Практические аспекты формирования консолидированной базы событий комплаенс-риска в холдинге (группе компаний)


Печать	Рассылка

Налогообложение Налоговые отношения с участием иностранных организаций в РФ, оффшоры Практические советы Налоговый учет Статьи и аналитические материалы по Налогам GAAP & IAS Что такое ГААП США (US GAAP) ? US GAAP: Перевод отчетности в иностранной валюте Изучение GAAP: основы основ. Курс лекций Как я изучал GAAP Сравнительный учет: US GAAP & Российский учет Учетная политика Сравнительный учет: IAS & US GAAP МСФО по-украински: официальный перевод международных стандартов Нефтегазодобывающая отрасль МСФО для добывающей отрасли UK GAAP Что такое GERMAN GAAP (Немецкий учет)? Немецкое балансоведение IPSAS - международные стандарты для госорганов Сравнительный учет: МСФО и Российский учет IFRS 15 Выручка по договорам с клиентами IAS 21 Влияние изменений валютных курсов IAS 34 Промежуточная финансовая отчетность IFRS 2 Выплаты на основе долевых инструментов Обзор МСФО IAS 10 События после окончания отчетного периода IAS 11 Договоры на строительство IFRS 16 Аренда IAS 23 Затраты по займам IAS 36 Обесценение активов IFRS 3 Объединения бизнесов Подготовка международной отчетности IAS 16 Учет и отчетность по пенсионным планам IAS 12 Налоги на прибыль IAS 14 Сегментная отчетность IFRS 14 Счета отложенных тарифных разниц IAS 24 Раскрытие информации о связанных сторонах IAS 37 Оценочные обязательства, условные обязательства и условные активы IFRS 5 Долгосрочные активы, предназначенные для продажи, и прекращенная деятельность Разработка законодательство по МСФО IAS 31 Участие в совместном предпринимательстве IAS 16 Основные средства IAS 27 Консолидированная и отдельная финансовая отчетность IAS 38 Нематериальные активы IFRS 6 Разработка и оценка минеральных ресурсов МСФО в некоммерческих организациях IAS 1 Представление финансовой отчетности IAS 37 Резервы, условные обязательства и условные активы IFRS 4 / IFRS 17 Договоры страхования IAS 17 Аренда IAS 28 Инвестиции в ассоциированные и совместные предприятия IAS 39 Финансовые инструменты: признание и оценка IFRS 7 Финансовые инструменты: раскрытие информации Аудит. Управленческий учет. Статистика IAS 2 Запасы Разъяснения и Интерпретации к МСФО IAS 18 Выручка IAS 29 Финансовая отчетность в гиперинфляционной экономике IAS 40 Инвестиционное имущество IFRS 8 Операционные сегменты IFRS 9 Финансовые инструменты IFRS 6 Разработка и оценка минеральных ресурсов IFRS 13 Оценка справедливой стоимости IAS 19 Вознаграждения работникам IAS 32 Финансовые инструменты: раскрытие и представление информации IAS 41 Сельское хозяйство МСФО для страхового сектора IFRS 10 Консолидированная финансовая отчетность IAS 7 Отчеты о движении денежных средств IAS 26 Учет и отчетность по пенсионным планам IAS 20 Учет государственных субсидий и раскрытие информации о государственной помощи IAS 33 Прибыль на акцию IFRS 1 Первое применение Международных Стандартов Финансовой Отчетности Трансформация отчетности по МСФО IFRS 11 Совместная деятельность IAS 8 Учетная политика, изменения в расчетных оценках и ошибки Переход на МСФО в других странах мира Азиатская модель Расширенная корпоративная отчетность. Отчетность