Здравствуйте, уважаемые коллеги!<br><br>Я не имею сертификата CIA, и может быть мой вопрос Вам покажется глупым, но он связан с непониманием мнения коллеги, который уверяет меня в том, что очень хорошо знает модель COSO. <br><br>Суть дела. По мнению коллеги (на несколько уровней выше моего и старше), модель ERM COSO не применима для банков (в общем случае) в связи с ее принципиальным отличием от классической COSO (концепции о внутреннем контроле). По его мнению, это отличие заключается в том, что модель ERM COSO ориентирована на организации (не банки!), имеющие несколько глобальных бизнес-целей, и вытекающей из этого необходимостью выстраивания элементов системы ВК под каждую цель, тогда как банки "сильно зарегулированы" и не имеют (обычно) разнообразные бизнес-цели.<br>По моему мнению, отличие ERM COSO от классической COSO (1992г.) заключается в появлении новой категории целей - "стратегических", введении концепции риск-аппетита и т.п. Но никак не в части ориентированности на достижение одной или нескольких бизнес-целей.<br><br>Были и другие серьезные (принципиальные) разногласия в трактовке концепций, но об этом, если позволите, позже <br><br>Спасибо всем за внимание!
Пользователь
Сообщений: Регистрация: 17.01.2017
0
10.06.2008 11:58:26
А в чём вопрос? <br>Правильно ли понимает обе концепции Ваш коллега?<br>Или правильно ли их понимаете Вы?<br>Или кто правее в своём понимании?<br><br>Если вопрос в сравнении IA и ERM, то разработчики обрисовали различия в Приложении Ц к ERM. Различие примерно такое же как между автомобилем и его двигателем. <br><br>Единственное, с чем сразу не могу согласиться, так это с утверждением "модель ERM COSO не применима для банков". Просматривается в нём некоторый банковский шовинизм )<br>ERM можно применить к чему угодно. С точки зрения подхода, нет никакой разницы между банком и артелью землекопов.
Пользователь
Сообщений: Регистрация: 17.01.2017
0
11.06.2008 13:42:45
Вот видите, Вам, уважаемый AndPonom, это очевидно, что данная концепция может и с успехом применяется В БАНКАХ как более продвинутая версия модели COSO. И что эти самые различия прописаны в разделе С (В в русской сокращенной версии) указанного документа, и там ясно сказано, что риск-аппетит, о необходимости определения которого для Банка его владельцами он так много и убедительно говорит (при том что мне это было очевидно и много раньше) появился именно в документе ERM COSO, не применимом (по его мнению) для банков...<br><br>Будут ли еще мнения, отличные от высказанного мною и поддержанного коллегой AndPonom ? <br>
Пользователь
Сообщений: Регистрация: 17.01.2017
0
11.06.2008 14:16:44
Еще очень интересно:<br>1) кто - как интерпретирует понятие "внутренняя среда" и какие ключевые, базовые элементы системы внутреннего контроля выделяет;<br>2) насколько удобна и функциональна по Вашему мнению типовая модель карты рисков в виде двухмерной матрицы "Убытки -вероятность", и насколько существенно она должна быть переработана для практического применения в повседневной деятельности с учетом широкого спектра банковских операций.<br><br>Это вопросы дискуссионые, участие принимают все желающие, если таковые будут. И это только "для затравки".<br><br>Если я нарушил своим постом Правила форума и это будет расценено как флуд, прошу меня простить. Но для меня, молодого специалиста (24, опыт 2 года) эти вопросы очень важны. Ибо о понятийном аппарате и концептуальных моментах нужно договориться еще до выхода в открытое плавание, на берегу.
