Уверен, что данная книга будет полезна как студентам, изучающим экономику, финансы и юриспруденцию, так и практикующим работникам организаций, деятельность которых требует наличия эффективной комплаенс-модели, и все полученные из этой книги знания могут быть ими имплементированы во внутренние процессы, тем самым позволив создать адекватную систему комплаенс-контроля. Но при этом не нужно забывать о необходимости самостоятельного отслеживания всех новелл в области комплаенс-контроля, так как данная область наиболее подвержена оперативным изменениям.
1. Общая теория управления рисками
1.1. Общие положения
В соответствии с правоприменительной практикой и международными стандартами под понятием «риск» следует понимать следствие влияния факторов неопределённости на достижение поставленных целей организации[1], в связи с чем управление рисками[2] является неотъемлемой частью корпоративного управления и представляет собой комплексный процесс принятия и выполнения решений, направленных на минимизацию вероятности возникновения неблагоприятного результата и уменьшение возможных потерь организации от реализации такого неблагоприятного результата, базирующийся на следующих принципах:
консервативность (англ. conservatism[3]) отказ от потенциальных сделок с очень высоким или неопределённым уровнем риска вне зависимости от степени их доходности;
комплексность (англ. complexity) единая структура системы управления для всех видов риска;
дифференцированность (англ. differentiation) специфика содержания и применения отдельных элементов системы управления рисками применительно к различным типам рисков;
независимость риск-подразделения (англ. independence of the risk division) от подразделений, инициирующих и осуществляющих банковские операции;
наличие чётко выстроенного механизма принятия решений по управлению рисками (англ. risk management decision-making mechanism) на основе процедур, закреплённых нормативными правовыми документами организации;
система многоуровневой отчётности (англ. multilevel reporting system);
единство информационных технологий (англ. unity of information technologies);
осуществление многоуровневого контроля эффективности системы управления рисками (англ. implementation of multi-level control of the effectiveness of the risk management system) в рамках системы внутреннего контроля.
В рамках реализации указанного функционала в организации действует система управления рисками, позволяющая определить уровень риска, который организация готова принять на себя, поддержать его приемлемый уровень, обеспечить сохранность и надёжность размещения денежных средств, а также эффективность их использования.
Основными задачами управления рисками являются:
создание единой непрерывной системы управления рисками с учётом объёмов принимаемых рисков;
осуществление контрольных процедур, в том числе с точки зрения сохранения баланса между рисками и доходностью проводимых операций;
проведение мониторинга потенциальных убытков относительно возможностей организации к их покрытию;
осуществление регулярной оценки действующей системы управления рисками с целью её совершенствования;
создание адекватных ожидаемым потерям резервов;
осуществление типовых и исключительных мероприятий по митигации рисков (англ. mitigation)[4];
поддержка целей бизнеса с учётом изменяющихся рыночных условий;
выявление потенциальных рисков, их оценка, агрегирование, контроль их уровня;
оценка и обеспечение достаточности капитала для покрытия существенных рисков, которые могут возникнуть сверх ожидаемого уровня.
Достижение основных задач управления рисками возможно при приемлемых (ограниченных риск-аппетитом[5] организации) уровнях рисков и достаточности капитала.
При определении риск-аппетита организация проводит оценку, устанавливая, насколько применимый риск-аппетит приемлем в текущий период времени и насколько он может быть приемлем в будущем, учитывая:
ожидания учредителей/акционеров в отношении уровня доходности;
международные регуляторные стандарты;
бизнес-план, бюджет доходов и расходов;
текущий и ожидаемый в будущем объём операций;
текущую и ожидаемую в будущем структуру значимых рисков;
текущий и ожидаемый в будущем уровень совокупного капитала.
Система управления рисками включает соответствующие организационную структуру и информационно-методологическую систему, представляющую совокупность инструментов, методов, процедур и способов идентификации, оценки, ограничения, нейтрализации и контроля принимаемых организацией рисков.
Основой системы управления рисками является культура управления рисками, под которой понимается существующая в организации система ценностей и способов поведения, определяющая суть и форму принимаемых в области управления рисками решений. Культура управления рисками оказывает влияние на каждого уполномоченного сотрудника при принятии любого связанного с риском решения, требующего соблюдения баланса между риском и доходностью.
Процесс управления рисками подразделяется на следующие основные этапы:
Идентификация риска (англ. risk identification) выявление подверженности сделок либо операций организации различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых банковских операций.
Анализ и оценка риска (англ. risk analysis and assessment) анализ выявленных факторов и определение степени риска и их последствий, при этом в качестве количественных показателей оценки применяются коэффициентный анализ факторов риска, прогнозируемый размер потерь, а также показатели сегментации портфелей тех или иных финансовых инструментов.
Регулирование риска (англ. risk management) комплекс мероприятий, применяемых для поддержания приемлемого уровня рисков организации, направленных на их минимизацию и нейтрализацию их возможных последствий, что достигается комплексом мероприятий, предусматривающих диверсификацию, лимитирование[6], хеджирование[7], страхование, резервирование, передачу или распределение риска на контрагента, отказ от заключения сделки/проведения операций с неприемлемо высоким уровнем риска либо продажу активов.
Мониторинг и контроль рисков (англ. monitoring and control of risks) процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.
Отчётность по управлению рисками (англ. risk management reporting) завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.
Система управления рисками строится как интегрированная система применения следующих инструментов и методов: