Контрольные службы - опыт применения модели COSO

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Модель Комитета спонсорских организаций комиссии Тредвея (COSO) 2004 г. (см. рис. 1) активно использовалась «Сведбанк групп» как для структурирования процессов внутреннего аудита и внутреннего контроля, так и для синхронизации контрольных процедур с системой управления рисками.

Некоторые аспекты применения модели COSO 2004 г. («Концептуальные основы управления рисками организаций») в процессе деятельности ОАО «Сведбанк» (Россия) уже были раскрыты в нашей статье «Контрольные службы на службе? Опыт применения модели COSO» в журнале «Аудит» № 1, 2016 г. В данной статье остановимся на новых моментах внедрения этой модели.

Использование контрольных служб и подразделений по управлению рисками в качестве инструментов для достижения целей бизнеса предполагает в первую очередь эффективное целеполагание организации. Особенно важно структурировать стратегические цели в международной корпорации: увязать миссию компании со страновыми особенностями и поддержать операционными целями с учетом нор- мативных/законодательных различий территорий. Основой процесса формулирования и достижения целей является корпоративная культура в целом и комплаенс-функция как ее составная часть, которые через установленные стандарты поведения, элементы корпоративной идентификации позволяют интегрировать сотрудников с различными культурными традициями в единое целое, при этом помогая избежать в деятельности компании теневой составляющей и сохраняя высокую степень управляемости.

Принципы корпоративной культуры во многом помогли сотрудникам ОАО «Сведбанк» (Россия) выполнить решение совета директоров -- трансформировать бизнес-модель из универсальной в корпоративную с акцентом на клиентов скандинавских рынков, несмотря на серьезный демотивационный вектор изменений -- трудно найти менеджера, который позитивно относится к задаче «сжимания» бизнеса, в нашем же случае нужно было отказаться от бурно развивающегося розничного направления. Однако успешно справились, даже название новой модели было определено как свежий банк -- FRESH.

Цели, структура контрольных служб, степень их свободы в компании, активность и вовлеченность в бизнес также определяются исходя из стратегии компании и ее корпоративной культуры. Для продуктивного функционирования необходимо обеспечивать динамическое взаимодействие всех структурных подразделений, участвующих в управлении рисками и контроле. Для этого рассмотрим, как структурированы взаимосвязи между компонентами модели COSO (рис. 1).

Рис. 1

Указанный процесс, по нашему мнению, может быть представлен в виде цикла следующим образом (рис. 2).

Рис. 2

Внутренняя среда -- выражение корпоративной культуры -- задает направление процессам постановки целей, мониторинга, информации и коммуникации, а также формирует основные характеристики «ядра» -- системы управления рисками -- оценки риска и реагирования на риск с использованием установленных средств контроля. Уровень надежности внутренней среды влияет на эффективность организации трех линий защиты: 1-й линии -- бизнес-подразделений и подразделений поддержки на основе принятой философии управления рисками и риск-аппетита, ответственности персонала; 2-й -- интегрированной системы активного риск-менеджмента и 3-й линии защиты -- внутреннего аудита, осуществляющего оценку и мониторинг эффективности 1-й и 2-й линий защиты и разработку рекомендаций.

Высокая изменчивость внешней среды сегодня требует особого внимания к организации обмена информацией и коммуникации. Основная задача -- фиксация и передача данных в форме, объеме и в сроки, позволяющие сотрудникам качественно выполнять свои функциональные обязанности. Правильно выстроенный процесс сбора информации и эффективный обмен ей как по вертикали, так и по горизонтали -- база для качественного контроля и управления. Системная, своевременная, достоверная, непрерывная, измеримая и контролируемая информация обеспечивает коммуникации и взаимосвязи всех компонент (рис. 2), предопределяет возможности самокорректировки, своеобразного скоринга всей деятельности организации.

Процессы мониторинга, информирования и коммуникаций в Сведбанке были четко структурированы. Так, информация по финансовым рискам подавалась казначейством ОАО «Сведбанк» подразделению рыночного риска группы ежедневно в виде отчетов по валютному, процентному риску, риску ликвидности, еженедельно представлялись рабочие лимиты на межбанковском рынке и заключенные сделки. Отчеты по соответствующим рискам ежеквартально представлялись совету директоров. По каждому виду риска существовала автоматизированная модель сбора информации и элементов реагирования в случае нарушений и сбоев. Например, при обнаружении попытки нарушения лимита при сделке система выдавала предупреждающие информационные указания.

