Практические аспекты формирования консолидированной базы событий комплаенс-риска в холдинге (группе компаний)

Внутренний аудит и внутренний контроль

Автор:
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 12 февраля 2021

Обычно компании различных отраслей практикуют ведение базы рисков, на основании которой формируется карта рисков. База рисков может содержать совокупную информацию обо всех рисках, присущих деятельности компании, а также формироваться в разрезе видов рисков: в частности, комплаенс-риска. В этой статье мы рассмотрим практику формирования консолидированной базы событий комплаенс-риска [1] с учетом специфики холдинга (группы компаний).

В настоящее время существует практика ведения отдельной базы событий комплаенс-риска; вместе с тем, есть компании, формирующие единую базу событий операционного и комплаенс-риска. Обязательное формирование базы комплаенс-риска (как отдельной базы, так и в составе базы операционного риска) должно присутствовать, например, в коммерческих банках и небанковских кредитных организациях. У каждого из подходов есть свои плюсы и минусы, однако основное различие заключается в том, что при формировании отдельной базы комплаенс-риска реализуется возможность применения отдельной методики оценки риска, не связанной с подходами к оценке операционного риска.

В зависимости от уровня зрелости в компаниях функционируют подразделения внутреннего аудита, внутреннего контроля и управления рисками, которые в том числе осуществляют ведение баз данных в рамках своей деятельности: служба внутреннего аудита – базы данных о проведенных аудитах и консультационных услугах, выявленных в ходе аудитов рисков, планах мероприятий по устранению нарушений и недостатков; служба внутреннего контроля – базы данных о результатах проведенных контрольных процедур и базы событий комплаенс-рисков; служба управления рисками – базы данных операционных рисков, базы рисков компании и т.д.

В целях формирования баз подразделениям необходимо обмениваться данными в рамках запросов, либо на периодической основе в виде отдельных выгрузок. Также могут применяться различные программные комплексы для ведения баз данных: как специализированные (программы для проведения аудита, SAS и др.), так и программы Microsoft Office (формат Excel и Access).

Такова среднестатистическая ситуация в отдельной компании. А если обратиться к практике группы компаний (холдингу), то количество формируемых баз данных подразделениями внутреннего аудита, контроля и управления рисками вырастает в геометрической прогрессии.

При этом доступ к базам данных, как правило, жестко ограничен в силу конфиденциальности информации, а формирование консолидированной базы в разовом порядке требует значительных временных затрат.

Таким образом, достаточно часто отсутствует возможность формирования полной картины происходящего в области управления комплаенс-риском в группе компаний/ холдинге в режиме онлайн. А современные подходы в части интеграции управления рисками со стратегией и эффективностью деятельности компании/ группы компаний/ холдинга делают необходимым условием использование консолидированных данных о рисках компании/ группы компаний/ холдинга (в том числе в разрезе отдельных видов риска).

Рассмотрим более детально этапы реализации решения по формированию консолидированной базы комплаенс-риска группы компаний:

1. Принятие решения о формировании консолидированной базы комплаенс-риска

Казалось бы, это самый простой и логичный этап. Однако опыт внедрения показывает, что это решение требует как особого дара убеждения, так и определенного времени «созревания» руководителей подразделений аудита, контроля и управления рисками разных компаний группы/ холдинга для принятия необходимости такого решения.

Основное условие, озвучиваемое руководителями подразделений: применяемый формат базы данных подразделения должен остаться без изменений. А для целей консолидированной базы нужно обеспечить автоматический импорт данных из каждой базы; соответственно, необходима унификация формата.

На первом этапе целесообразно определить основного драйвера процесса – подразделение/ сотрудников, которые фактически станут проектными менеджерами по реализации данного проекта. В качестве проектного менеджера может выступать руководитель и сотрудники подразделения, ответственного за формирование базы комплаенс-риска компании (например, подразделение службы внутреннего контроля в банке, входящем в банковский холдинг), либо возможно выделение отдельного сотрудника из числа риск-офицеров группы.

Залогом успеха является обратная связь от всех заинтересованных подразделений на каждом этапе реализации проекта.

На первом этапе также целесообразно получение обратной связи от менеджмента группы/ холдинга в части понимания необходимости и эффекта консолидированной базы комплаенс-риска (например, на уровне менеджера по вопросам внутреннего контроля и управления рисками).

