк России предлагает использовать следующие показатели (см. таблицу).
Приложение 1 к Инструкции Банка России от 17.06.2014 N 154-И «О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда».
Показатели для корректировки вознаграждения владельцев риска
Данные условия, а также иные рекомендации Базельского комитета и Совета по финансовой стабильности по организации системы оплаты труда уже нашли свое отражение в нормативных актах Банка России. В частности, теперь система оплаты труда не только управленческого состава, но и сотрудников любого ранга, ориентированных на проведение операций (заключение сделок), которые могут повлечь реализацию риска, должна предусматривать механизм отсроченных выплат.
Безусловно, чем более высокую позицию занимает сотрудник, которому предоставлены полномочия на принятие риска, тем более чувствительно к риску должно быть его вознаграждение. Определенная доля вознаграждения должна выплачиваться только после завершения оценки и подтверждения качества и эффективности деятельности. При этом выявленные в ходе проверки (аудита) деятельности подразделений, представляющих первую линию защиты, нарушения, которые привели или могут привести к негативным результатам, также должны влиять на размер выплат сотрудникам и руководителям соответствующих подразделений. Размер корректировок зависит как от количественной оценки ущерба (влияния), так и от качественной, например профессионального суждения служб внутреннего аудита, управления рисками и комитета по вознаграждениям. Каждая кредитная организация должна разработать свои подходы к внедрению (модернизации) системы оплаты труда, учитывающей описанные выше принципы.
Что касается практического применения, то в границах утвержденного высшим органом управления допустимого для банка уровня риска (риск-аппетита) целесообразно установить пороговые значения (лимиты) по отдельным видам риска в различных направлениях деятельности, за которые отвечают владельцы риска. При расчете пороговых значений (лимитов) риска важно учитывать результаты сценарного анализа, самооценки рисков и контрольных процедур, исторические данные о рисках, которые реализовывались ранее в определенных направлениях деятельности. В расчетах могут также использоваться данные о доходах.
Подходы могут быть разными. По некоторым процессам или направлениям может быть установлен нулевой лимит. Это значит, что высший менеджмент ставит задачу совсем избежать убытков от реализации рисков. Полученные результаты могут использоваться при предоставлении владельцам рисков права на их принятие в рамках установленного лимита. При этом очень важно иметь инструмент контроля за соблюдением первой линией защиты установленного лимита принятия риска. Если риск оценивается выше допустимого лимита, вопрос о возможности его принятия эскалируется на вторую линию защиты, представители которой могут обладать дополнительным лимитом, как правило, превышающим лимит первой линии. Важнейшим условием использования такого подхода является наличие механизмов оценки риска с использованием различных инструментов, проводимых на разных уровнях. В таком случае в общую систему полномочий интегрируются полномочия на принятие риска в допустимом объеме. Речь сейчас идет не об общей норме или общем правиле. Вопрос установления риск-аппетита и распределения лимитов принятия риска между участниками менеджмента решается каждым банком по-своему. Но если банк пошел по этому пути, он устанавливает и ответственность владельцев рисков за превышение допустимых полномочий. Аналогичный подход применяется в отношении полномочий остальных участников. Лимиты могут быть пересмотрены как в рамках пересмотра риск-аппетита банка, так и отдельно по различным направлениям деятельности.
Выводы
Принципиальное значение для эффективного управления по модели трех линий защиты имеют высокий уровень корпоративного управления и развитая культура управления рисками, а также возможность оперативного взаимодействия между участниками всех трех линий. Успех также во многом зависит от того, насколько профессиональна и надежна команда менеджеров, представляющих первую линию защиты, и от готовности высшего менеджмента прислушиваться к мнению лиц, представляющих вторую линию.
Управление операционными рисками банка: практические рекомендации
Раскрываются цели и задачи банка в области управления операционными рисками, основные подходы, принципы и механизмы управления операционными рисками, а также линии защиты и соответствующие субъекты, управляющие рисками. Стандартное изложение информации об операционных рисках принесено здесь в жертву соображениям понятности, практичности и эффективности. Вся информация представлена в предельно сжатом и доступном виде, сопровождается наглядными схемами и приложениями. Может применяться и строго утилитарно – для формирования политики по операционным рискам. Рекомендации адресуются руководителям организаций, преследующим цель снижения убытков своих компаний, а также специалистам в области рисков, методологии, оптимизации деятельности. Они могут быть полезными и для учащихся, которые хотят узнать, что из себя представляет управление операционными рисками с практической точки зрения. Для всех заинтересованных читателей (и прежде всего незнакомых с операционными рисками) наибольший практический интерес вызовут стандарты минимизации рисков (раздел 6.7).
