Под кредитным риском понимается вероятность потерь банка из-за неспособности либо нежелания клиента выполнить свои обязательства по договору (как по основному долгу, так и по просроченным процентам). Кредитный риск возникает каждый раз, когда банк инвестирует денежные средства или принимает обязательства по их предоставлению. При этом неважно, как эти суммы отражаются, – в составе активов на балансе или как условные обязательства вне баланса. Таким образом, все выданные кредиты и предоставленные банковские гарантии несут для банка кредитный риск. Для оценки этого риска был выработан следующий подход, основанный на собственной рейтинговой системе. В этом смысле он несколько перекликается с методом оценки кредитного риска на основе внутренних рейтингов Базеля 2 (internal rating-based approach). Система позволяет на основании ряда параметров (финансового положения, размера заемщика, его положения на рынке, кредитной истории) оценить вероятность дефолта заемщика (probability of default), а затем вычислить уровень ожидаемых потерь по кредиту с учетом качества обеспечения сделки (recovery rate). Это и будет денежным измерением кредитного риска (credit risk exposure – CR). Следовательно, общий уровень кредитного риска, присущего кредитному портфелю, будет равен сумме ожидаемых потерь по каждой ссуде:
Размер ожидаемых потерь определяется на основе регрессионного анализа статистики накопленных дефолтов.
Регрессионный анализ – это метод математической статистики, который позволяет установить выражение зависимости между исследуемыми признаками: результативными и факторными. В данном случае результативным признаком будет факт дефолта компании, а факторными признаками – причины этого дефолта.
Стратегический риск и риск потери репутации исключены Базелем 2 из понятия операционных рисков. В экстремальных случаях они могут быть вызваны кредитованием (например, волна дефолтов заемщиков вследствие кризиса). Но в связи с тем, что эти риски неизбежно повлияют на весь банк, они рассматриваются отдельно.
Одной из основных задач внутреннего аудита является оценка эффективности системы управления рисками организации.
После проверки можно дать оценку системы внутреннего контроля в разрезе рисков, свойственных проверенной области. О подходах к решению данной задачи при проведении внутреннего аудита процесса корпоративного кредитования и пойдет речь в данной статье.
Для эффективного решения поставленной задачи в нашей компании была разработана унифицированная методика, внедренная непосредственно в программу аудита. Она позволяет оценивать риски, исходя из выявленных нарушений и недостатков контроля.
Суть методики
При разработке методики, помимо общих задач внутреннего аудита, была поставлена еще одна: возможность интегрирования результатов, полученных после оценки рисков процесса, в матрицу рисков всего банка. Эта матрица дает собственникам, менеджменту и аудиторскому комитету наглядное представление об эффективности внутреннего контроля и уровне рисков в различных функциональных областях деятельности банка. То есть буквально на одном листе формата А4 можно увидеть состояние всех функциональных областей в разрезе присущих им рисков и определить наиболее проблемные зоны.
Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу «пока гром не грянет, мужик не перекрестится»: бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.
Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.