устойчивого развития Учебные пособия по МСФО Учебное пособие по МСФО и их использования в рамках проекта ТАСИС "Водные пути России" Руководство по трансформации на МСФО (новый план счетов РБ) Вводный курс по МСФО Реформа бухгалтерского учета и отчетности II Экзамен DipIFR-Rus (2012) Работа с финансовыми отчетами по МСФО Системы профессионального образования в России, Великобритании и в мире Разработка стратегии поддержки российских предприятий при их переходе на МСФО Экзамен DipIFR-Rus (2013) МСФО, редакция 2001г. Курс по методике IAB/Основы бухгалтерского учета по МСФО Активы Идеологические статьи по МСФО Революция в корпоративной отчетности IAS: искусство иллюзии Идеология МСФО и US GAAP Особенности учета на постсоветском пространстве Особенности банковской отчетности Банковский бизнес в России и зарубежом Учебные пособия по МСФО в рамках проекта "Реформа бухгалтерского учета и отчетности II" Отрывки из книг Software Российский бухучет Авторские разделы Андрей Лукашов Инвестиции Корпоративные финансы Станислав Воронин Вячеслав Колесов Теория и практика международного учёта и отчётности. Учебное пособие Игорь Аверчев Готовимся к экзамену «CFA - 1 уровень» вместе US GAAP, UK GAAP, IFRS (МСФО) - Татьяна и Сергей Максимовы Вареня Вячеслав Алексеевич Видеоинтервью и вебинары Анвар Алимжанович Бакиев Партнерам Ольга Овчаренко Эксперты Московской коллегии адвокатов «ГРАД» Аудит Внутренний аудит и внутренний контроль Аудиторские компании Deloitte BDO СТЕК Ernst & Young Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Управленческий учет Идеология Контроллинг Управленческий учет в контексте стратегического менеджмента Бюджетирование Практика Зарубежный опыт Предприятие как система создания ценности Инвестиции Отрывки из книг IPO: стратегия, перспективы и опыт российских компаний Прямые и венчурные частные инвестиции в России Практическое пособие по IPO (первоначальное публичное предложение) Оценка стоимости в венчурном инвестировании и при выходе на рынок IPO Инвестиционные проекты и предложения Личные финансы Российский опыт Зарубежный опыт Другие вопросы Информационный бюллетень Корпоративные финансы Коротко о главном Слияния и поглощения Анализ финансовых отчетов Финансовый менеджмент Финансовый Анализ Международные стандарты оценки - International Valuation Standards (IVS) Оценка бизнеса Финансовая математика/статистика Лизинг Рынок ценных бумаг. IPO, ICO, IEO Базовый курс по информативности отчетов о движении денежных средств Сбалансированная система показателей Статьи Отрывки из книг Интервью, материалы прессы Менеджмент Практика Коротко о важном Корпоративное право Управление рисками Управление качеством Корпоративное управление Корпоративные рейтинги Стратегическое управление Кадровый менеджмент Статьи	Внутренний аудит и внутренний контроль Аудиторские компании Deloitte BDO СТЕК Ernst & Young Журнал «Аудитор» 2002 г. 2011 г. Теория аудита, аналитические статьи, рейтинги Методические рекомендации в рамках проекта ТАСИС «Реформа Российского Аудита» Практические материалы с конференций по аудиту Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2004 Международные стандарты аудита (ISA, SAS) Аудит	Внутренний аудит и...