Оглавление
Приведённый ознакомительный фрагмент книги Управление операционными рисками банка: практические рекомендации предоставлен нашим книжным партнёром — компанией ЛитРес.
4. Субъекты управления операционными рисками
Для управления операционными рисками в банке существуют три линии защиты [4] :
1-я линия защиты — все подразделения банка, которые работают с операционными рисками на месте его возникновения.
Выделяют три вида ответственных:
• риск-координаторы (начальники департаментов и назначенные лица);
• эксперты по инцидентам;
• регистраторы (все сотрудники подразделения).
2-я линия защиты — субъекты, которые координируют в целом всю систему управления операционными рисками:
• комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее — комитет по рискам);
• директор по рискам [5] ;
3-я линия защиты — подразделение внутреннего аудита (далее — подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные — аудиторы.
Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.
Субъекты, управляющие операционными рисками
Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач
4.1. Субъекты первой линии защиты
Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).
В рамках первой линии защиты в подразделениях банка операционными рисками управляют:
• эксперты по инцидентам;
4.1.1.2. Обязанность риск-координатора — организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:
1. Эффективная работа с инцидентами.
2. Выявление рисков и их устранение.
3. Система раннего предупреждения рисков.
4. Обеспечение непрерывности деятельности.
5. Координация работы всех департаментов в управлении рисками.
6. Система отчетов и прогнозов, поддержание базы рисков.
7. Контроль соблюдения стандартов минимизации рисков.
Выполнение этих обязанностей должно соответствовать стандартам и требованиям настоящих Рекомендаций (прежде всего раздела 6).
4.1.1.3. Риск-координатор для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:
1. Принимать решения по обнаруженным операционным рискам зеленой зоны (уровня «допустимый») [12] — о мерах по устранению риска (или) об оставлении риска без его устранения.
2. Проводить проверку на предмет анализа операционных рисков всех процессов департамента, его региональных сотрудников, ресурсов, документов без каких-либо специальных разрешений (проверки, связанные со входом в помещения, в которых осуществляется хранение ценностей, осуществляются на основании приказа Председателя правления банка).
3. Подготавливать и изменять нормативные документы об управлении операционными рисками своего департамента.
4. Давать обязательные для исполнения указания курируемым экспертам по инцидентам, регистраторам о выполнении ими положений настоящих Рекомендаций, контролировать исполнение этих указаний.
5. Получать от любых подразделений банка и их сотрудников информацию о состоянии операционных рисков и эффективности управления ими (относительно рисков, прямо связанных с департаментом).
6. Направлять в подразделения по управлению персоналом документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников, нарушающих правила нормативных документов об управлении операционными рисками.
7. Обращаться к риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне (для их решения на уровне комитета по рискам или Правления банка).
8. Назначать экспертов по инцидентам в департаменте и среди региональных сотрудников (в случае если департамент и региональные сотрудники работают с инцидентами), а также контролировать их работу.
4.1.1.4. О выполнении этих задач риск-координатор отчитывается перед риск-менеджером с периодичностью, установленной нормативными документами банка.
4.1.2. Эксперты по инцидентам.
4.1.2.2. Обязанность эксперта по инцидентам — организовать и осуществлять эффективную работу с инцидентами (их идентификацию, минимизацию ущерба, расследование, отчет об исполнении мер и прочие действия, указанные в разделе 6.1 настоящих Рекомендаций) и оказание помощи риск-координатору и риск-менеджеру в организации риск-процедур перечисленных в главе 6.
4.1.2.3. Эксперт по инцидентам для эффективного выполнения обязанностей, перечисленных в предыдущем пункте, имеет право:
1. Принимать необходимые меры для локализации инцидентов в пределах своих полномочий.
2. Получать от любых подразделений банка и их сотрудников информацию об инцидентах, находящихся в его компетенции.
3. Направлять курирующему риск-координатору документы о мотивировании сотрудников, принесших банку финансовую экономию от эффективного управления операционными рисками, или о привлечении к ответственности сотрудников нарушающих правила нормативных документов об управлении операционными рисками.
4. Обращаться к курирующему риск-координатору и риск-менеджерам для получения разъяснений об управлении операционными рисками, а также для эскалации проблем управления операционными рисками, которые не удалось разрешить на своем уровне.
5. Инициировать подготовку и изменение нормативных документов о процедурах работы с инцидентами.
4.1.2.4. О выполнении этих задач эксперт по инцидентам отчитывается перед курирующим риск-координатором и риск-менеджером с периодичностью, установленной нормативными документами банка.
4.1.3.1. Регистраторы [15] — это все сотрудники подразделений, так как в рамках выполнения своих функций они могут обнаруживать инциденты и проблемы, вызывающие операционный риск.
4.1.3.2. Обязанность регистратора при обнаружении инцидентов и проблем, вызывающих операционный риск:
1. Осуществлять действия по сохранению жизни и здоровья сотрудников и клиентов и предпринимать первичные действия по минимизации ущерба от инцидента (при наличии такой обязанности).
2. Незамедлительно сообщать эксперту по инцидентам и риск-координатору об инциденте или проблеме.
3. Осуществлять иные обязательные действия согласно правилам, установленным нормативными документами банка.
При необходимости регистратор обязан также оказывать помощь эксперту по инцидентам, риск-координатору и риск-менеджеру в организации риск-процедур, перечисленных в разделе 6.
4.1.3.3. Регистратор имеет право:
1. Обращаться к экспертам по инцидентам, риск-координаторам, риск-менеджерам для получения разъяснений об особенностях регистрации инцидентов и проблем, а также для эскалации проблем управления операционными рисками, которые ему не удалось разрешить на своем уровне.
4.1.3.4. Контроль за исполнением всеми сотрудниками подразделений обязанностей регистраторов осуществляет тот риск-координатор, чей департамент курирует этих сотрудников.
4.2. Субъекты второй линии защиты
Вторая «линия защиты» включает в себя процесс координации системы управления операционными рисками в целом, проверку данных и отчетов об операционных рисках, организацию деятельности комитетов по риску, представление отчетности руководству банка [17] (централизованный подход).
В рамках второй линии защиты операционными рисками управляют:
• директор по рискам [18] ;
4.2.1. Комитет по рискам (или иной комитет, наделенный соответствующими полномочиями — далее — комитет по рискам).
4.2.1.1. Комитет по рискам (в рамках управления операционными рисками) — это высший коллегиальный орган, который принимает решения о действиях банка в отношении тех или иных рисков (в т. ч. операционных). Председателем комитета по рискам является директор по рискам с правом вето на любые решения комитета.
4.2.1.2. Права комитета по рискам (в рамках управления операционными рисками) [20] :
1. Принимает решения по обнаруженным операционным рискам красной зоны (уровня «высокий» и выше), а также по рискам желтой и зеленой зон в случаях, когда они были эскалированы до уровня комитета.
№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об элементах системы управления операционным риском (часть 2)
Вопрос
1. Могут ли к центрам компетенций относиться подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), в обязанности которых входит обслуживание клиентов и которые несут ответственность за достижение целевых показателей, в том числе выполнение планов по продажам продуктов и услуг кредитной организации?
Какие подразделения кредитной организации могут быть отнесены к подразделениям, обеспечивающим процессы кредитной организации, в соответствии с абзацем восьмым пункта 1.3 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П)?
2. Могут ли следующие подразделения являться специализированными подразделениями по управлению отдельными видами операционного риска:
юридическое подразделение — правовым риском;
кадровое подразделение/подразделение по охране труда – риском ошибок управления персоналом;
подразделение информационной безопасности – риском информационной безопасности;
подразделение информационных технологий – риском информационных систем?
Ответ
К центрам компетенций для цели организации системы управления операционным риском относятся подразделения кредитной организации, отвечающие за осуществление операций и сделок в рамках осуществляемых ими процессов, которые выявляют события операционного риска на своих или смежных процессах и информируют о них. В соответствии с абзацем восьмым пункта 1.3 Положения № 716-П к центрам компетенций могут относиться как подразделения головного офиса, ответственные за организацию процесса и его результаты в целом (например, кредитный департамент, операционный департамент), так и подразделения, обеспечивающие данные процессы (например, подразделения бухгалтерского учета, административно-хозяйственной деятельности). Положением № 716-П не устанавливается список обеспечивающих процессов. Кредитная организация должна самостоятельно отнести тот или иной обеспечивающий процесс к одному из типов процессов (критически важным, основным или прочим) в зависимости от характера и масштаба деятельности кредитной организации. Примеры подразделений кредитной организации, которые могут быть отнесены к подразделениям, обеспечивающим процессы, изложены в подпункте 3.9.9 пункта 3.9 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П, таких как выявление событий операционного риска, информирование о них подразделение по управлению операционным риском, их оценку, разработку и проведение мероприятий, направленных на уменьшение негативного влияния. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В случае если подразделения кредитной организации, перечисленные в вопросе, в рамках своих функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в том числе в части отдельных видов операционного риска, определенных в пункте 1.4 Положения № 716-П, данные подразделения следует относить к специализированным подразделениям в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В части иных видов деятельности кредитная организация вправе возложить функцию по управлению риском ошибок в процессах осуществления внутреннего контроля, например, на службу внутреннего контроля.