Рассмотрим пример практического внедрения требований COSO при реализации проекта добровольной ликвидации ОАО «Сведбанк», где принципы международной материнской компании были полностью соблюдены и получен запланированный результат, несмотря на все потенциальные риски, характерные для данного процесса в условиях российской действительности.

Параметры проекта добровольной ликвидации в соответствии с корпоративной культурой «Сведбанк групп» были определены следующим образом:

1. Стратегическая цель проекта -- постепенное снижение объемов бизнеса с последующей добровольной ликвидацией.

2. Принципы проекта:

2.1. Отношения с клиентами -- ценный актив, поддержка клиентов и активный диалог -- основа для корректного завершения взаимодействия.

2.2. Персонал -- важнейший фактор успеха -- для планирования ресурсов проекта формируем программу вознаграждений.

2.3. Активное взаимодействие с регулятором для проработки деталей в соответствии с законодательством и безопасного мягкого процесса ликвидации в запланированные сроки.

2.4. Работающий кредитный портфель находится на балансе банка максимально долго -- для финансового обеспечения процесса ликвидации.

3. Основные направления-события проекта в разрезе бизнес-направлений:

a) приведение банка к организованному моноофису;

b) реформирование кредитного портфеля;

c) завершение взаимодействия с клиентами;

d) завершение участия во всех профессиональных сообществах, в том числе в платежных системах, юридическая процедура ликвидации.

Для каждого направления сформирован план мероприятий с указанием сроков и контрольных точек. Рассмотрим подробнее реализацию некоторых из запланированных направлений-событий реализации проекта добровольной ликвидации.

Организация банка в качестве моноофиса. Данное направление было разбито на две ключевые задачи:

1. Закрытие филиала в Санкт-Петербурге.

2. Трансформация инфраструктуры информационно-коммуникационных технологий (ГГ).

В качестве основных мероприятий по этому филиалу в части его закрытия было определено следующее:

1. Завершение обслуживания клиентов с закрытием/переводом счетов.

2. Расторжение коммерческих договоров.

3. Юридическая процедура закрытия филиала.

4. Этапы передачи остающихся функций в московский офис.

5. Административно-хозяйственная процедура закрытия:

a) передача документов,

b) архивирование,

c) формирование регламентов ответов на запросы государственных органов и регулятора и т.д.

В части трансформации ГГ сложность приведения инфраструктуры к моноофису исходила в первую очередь из необходимости соблюдения требования дуального размещения баз данных для всех подразделений «Сведбанк групп». Необходимо было определить дату отключения резервного дата-центра и перехода только на внутренние ресурсы. При этом должен был соблюдаться баланс рисков и затрат (при управлении рисками эту дилемму приходится решать довольно часто): минимизируя риски проекта -- увеличиваем расходы на содержание профессионального дата-центра, с одной стороны, если уменьшаем затраты проекта и перестаем поддерживать резервные базы данных, увеличиваем риски, с другой, -- можем, например, оказаться в непростой ситуации реализации риска невозможности восстановления данных в случае выхода из строя внутренней серверной. контрольный подразделение стратегический спонсорский

Задача оптимизации затрат и рисков в ГГ-трансформации была решена с помощью разработки новой архитектуры в простой и компактной форме, использованной в дальнейшем для обслуживания лизинговой компании и компании по управлению активами.

Дата миграции всех сервисов в моноофис была определена с участием специалистов группы и совета директоров банка. Ими также в результате долгих дискуссий на период около шести месяцев риск невозможности восстановления данных был принят в режиме активного управления.

Задача по сохранению доступа к данным по операциям банка для регулятора, налоговых и других государственных органов уже после аннулирования лицензии на совершение банковских операций была решена путем электронного архивирования этих данных на внешних носителях.

Направление реформирования кредитного портфеля распадалось на две задачи в зависимости от качества кредитов:

1. Продажа кредитов со средней и высокой вероятностью дефолта.

2. Сопровождение рабочих кредитов до погашения либо перевода на баланс дочерней компании.

