3 линии защиты – Cизифов труд?

Внутренний аудит и внутренний контроль
Источник: GAAP.RU
Опубликовано: 18 апреля 2018

По материалам: Risk.net

К сегодняшнему дню большинство мировых банков приняло модель трех линий защиты из Базельских рекомендаций, но многие сохраняют скептичный настрой относительно ее способности повлиять на корпоративную культуру. В самом деле, теоретически универсальная и довольно простая в плане внедрения модель для управления операционными рисками, как оказалось, требует практически постоянного контроля и коррекции для правильного функционирования, и она явно не ознаменовала собой конец банковским трудностям.

Модель трех линий защиты (или “3LOD – от “3 Lines of Defense) проводит четкое разделение между менеджментом, рисками и контролем и, собственно, внутренним аудитом. Она стала одной из ключевых рекомендованных принципов от Базельского комитета по банковскому надзору 2011 года по обеспечению эффективного управления операционными рисками. Основная идея разработчиков заключалась в том, чтобы облегчить ответственным за управление рисками их функциональную задачу, показав им более четко, как распределяются риски по различным бизнес-функциям.

Подход нашел немало сторонников, утверждающих, что он принес с собой нужные изменения в корпоративной культуре: все, кто так или иначе занимается создающей риск деятельностью, начинают воспринимать себя самих в роли риск-менеджеров. Они уверены, что правильное использование модели - при условии, конечно, что в организации прислушаются к сигналу тревоги в случае возникновения проблем с внутренним контролем - позволит предотвратить многие нарушения типа несанкционированной торговли. Менеджеры по продажам или трейдеры, например, теперь так легко уже не сбросят с себя функцию управления рисками, просто сославшись на то, что их основная задача не в этом, а в том, чтобы просто делать деньги.

1 линия

Но так ли все радужно на самом деле? В банках эта точка зрения оказалась не столь популярна, а их корпоративная культура, как выяснилось, столь значительных позитивных сдвигов пока не испытала. Оппоненты считают, что желаемые изменения еще только должны проявиться после реальных сдвигов в корпоративной культуре (хотя многие при этом соглашаются, что за прошедшее время образ мышления фронт-офиса действительно начал постепенно меняться).

Джонатан Педди (Jonathan Peddie) – партнер, специализирующийся в юридической компании Baker McKenzie на расследовании корпоративных мошенничеств, и он утверждает, что окончательный вывод еще только предстоит сделать. Безусловно, пик крупномасштабных корпоративных мошенничеств остался позади, но на каждый громкий случай в банковской индустрии сегодня по-прежнему приходятся тысячи небольших, ведь людям здесь платят за то, чтобы они пользовались любой коммерческой возможностью – и люди по-прежнему часто делают это с нарушениями, говорит он.

Одно из наиболее частых замечаний среди тех, кто попробовал все на практике, заключается в том, что в модели отсутствует четкое разделение между первой и второй линиями защиты. Теория гласит, что на первой линии находятся, условно говоря, те, кто принимает на себя риски, а на второй – те, кто несет ответственность за инструменты контроля риска и комплайенс (третья – это внутренний аудит, который присматривает за первыми двумя). В то же время в июне прошлого года глава департамента контроля рисков в HSBC Дженни Берди (Jenny Birdi) заявила, что они действительно радикально пересмотрели свой подход, но внедрили модель в промежуточном варианте, распределив обязанности между людьми исходя из функций, которые они выполняют, а не подразделений, где они работают. Тот же самый вариант использовали Deutsche Bank, Santander и US Bank – среди многих других банковских организаций.

Пример Deutsche Bank заслуживает отдельного упоминания. Глава управления нефинансовыми рисками Балбир Бакши (Balbir Bakhshi) отмечает, что сама теоретическая структура оригинальной модели предполагает просто огромную первую линию защиты для любого банка со значительной ориентацией на рыночную деятельность: там она охватывает каждого, начиная с любого трейдера и заканчивая региональным руководителем кредитного направления. То есть это не просто люди в создающих прибыль департаментах, но также люди, работающие, например, в IT. Получается, большая часть персонала будет значиться именно на первой линии. И многие организации действительно затратили немало ресурсов на то, чтобы назначить риск-менеджеров в эту раздутую первую линию, только по-прежнему не считают, что с тех пор произошли сколь-нибудь значимые перемены в мышлении фронт-офисного персонала (а они необходимы). Тем, от кого зависит доход банка, платят за то, чтобы каждый день они принимали на себя риск, но вопрос остается открытым: достаточно ли у них навыков и внутреннего желания смотреть на вещи чуть более широко, чем сфера их специализации?

Некоторые, впрочем, отметили определенное изменение мышления. Неназванный старший управляющий операционными рисками в одном из банков Европы говорит: “В общем все сводится к тому, чтобы попросить людей изменить свое мышление и начать задавать вопросы типа “С какими рисками мы сталкиваемся?”, “Что может пойти не так?”, “Что мы можем сделать, чтобы добиться тех же результатов, но более безопасным образом?”, “Что я замечают в поведении других из того, что не имеет смысла?” Мы используем термин “управляющий рисками” в общем смысле, но задача в том, чтобы обеспечить изменения в мышлении”.

2 линия

Перейдем ко второй линии защиты. Задача работающих здесь людей не просто в том, чтобы измерять риск, но ставить под сомнение системы и процедуры, использующиеся на первой линии. Это значит, что здесь обязаны работать достаточно опытные банкиры, способные в случае необходимости поставить под сомнение работу старших трейдеров, а не просто те, кто день за днем накапливает данные – а именно так обычно и происходит в областях, где особенно велика потребность в точных данных. “Вторая линия зависит от того, чтобы поставить сюда людей, имеющих правильные наклонности и правильное понимание. Им требуется значительный опыт в данной области. На второй линии требуется больше количественных данных в расчете на число проверяющих и членов команд по комплайенсу, многие из которых могут быть слишком сосредоточены на процессе”, - говорит Ян Мейсон (Ian Mason), руководитель команды по регулированию финансовых услуг в юридический компании DLA Piper, а в прошлом – глава департамента контроля в британском Управлении по финансовым услугам.

На протяжении последних нескольких лет многие крупные американские банки вложили колоссальные ресурсы в тестирование модели, но по признанию многих, им по-прежнему не хватает персонала. Такой ответ может быть симптомом того, что они ожидают слишком многого от второй линии. Однако директор Larocourt Risk Management и экс-председатель Института операционных рисков Эдвард Сэнки (Edward Sankey) говорит, что “отправной точкой для второй линии является то, что она должна выполнять минимум, а после - чуть больше”. Он говорит, что в банках нагружают на вторую линию защиты слишком многое, а те, кто в ней находятся - напротив, хотят взять на себя слишком многое, чтобы доказать собственную полезность, поэтому, если не соблюдать осторожность, вторая линия может распространиться на всю организацию.

Про нее также стоит сказать, что работающим здесь людям необходимо не просто обладать авторитетом, чтобы бросать вызов главам бизнес-направлений, но также иметь связь со старшими управляющими на уровне совета директоров, чтобы понимать общую склонность к риску всей организации, и само собой - чтобы обеспечить понимание используемых основ контроля риска членами совета. Старшие управляющие рисками в частных беседах иногда сознаются, что на второй линии в отдельных областях на своих местах сидят люди, которые ранее риски на себя никогда не брали, в результате чего их часто обвиняют в том, что у них отсутствует общий язык с представителями первой линии защиты. В прошлом эти две группы людей вообще противопоставлялись друг другу, и будет просто наивным полагать, что такое представление автоматически исчезнет только благодаря внедрению модели 3LOD.