2. Определение формата консолидированной базы комплаенс-риска

На данном этапе требуется сформировать минимальный набор данных для целей выявления, учета, оценки, мониторинга событий комплаенс-риска с учетом практики формирования базы комплаенс-риска.

В случае, если в группе компаний/ холдинге утверждены общие для группы/ холдинга внутренние документы (политика, регламент, положение об управлении комплаенс-риском), регулирующие управление комплаенс-риском, то необходимо обеспечить соответствие формата консолидированной базы комплаенс-риска формату, определенному в указанных документах (при необходимости, внести соответствующие изменения во внутренние документы).

В качестве примера формата базы данных можно привести следующие данные:

  • уникальный идентификатор события риска
  • дата
  • вид контроля
  • риск
  • описание события риска;
  • бизнес-процесс
  • подразделение
  • компания
  • уровень риска
  • вид потерь
  • сумма потерь
  • последствия/перспективы/санкции
  • доля в общем объеме риск-аппетита по комплаенс-риску (при наличии установленного размера)
  • план мероприятий по митигации риска (мероприятие, ответственное подразделение, план/ факт срока исполнения, статус исполнения), решение о принятии риска менеджментом, решение о прекращении вида деятельности, операции (при наличии решения).

Предложения по формату консолидированной базы данных согласовываются с представителями заинтересованных подразделений - участников процесса.

3. Определение правил соответствия данных

На данном этапе необходимо проанализировать существующие форматы всех применяемых подразделениями баз данных.

Целесообразно реализацию третьего этапа осуществлять параллельно второму этапу, поскольку это позволяет определить оптимальную структуру импортируемых данных.

Для этого запрашиваются выгрузки баз данных, проводится анализ каждой исходной базы данных на предмет соответствия ячейки исходной базы данных соответствующей ячейке консолидированной базы комплаенс-риска. Минимальные данные определяются по принципу «что, где, когда»: описание события риска (например, установленное нарушение в ходе аудита), в каком подразделении установлено (вид деятельности, бизнес-процесс, операции и т.д.), когда реализовано и выявлено.

Желательно обеспечить импорт исходных данных в части оценки риска (принимая во внимание, что оценка может быть изменена в результате оценки в соответствии с утвержденной методикой по оценке комплаенс-риска группы компаний/ холдинга).

Обязательными для импорта являются данные о планах мероприятий по управлению риском, по устранению нарушений/ недостатков с учетом наличия детализации информации об ответственных за реализацию мероприятий, сроках реализации и т.д.

Существенный аспект – обеспечить договоренность с заинтересованными подразделениями на введение временного моратория на изменение форматов исходных баз данных.

4. Детализация данных консолидированной базы комплаенс-риска

По итогам реализации второго и третьего этапов необходимо определить для каждого столбца консолидированной базы комплаенс-риска допустимый выбор значения ячейки: выплывающий список с возможностью выбора, выбор даты из календаря, перечень контрольных подразделений и надзорных органов, выявивших риск, перечень направлений деятельности, перечень подразделений компаний (организационная структура), возможность ввода текстовых данных (с ограничением количества символов) – для описания события риска.

Перечни для выбора допустимых значений должны соответствовать подходам и критериям оценки комплаенс-риска, закрепленным внутренними документами группы/ холдинга.

Следует предусмотреть уникальный идентификатор каждого события комплаенс-риска, поскольку это обеспечивает возможность последующего обновления данных по конкретному событию (для исключения дублирования событий), а также определить порядок обновления данных в базе.

По результатам четвертого этапа необходима обратная связь от заинтересованных подразделений.

5. Принятие решения о выборе программного комплекса

На данном этапе проводится анализ формата выгрузки информации из каждой базы данных, возможность и периодичность автоматической выгрузки информации, возможность прямого импорта данных.

Например, база данных службы внутреннего аудита ведется в специализированном программном комплексе, который позволяет формировать выгрузки в формате Excel, а база данных службы внутреннего контроля формируется только в Excel. Соответственно, при принятии решения о выборе программного продукта стоит рассматривать возможность применения программ, поддерживающих импорт данных в/из Excel.

Второй аспект, который необходимо учитывать, – каким образом будет осуществляться автоматизация процесса: силами специалистов подразделений внутреннего аудита, контроля, управления рисками, либо ИТ-специалистов компании, либо путем привлечения ИТ-компании для оказания аутсорсинговых услуг.

Результатом реализации пятого этапа является выбор решения и акцептование его менеджментом группы/ холдинга (с учетом бюджета проекта).

В частности, по результатам анализа всех применяемых программ для формирования баз данных и текущей занятости ИТ-специалистов в проектах группы компаний может быть сделан выбор в пользу привлечения на аутсорсинг компании для реализации проекта на платформе специализированной программы, используемой для управления операционными рисками.

6. Реализация проекта по автоматизации формирования консолидированной базы комплаенс-риска

Фактически этот этап включает в себя все основные этапы проекта по автоматизации процесса:

  1. Разработка технического задания (ТЗ)
  2. Согласование бюджета проекта
  3. Проведение тендерных процедур (при аутсорсинге)
  4. Оформление комплекта договорной документации (при аутсорсинге), контроль платежей в ходе реализации проекта
  5. Рабочие встречи, конф-коллы в рамках реализации проекта
  6. Тестирование по факту реализации
  7. Доработки по результатам тестирования
  8. Написание руководства пользователя
  9. Ввод в практическую эксплуатацию.

Однако, есть ряд аспектов, на которые следует обратить внимание (как говорится, основываясь на реальных событиях):

  • Нужен жесткий график реализации проекта и не менее жесткий контроль сроков реализации.
  • Активная обратная связь от всех задействованных в реализации проекта подразделений, компаний и сотрудников.
  • Оперативная отработка всех вопросов и предложений со стороны ИТ-специалистов (представителей привлеченной на аутсорсинг компании) проектным менеджером (зачастую приходится менять ТЗ проекта, а иногда и понимать, что не все можно сделать в таком виде, как планировали).
  • При возникновении изменений следует определять приоритеты, поскольку одна из целей – максимально возможная минимизация ручного ввода данных.

7. Ведение консолидированной базы комплаенс-риска

На данном этапе обеспечивается доступ пользователей к консолидированной базе комплаенс-риска, определяются администраторы базы, осуществляющие поддержку пользователей.

В соответствии с функциональными обязанностями сотрудников и подразделений осуществляется эксплуатация консолидированной базы комплаенс-риска.

В заключение кратко сформулируем основные преимущества применения консолидированной базы комплаенс-риска:

  • Реализация возможности формирования реального представления о текущем уровне компленс-риска как в целом по группе компаний/ холдингу, так и в разрезе отдельных операций и видов деятельности, территорий присутствия компаний (государств).
  • Принятие решений в части управления комплаенс-риском с учетом риск-аппетита группы компаний/ холдинга.
  • Возможность управления комплаенс-риском с обеспечением интеграции со стратегией и эффективностью деятельности группы компаний/ холдинга.
  • Обеспечение прозрачности процедур управления комплаенс-риском группы компаний/ холдинга как для подразделений второго и третьего уровней защиты, так и для менеджмента, в том числе в части полноты и сроков реализации мероприятий по управлению риском.
  • Возможность координации планирования контрольных процедур и аудита с целью обеспечения риск-ориентированного аудита и контроля в соответствии со стратегией и эффективностью деятельности группы компаний/ холдинга.
  • Возможность применения данных для целей проведения стресс-тестирования.
  • Наличие единых унифицированных критериев для всех компаний группы/ холдинга, что является существенным в компаниях, реализующих свою деятельность и управление бизнесом с применением технологий Agile, Scrum, Collab.

В качестве плюсов практического применения следует также отметить возможность обеспечения удаленного доступа пользователей к консолидированной базе комплаенс-риска, что особенно ценно в текущих условиях дистанционной работы сотрудников компаний.

При наличии положительного опыта возможно практическое применение изложенных подходов для целей формирования консолидированных баз других видов риска и карты рисков группы компаний/ холдинга в целом.

В качестве дальнейших перспектив можно рассматривать вопрос внедрения машинного обучения при формировании консолидированной базы комплаенс-риска


[1] Термин «комплаенс-риск» используется в значении риска применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации в результате несоблюдения норм, касающихся бизнес-деятельности

Автор:

Теги: комплаенс-риск  база событий  оценка риска  операционный риск  внутренний аудит  внутренний контроль  управление рисками  служба внутреннего аудита  аудит рисков  служба управления рисками  группа компаний  холдинг  консолидированная база комплаенс-риска