В первом случае формировался список банков-партнеров, определялся план работы с заемщиками и потенциальными покупателями, ценовая политика. Все процедуры утверждались на комитете по активам. Во втором -- взаимодействие с «рабочими» заемщиками проходило в соответствии с внутренними нормативными документами «Сведбанк групп» -- постоянные контакты, страхование, регулярная проверка и оценка залогов и т.д.

Юридическая процедура строго регламентирована законодательством и по мероприятиям, и по срокам. Основные этапы процесса добровольной ликвидации после принятия решения о ней представлены в схеме и таблице на рис. 3.

Рис. 3

Мы уже затрагивали вопрос рисков, управление которыми является необходимой составляющей управления проектом в целом. Внутренние нормативные документы «Сведбанк групп» требовали определить все категории рисков в следующих областях: юридическая поддержка, операционная часть, 1Т, кредиты, безопасность, финансы, комплаенс и риски. В связи с тем, что завершение операций в России потенциально имело воздействие на бизнес и в других странах, оценка и последующий контроль всех выявленных рисков проводились в координации с соответствующими подразделениями «Сведбанк групп».

Был составлен рейтинг рисков проекта добровольной ликвидации (где 1 -- самый высокий уровень риска, 10 -- самый низкий).

Табл. 1

По каждому типу рисков разрабатывались соответствующие карты с классификацией мероприятий, сроками и исполнителями, а также обязательным контролем. О риске невозможности восстановления данных, следовательно, риске нарушения бизнес-непрерывности мы уже говорили, ему был присвоен наивысший уровень с момента начала проекта.

Изменение архитектуры 1Т производилось поэтапно с жестким мониторингом каждого шага. По завершении основных процедур 1Т- трансформации указанный риск сместился на четвертый уровень. Карта рисков в феврале 2014 г. выглядела следующим образом.

Табл. 2

Мониторинг проекта осуществлялся по контрольным точкам, представленным на рис. 4.

Рис. 4

Итоги проекта добровольной ликвидации. Четкое следование плану и внутренним нормативным документам на основе С080 - инструментария, профессиональный персонал позволили завершить проект в срок (рис. 3) с ожидаемым финансовым результатом. Отметим, контрольные службы, выполняя каждая свою функции, активно взаимодействовали как друг с другом, так и со всеми участниками проекта: комплаенс отслеживал соответствие планов и мероприятий по ликвидации внутренним нормативным документам, корпоративным стандартам, служба безопасности контролировала в основном вопросы информационной безопасности, риск-менеджмент отслеживал карту рисков, зона ответственности мониторинга -- сроки выполнения планов, аудит координировал деятельность по ликвидации с общими событиями «Сведбанк групп». Обмен информацией осуществлялся как по горизонтали, так и на всех уровнях, по вертикали. Четкое взаимодействие и эффективный информационный обмен также сыграли свою роль в том, что процесс добровольной ликвидации позволил акционеру не только вернуть ожидаемое имущество, но и сохранить качество бренда.

Исходя из вышеизложенного, подчеркнем: модель COSO сама по себе является всего лишь инструментом, который без соответствующей адаптации к реалиям организации не работает. Для полноценной работы контрольных служб обязательны:

1. Эффективное целеполагание как в части организации в целом, так и в части деятельности самих контрольных служб, включая детализацию контролей как механизма мониторинга и корректировки фактического уровня достижения намеченных целей (включая реакцию на риск), а также настройку адекватного процесса коммуникаций и информирования (см. рис. 2).

2. Адекватная функциональная структура и соответствующие полномочия, квалифицированный персонал и другие ресурсы (бюджет, ИТ-платформа и т.д.) для выполнения поставленных целей.

3. Соответствующая корпоративная культура с эффективной комплаенс-функцией, позволяющая формировать и поддерживать нелояльность к нарушениям, избегая в деятельности компании теневой составляющей при высокой степени ее управляемости.

Резюмируя, можем подытожить, что перечисленные три момента в какой-то степени и есть те «три слона», на которых можно выстраивать устойчивую бизнес-концепцию, позволяющую повторить слова Конфуция: «Мы славны не тем, что никогда не падаем, а тем, что встаем всякий раз, когда это случилось».

Размещено на Allbest.ru