Очень многие, как это уже показывают примеры названных выше банков, считают, что распределение ролей нужно осуществлять на основе деятельности или выполняемой функции, а не на основе того, кто где сидит в корпоративной структуре. В этой связи возникает вопрос: на первой линии защиты люди сидят в зависимости от организационной структуры или же в зависимости от вида деятельности, которую они выполняют? Само собой разумеется, если речь идет о принятии на себя рисков, то оно должно в развитых организациях зависеть от деятельности, а не структуры.

Может быть, именно поэтому банк HSBC в попытке добавить ясности и прозрачности выделил пять основных ролей на линиях защиты 1 и 2 – и распределил роли соответствующим образом. Например, у него имеются так называемые “держатели” (“owners”) риска на первой линии – те, кто отвечает за ежедневное управление рисками, “держатели” инструментов контроля на первой линии - те, кто несет ответственность за управление ключевыми ролями на уровне всей организации, и управляющие инструментами контроля бизнес рисков, которые помогают с оценкой инструментов контроля рисками на первой линии. На второй линии защиты у них есть “наблюдатели” (“stewards”) за риском и “распорядители” (“officers”), отвечающие за разработку общей политики в отношении операционного риска. Такой более тонкий подход к внедрению модели 3LOD в банке HSBC подчеркивает одну из ключевых проблем изначальной концепции: она носит слишком предписательный характер и не ставит под сомнение универсальность своего применения – в том числе для крупнейших международных банков и развитым розничным бизнесом и рыночными операциями.

3 LOD пытались сделать обязательной для всех компаний вне зависимости от различий в размерах, видах бизнеса или географического местоположения. Но находится ли какая-то определенная функция на первой или же на второй линии, будет варьироваться от одного банка к другому, и от банка к более крупной или более мелкой компании. Компаниям необходимо дать возможность внедрять правила так, как они их видят”, - сказал неназванный управляющий операционными рисками одного британского банка.

Изменения “из-под палки”

По секрету в приватных беседах многие старшие риск-менеджеры признаются, что после кризиса все изменения в корпоративной культуре и образе мыслей, которые якобы или в самом деле имели место, произошли в результате ужесточения регулирующей политики со стороны надзорных органов, а отнюдь не благодаря инициативам, подобным модели трех линий защиты. В конце концов, и после кризиса крупнейшие мировые банки продолжали штрафовать на огромные суммы, общая величина которых оценивается примерно в 320 млрд. долларов. И это лишь вершина айсберга. По данным международной ассоциации специалистов в области управления операционными рисками ORX, в период с 2011 по 2016 год произошло 347 498 отдельных случаев потерь в 88 банках, общая сумма которых составила 200 млрд. евро (в нее вошли штрафы, но кроме них – также все потери, имеющие самые различные причины, от хищений на рабочем месте до кибератак).

Еще одно важное замечание со стороны непримиримых критиков модели 3LOD заключается в том, что хотя ключевые принципы ее в целом верны, до сих пор ей еще не удалось в действительности повысить персональную ответственность. Колин Лоренс (Colin Lawrence), директор специализирующейся на рисках консалтинговой компании (Lawrence & Associates)¸ говорит, что трактовка модели большинством банков оказывается по итогу слишком строгой, но вместе с тем это не обеспечивает старших управляющих достаточной информацией, чтобы на ее основе можно было построить адекватные рычаги контроля. Он отмечает, что вторая и третья линия пребывают в виде отдельных “кластеров”, но риск ведь проявляет себя в виде цепочки, проходящей через все подразделения, поэтому нужен интегрированный подход, охватывающий их все. Поэтому и старших управляющих необходимо “вытащить” из их подразделений и поставить на вторую линию, которая проходит через всю банковскую организацию.