Автор: Элла Евдокимова, руководитель службы внутреннего контроля коммерческого банка, член Ассоциации «Институт внутренних аудиторов»
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 12 Февраля 2021

Обычно компании различных отраслей практикуют ведение базы рисков, на основании которой формируется карта рисков. База рисков может содержать совокупную информацию обо всех рисках, присущих деятельности компании, а также формироваться в разрезе видов рисков: в частности, комплаенс-риска. В этой статье мы рассмотрим практику формирования консолидированной базы событий комплаенс-риска [1] с учетом специфики холдинга (группы компаний).

В настоящее время существует практика ведения отдельной базы событий комплаенс-риска; вместе с тем, есть компании, формирующие единую базу событий операционного и комплаенс-риска. Обязательное формирование базы комплаенс-риска (как отдельной базы, так и в составе базы операционного риска) должно присутствовать, например, в коммерческих банках и небанковских кредитных организациях. У каждого из подходов есть свои плюсы и минусы, однако основное различие заключается в том, что при формировании отдельной базы комплаенс-риска реализуется возможность применения отдельной методики оценки риска, не связанной с подходами к оценке операционного риска.

В зависимости от уровня зрелости в компаниях функционируют подразделения внутреннего аудита, внутреннего контроля и управления рисками, которые в том числе осуществляют ведение баз данных в рамках своей деятельности: служба внутреннего аудита – базы данных о проведенных аудитах и консультационных услугах, выявленных в ходе аудитов рисков, планах мероприятий по устранению нарушений и недостатков; служба внутреннего контроля – базы данных о результатах проведенных контрольных процедур и базы событий комплаенс-рисков; служба управления рисками – базы данных операционных рисков, базы рисков компании и т.д.

В целях формирования баз подразделениям необходимо обмениваться данными в рамках запросов, либо на периодической основе в виде отдельных выгрузок. Также могут применяться различные программные комплексы для ведения баз данных: как специализированные (программы для проведения аудита, SAS и др.), так и программы Microsoft Office (формат Excel и Access).

Такова среднестатистическая ситуация в отдельной компании. А если обратиться к практике группы компаний (холдингу), то количество формируемых баз данных подразделениями внутреннего аудита, контроля и управления рисками вырастает в геометрической прогрессии.

При этом доступ к базам данных, как правило, жестко ограничен в силу конфиденциальности информации, а формирование консолидированной базы в разовом порядке требует значительных временных затрат.

Таким образом, достаточно часто отсутствует возможность формирования полной картины происходящего в области управления комплаенс-риском в группе компаний/ холдинге в режиме онлайн. А современные подходы в части интеграции управления рисками со стратегией и эффективностью деятельности компании/ группы компаний/ холдинга делают необходимым условием использование консолидированных данных о рисках компании/ группы компаний/ холдинга (в том числе в разрезе отдельных видов риска).

Рассмотрим более детально этапы реализации решения по формированию консолидированной базы комплаенс-риска группы компаний:

1. Принятие решения о формировании консолидированной базы комплаенс-риска

Казалось бы, это самый простой и логичный этап. Однако опыт внедрения показывает, что это решение требует как особого дара убеждения, так и определенного времени «созревания» руководителей подразделений аудита, контроля и управления рисками разных компаний группы/ холдинга для принятия необходимости такого решения.

Основное условие, озвучиваемое руководителями подразделений: применяемый формат базы данных подразделения должен остаться без изменений. А для целей консолидированной базы нужно обеспечить автоматический импорт данных из каждой базы; соответственно, необходима унификация формата.

На первом этапе целесообразно определить основного драйвера процесса – подразделение/ сотрудников, которые фактически станут проектными менеджерами по реализации данного проекта. В качестве проектного менеджера может выступать руководитель и сотрудники подразделения, ответственного за формирование базы комплаенс-риска компании (например, подразделение службы внутреннего контроля в банке, входящем в банковский холдинг), либо возможно выделение отдельного сотрудника из числа риск-офицеров группы.

Залогом успеха является обратная связь от всех заинтересованных подразделений на каждом этапе реализации проекта.

На первом этапе также целесообразно получение обратной связи от менеджмента группы/ холдинга в части понимания необходимости и эффекта консолидированной базы комплаенс-риска (например, на уровне менеджера по вопросам внутреннего контроля и управления рисками).

2. Определение формата консолидированной базы комплаенс-риска

На данном этапе требуется сформировать минимальный набор данных для целей выявления, учета, оценки, мониторинга событий комплаенс-риска с учетом практики формирования базы комплаенс-риска.

В случае, если в группе компаний/ холдинге утверждены общие для группы/ холдинга внутренние документы (политика, регламент, положение об управлении комплаенс-риском), регулирующие управление комплаенс-риском, то необходимо обеспечить соответствие формата консолидированной базы комплаенс-риска формату, определенному в указанных документах (при необходимости, внести соответствующие изменения во внутренние документы).