Пользователь
Сообщений: Регистрация: 17.01.2017
0
25.06.2008 14:28:40
buslaevvictor, наверняка Ваш старший коллега связан каким-то образом со Службой внутреннего контроля в банке...<br><br>Мнение о том, что отсутствие необходимости определения целей для построения ВК в банке, с моей точки зрения, в первую очередь связано с тем, что зачастую СВК в банке делает максимальный упор на один из элементов Кубика COSO - "Цели соблюдения законодательства". Такой упор, скорее всего, обусловлен той самой "зарегулированностью" российского банковского сектора и естественным нежеланием заниматься зачастую неопределенной серой зоной "стратегических" и "операционных" целей. Что в свою очередь обусловлено скорее проблемой конкретного банка - отсутствие формализованных целей.<br><br>В результате бизнес-цели перестают быть приоритетом для СВК банка и на передний план выдвигаются цели контроля, понятные только СВК и вызывающие неприязнь бизнес-подразделений. <br>Какова эффективность ВК в такой ситуации - интересный вопрос. Наверное СВК кажется что он эффективен, а вот что об этом думает менеджмент и акционеры - можно спросить у них.<br>Ну а что касается утверждения "банки ... не имеют (обычно) разнообразные бизнес-цели" - то это, конечно, нонсенс. Любая организация имеет цели. То, что они не формализованы, опять повторюсь проблема конкретного банка. <br><br>Если же обратиться к самому COSO ERM, то там никаких примечаний касательно того, что ее нельзя применить в банке, попросту нет. Ну а если мы посмотрим в COSO IC то, может, как и всегда с удивлением обнаружим, что:<br><br>Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:<br>● Effectiveness and efficiency of operations.<br>● Reliability of financial reporting.<br>● Compliance with applicable laws and regulations<br> <br>кстати "objectives" в русском переводе это "цели".<br><br>наверняка просто не хочется заморачиваться с выявлением таких целей, а потом через риски или еще чего оценивать эффективность ВК, ведь проще аппелировать к непонятным "итак всем понятным нормативам".<br><br>И вообще COSO ERM по большому случаю лишь способ организации функции управления рисками, причем с использованием Top-down подхода, который реально в основном концентрируется именно на верхних уровнях управления. Конкретных ответов как управлять банковскими рисками там нет и не надо, если честно. Т.к. это универсальная модель.<br><br>Самое печальное начинается тогда, когда СВК начинает прогибать под себя бизнес, руководствуясь соображениями того, как наиболее удобно и просто осуществлять свою деятельность именно им, а не тому самому бизнесу, партнером которого СВК стремиться стать в соответствии с «лучшими» практиками.<br>
CAE; CIA
Пользователь
Сообщений: Регистрация: 17.01.2017
0
27.06.2008 11:24:10
vkorovin , благодарю Вас за участие!<br><br>По порядку. <br><br>Я сам - внутренний аудитор, сотрудник СВК. Мой старший коллега, разумеется - тоже. <br><br>Все те недостатки классического ВК - это все имеет место быть. И я уже давно задумывался над тем, что мы ориентированы в основном на комплаенс, по сути, что идет не на первом месте даже по 242-П. Однако неясность того, каким образом, за исключением выявления рисков в проверяемых процессах, способствовать достижению цели номер один - эффективности и целесообразности операций, заставляло меня мириться с текущей ситуацией, делая лишь редкие попытки обратить на этот факт внимание.<br><br>В принципе, если с моделью COSO IC все более-менее понятно, то с COSO ERM у меня уже не все так ясно, скорее больше вопросов, чем ответов - в части именно функционала СВК. Понятно, что наше место - это мониторинг системы ВК, но каким образом его осуществлять (в рамках COSO ERM) с необходимостью достижения цели номер один, если предположить, что выявление рисков в бизнес процессах - это еще не исчерпывающая функция СВК по цели номер один?<br><br>Таким образом, возникает вопрос о необходимости независимой оценки эффективности достижения бизнес-целей. Если с экономической эффективностью, суть которой - рентабельность, все "просто", то с эффективностью достижения целей, особенно если они выражены в долях рынка или месте в рейтинговой таблице (по каким либо параметрам), уже "несколько" сложнее... В чем тут измерять эффективность? Какие затраты и как их учитывать? С чем соотносить не имеющие денежное выражение "свойства" (характеристики) прошлого состояния и текущего при оценке динамики и эффективности?<br><br>Вопросы, обозначенные мною выше, остались пока без ответа (про интерпретацию внутренней среды и удобство в использовании карты рисков в ее классическом представлении – масштаб потерь – вероятность).<br><br>Может быть, я глубоко заблуждаюсь, и сложность эти вопросы представляют только для меня, сотрудника с небольшим опытом (2 года в СВК, 3 в банках (это же и общий стаж, неделю, как мне 25 исполнилось)… Я буду Вам очень признателен за ответы на эти наверное простые для Вас, профессионалов с большим опытом, вопросы. <br>
Администратор
Сообщений: Регистрация: 17.01.2017
0
27.06.2008 15:50:39
</div>
Цитата (buslaevvictor @ 27.06.2008 - 10:24)