По мнению Лоренса, слишком часто модель трех линий защиты сводится к слепому “проставлению галочек” ради выполнения требований – обвинение, которое довольно часто приходится слышать и в отношении многих других аспектов деятельности любой организации, например, подготовки отчетности. Банки возражают, что это не так, и что все зависит от конкретного банка, а также указывают, что даже те, кто действительно слепо следует требованиям, тоже имеет от этого хоть какую-то пользу. “Смотрите – регуляторы определили здесь темп. Это ведь произошло не так, как если бы группа исполнительных директоров собралась вместе и заявила: “Нам в самом деле это нужно”. Начать с того, что многие структуры риска заставили в спешке реагировать на бомбардировку регулирующих инициатив. Однако, похоже, что мы постепенно двигаемся по направлению к зрелой модели: я бы сказал, что мы прошли около 80%, по сравнению с 30% три или четыре года назад”, - делится по этому поводу мыслями старший управляющий рисками неназванного американского банка.

Есть мнение, причем довольно распространенное, что в случае правильного использования модели она поможет предотвратить случаи несанкционированной торговли, подобные многим из тех, что случались в последние годы. Таким трейдерам придется прорываться через три линии обновленных механизмов контроля, однако следует помнить, что никакая другая система в банке не является столь важной, как общая культура в отношении рисков и моральные ценности. Чтобы личная ответственность что-то значила, банкиры должны в самом деле сталкиваться с жесточайшими последствиями своих провалов и нарушений. “Руководители бизнеса обязаны в полной мере отвечать и за деловые, и за операционные риски. Действующий в Британии режим для старших управляющих – это отличный базис. Любая небрежность в соблюдении контроля операционных рисков (несоответствие, несанкционированная торговля, хищение, конфликт интересов, введение в заблуждение) ведет к тому, что менеджеров привлекают к ответственности через правовую систему”, - отмечает Лоренс.

3 линия

И в заключение несколько слов о третьей линии – внутреннем аудите. Внутренние аудиторы могут считать себя счастливчиками, поскольку в отношении их основных задач расхождений по минимуму. Все, что они должны делать – это держать под контролем первые две линии и писать “отчеты о вскрытии” после действительно серьезных провалов функционирования механизмов контроля. В результате здесь меньше всего неясностей относительно их основных обязанностей.

Другой вопрос, действительно ли у каждого банка достаточно людей для выполнения этих задач в нужном объеме. По аналогии со второй линией, здесь тоже у многих возникает опасение, что у них просто нет в достаточном количестве старших управляющих нужного уровня подготовки, чтобы все контролировать. Интересно в этой связи наблюдать за изобретательными инициативами по коллективному решению проблем, к которым прибегают некоторые банки. Для примера, специалисты по рыночным рискам на третьей линии защиты в одном из европейских банков не так давно созвали совместную встречу внутренних аудиторов из других крупных банков, дабы обменяться мыслями по поводу основных проблем на третьей линии и их возможными решениями. Участвовали также специалисты по рыночным рискам из второй линии. Если удастся сделать такие сборы регулярными, это может со временем развиться в коллективный банковский форум по стратегическому решению проблем совместными силами различных агентов рыночных рисков – считает неназванный менеджер того самого европейского банка, который созвал встречу.

В заключение также стоит отметить, что Институт внутренних аудиторов (IIA) в сентябре прошлого года обновил свой Кодекс финансовых услуг (Financial Services Code), наделив тем самым внутренних аудиторов расширенными обязанностями в рамках третьей линии защиты. Так, теперь внутренние аудиторы обязаны после любых значительных нарушений проводить анализ действий, предпринятых различными участниками функционального процесса (и своей собственной надзорной роли в том числе), и докладывать обо всем комитетам по риску или аудиту в составе совета правления. Кроме того, Кодекс подчеркивает неприемлемость излишнего доверия или слепого принятия во внимание внутренними аудиторами результатов работы других подразделений при подготовке таких отчетов для совета директоров, что должно способствовать большей их независимости.

Теги: 3 линии защиты  операционные риски  модель трех линий защиты  корпоративная культура  3LOD  3 Lines of Defense  внутренний аудит  внутренние аудиторы  первая линия защиты  вторая линия защиты  третья линия защиты