В качестве примера формата базы данных можно привести следующие данные:

уникальный идентификатор события риска
дата
вид контроля
риск
описание события риска;
бизнес-процесс
подразделение
компания
уровень риска
вид потерь
сумма потерь
последствия/перспективы/санкции
доля в общем объеме риск-аппетита по комплаенс-риску (при наличии установленного размера)
план мероприятий по митигации риска (мероприятие, ответственное подразделение, план/ факт срока исполнения, статус исполнения), решение о принятии риска менеджментом, решение о прекращении вида деятельности, операции (при наличии решения).

Предложения по формату консолидированной базы данных согласовываются с представителями заинтересованных подразделений - участников процесса.

3. Определение правил соответствия данных

На данном этапе необходимо проанализировать существующие форматы всех применяемых подразделениями баз данных.

Целесообразно реализацию третьего этапа осуществлять параллельно второму этапу, поскольку это позволяет определить оптимальную структуру импортируемых данных.

Для этого запрашиваются выгрузки баз данных, проводится анализ каждой исходной базы данных на предмет соответствия ячейки исходной базы данных соответствующей ячейке консолидированной базы комплаенс-риска. Минимальные данные определяются по принципу «что, где, когда»: описание события риска (например, установленное нарушение в ходе аудита), в каком подразделении установлено (вид деятельности, бизнес-процесс, операции и т.д.), когда реализовано и выявлено.

Желательно обеспечить импорт исходных данных в части оценки риска (принимая во внимание, что оценка может быть изменена в результате оценки в соответствии с утвержденной методикой по оценке комплаенс-риска группы компаний/ холдинга).

Обязательными для импорта являются данные о планах мероприятий по управлению риском, по устранению нарушений/ недостатков с учетом наличия детализации информации об ответственных за реализацию мероприятий, сроках реализации и т.д.

Существенный аспект – обеспечить договоренность с заинтересованными подразделениями на введение временного моратория на изменение форматов исходных баз данных.

4. Детализация данных консолидированной базы комплаенс-риска

По итогам реализации второго и третьего этапов необходимо определить для каждого столбца консолидированной базы комплаенс-риска допустимый выбор значения ячейки: выплывающий список с возможностью выбора, выбор даты из календаря, перечень контрольных подразделений и надзорных органов, выявивших риск, перечень направлений деятельности, перечень подразделений компаний (организационная структура), возможность ввода текстовых данных (с ограничением количества символов) – для описания события риска.

Перечни для выбора допустимых значений должны соответствовать подходам и критериям оценки комплаенс-риска, закрепленным внутренними документами группы/ холдинга.

Следует предусмотреть уникальный идентификатор каждого события комплаенс-риска, поскольку это обеспечивает возможность последующего обновления данных по конкретному событию (для исключения дублирования событий), а также определить порядок обновления данных в базе.

По результатам четвертого этапа необходима обратная связь от заинтересованных подразделений.

5. Принятие решения о выборе программного комплекса

На данном этапе проводится анализ формата выгрузки информации из каждой базы данных, возможность и периодичность автоматической выгрузки информации, возможность прямого импорта данных.

Например, база данных службы внутреннего аудита ведется в специализированном программном комплексе, который позволяет формировать выгрузки в формате Excel, а база данных службы внутреннего контроля формируется только в Excel. Соответственно, при принятии решения о выборе программного продукта стоит рассматривать возможность применения программ, поддерживающих импорт данных в/из Excel.

Второй аспект, который необходимо учитывать, – каким образом будет осуществляться автоматизация процесса: силами специалистов подразделений внутреннего аудита, контроля, управления рисками, либо ИТ-специалистов компании, либо путем привлечения ИТ-компании для оказания аутсорсинговых услуг.

Результатом реализации пятого этапа является выбор решения и акцептование его менеджментом группы/ холдинга (с учетом бюджета проекта).

В частности, по результатам анализа всех применяемых программ для формирования баз данных и текущей занятости ИТ-специалистов в проектах группы компаний может быть сделан выбор в пользу привлечения на аутсорсинг компании для реализации проекта на платформе специализированной программы, используемой для управления операционными рисками.

6. Реализация проекта по автоматизации формирования консолидированной базы комплаенс-риска

Фактически этот этап включает в себя все основные этапы проекта по автоматизации процесса:

Разработка технического задания (ТЗ)
Согласование бюджета проекта
Проведение тендерных процедур (при аутсорсинге)
Оформление комплекта договорной документации (при аутсорсинге), контроль платежей в ходе реализации проекта
Рабочие встречи, конф-коллы в рамках реализации проекта
Тестирование по факту реализации
Доработки по результатам тестирования
Написание руководства пользователя
Ввод в практическую эксплуатацию.

Однако, есть ряд аспектов, на которые следует обратить внимание (как говорится, основываясь на реальных событиях):

Нужен жесткий график реализации проекта и не менее жесткий контроль сроков реализации.
Активная обратная связь от всех задействованных в реализации проекта подразделений, компаний и сотрудников.
Оперативная отработка всех вопросов и предложений со стороны ИТ-специалистов (представителей привлеченной на аутсорсинг компании) проектным менеджером (зачастую приходится менять ТЗ проекта, а иногда и понимать, что не все можно сделать в таком виде, как планировали).
При возникновении изменений следует определять приоритеты, поскольку одна из целей – максимально возможная минимизация ручного ввода данных.

7. Ведение консолидированной базы комплаенс-риска

На данном этапе обеспечивается доступ пользователей к консолидированной базе комплаенс-риска, определяются администраторы базы, осуществляющие поддержку пользователей.

В соответствии с функциональными обязанностями сотрудников и подразделений осуществляется эксплуатация консолидированной базы комплаенс-риска.

В заключение кратко сформулируем основные преимущества применения консолидированной базы комплаенс-риска:

Реализация возможности формирования реального представления о текущем уровне компленс-риска как в целом по группе компаний/ холдингу, так и в разрезе отдельных операций и видов деятельности, территорий присутствия компаний (государств).
Принятие решений в части управления комплаенс-риском с учетом риск-аппетита группы компаний/ холдинга.
Возможность управления комплаенс-риском с обеспечением интеграции со стратегией и эффективностью деятельности группы компаний/ холдинга.
Обеспечение прозрачности процедур управления комплаенс-риском группы компаний/ холдинга как для подразделений второго и третьего уровней защиты, так и для менеджмента, в том числе в части полноты и сроков реализации мероприятий по управлению риском.
Возможность координации планирования контрольных процедур и аудита с целью обеспечения риск-ориентированного аудита и контроля в соответствии со стратегией и эффективностью деятельности группы компаний/ холдинга.
Возможность применения данных для целей проведения стресс-тестирования.
Наличие единых унифицированных критериев для всех компаний группы/ холдинга, что является существенным в компаниях, реализующих свою деятельность и управление бизнесом с применением технологий Agile, Scrum, Collab.

В качестве плюсов практического применения следует также отметить возможность обеспечения удаленного доступа пользователей к консолидированной базе комплаенс-риска, что особенно ценно в текущих условиях дистанционной работы сотрудников компаний.

При наличии положительного опыта возможно практическое применение изложенных подходов для целей формирования консолидированных баз других видов риска и карты рисков группы компаний/ холдинга в целом.

В качестве дальнейших перспектив можно рассматривать вопрос внедрения машинного обучения при формировании консолидированной базы комплаенс-риска

[1] Термин «комплаенс-риск» используется в значении риска применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации в результате несоблюдения норм, касающихся бизнес-деятельности

Автор: Элла Евдокимова, руководитель службы внутреннего контроля коммерческого банка, член Ассоциации «Институт внутренних аудиторов»