[В принципе, если с моделью COSO IC все более-менее понятно, то с COSO ERM у меня уже не все так ясно, скорее больше вопросов, чем ответов - в части именно функционала СВК. Понятно, что наше место - это мониторинг системы ВК, но каким образом его осуществлять (в рамках COSO ERM) с необходимостью достижения цели номер один, если предположить, что выявление рисков в бизнес процессах - это еще не исчерпывающая функция СВК по цели номер один?<br><br><br><br><br>Таким образом, возникает вопрос о необходимости независимой оценки эффективности достижения бизнес-целей. <br>Если с экономической эффективностью, суть которой - рентабельность, все "просто", то с эффективностью достижения целей, особенно если они выражены в долях рынка или месте в рейтинговой таблице (по каким либо параметрам), уже "несколько" сложнее... В чем тут измерять эффективность? Какие затраты и как их учитывать? С чем соотносить не имеющие денежное выражение "свойства" (характеристики) прошлого состояния и текущего при оценке динамики и эффективности?<br> Если точно переводить COSO на русский - то там есть два термина - effectiveness и efficiency, один означает "результативность" - то естьсам факт достижения поставленной цели, второй - "эффективность" - то есть достижение цели с оптимальным соотношением затрат и результатов.<br>Соответственно "результативность" необходимо оценивать в тех же единицах, в которых установлены целевые показатели бизнес-процесса ( например выручка, доля рынка, количество обслуженных клиентов в час, время обработки одной заявки и т.п. - тут их может быть великое множестов)<br>А вот для определения эффективности нужно оценить затраты на осуществление деятельности, а затраты - это всегда деньги ( ну или то что можно в конечном итоге перевести в деньги, например стоимость часа рабочего времени сотрудника, выполняющего ту или иную операцию)<br><br>Вопросы, обозначенные мною выше, остались пока без ответа (про интерпретацию внутренней среды и удобство в использовании карты рисков в ее классическом представлении – масштаб потерь – вероятность).<br><br>Карта рисков служит для графического отображения результатов их оценки ( кстати, а какие еще ее варианты кроме классического вам известны), поэтому ее удобство зависит от целей ее использования, если вы ее рисуете чтобы например, презентовать топ-менеджерам результаты оценки стратегических рисков, коих набралось штук 20 - то карта очень удобный инструмент, а если вам надо приоретизировать к примеру штук 200 операционных рисков какого либо бизнес-процесса - то понятное дело на карте это выглядеть будет неинформативно и проще пользоваться реестром рисков.<br>Насчет интерпретации внутренней среды - по моему в КОСО пронее достаточно подробно написано, что вы имеете ввиду под интерпретацией?<br><br><br>Может быть, я глубоко заблуждаюсь, и сложность эти вопросы представляют только для меня, сотрудника с небольшим опытом (2 года в СВК, 3 в банках (это же и общий стаж, неделю, как мне 25 исполнилось)… Я буду Вам очень признателен за ответы на эти наверное простые для Вас, профессионалов с большим опытом, вопросы.
<div class='postcolor'><br>Если кратко - то мониторинг системы внутреннего контроля абсолютно в любой организации ( хоть банк - хоть детский сад) осуществляется путем оценки состояния компонентов системы внутреннего контроля, приведенных в модели COSO. Кстати согласно концепциям COSO - выявление рисков - это в первую очередь обязанность менеджмента организации и владельцев бизнес-процессов и в ходе мониторинга системы ВК служба, его проводящая, как раз и будет задаваться вопросами " а осуществляет ли менеджемент оценку рисков?", "насколько хорошо он это делает" и т.п.<br><br>Про эффективность:<br><br>Если точно переводить COSO на русский - то там есть два термина - effectiveness и efficiency, один означает "результативность" - то естьсам факт достижения поставленной цели, второй - "эффективность" - то есть достижение цели с оптимальным соотношением затрат и результатов.<br>Соответственно "результативность" необходимо оценивать в тех же единицах, в которых установлены целевые показатели бизнес-процесса ( например выручка, доля рынка, количество обслуженных клиентов в час, время обработки одной заявки и т.п. - тут их может быть великое множестов)<br>А вот для определения эффективности нужно оценить затраты на осуществление деятельности, а затраты - это всегда деньги ( ну или то что можно в конечном итоге перевести в деньги, например стоимость часа рабочего времени сотрудника, выполняющего ту или иную операцию)<br><br>Карта рисков служит для графического отображения результатов их оценки ( кстати, а какие еще ее варианты кроме классического вам известны), поэтому ее удобство зависит от целей ее использования, если вы ее рисуете чтобы например, презентовать топ-менеджерам результаты оценки стратегических рисков, коих набралось штук 20 - то карта очень удобный инструмент, а если вам надо приоретизировать к примеру штук 200 операционных рисков какого либо бизнес-процесса - то понятное дело на карте это выглядеть будет неинформативно и проще пользоваться реестром рисков.<br>Насчет интерпретации внутренней среды - по моему в КОСО пронее достаточно подробно написано, что вы имеете ввиду под интерпретацией?<br>
Пользователь
Сообщений: Регистрация: 17.01.2017
0
30.06.2008 14:00:18
Suis , благодарю Вас за ответ!<br>То, что управление рисками (идентификация, оценка, мониторинг, минимизация и контроль) - задача менеджмента и владельцев бизнес-процессов - несомненно (вопросов с этим не было). Также как и по функции СВК (мониторинг системы управления рисками). Вот только если мы оцениваем "насколько хорошо он это делает", мы должны уметь риск идентифицировать, оценить сам риск и результативность и эффективность мер по его минимизации, а не только собрать и проанализировать информацию по наличию организационных мер и их соответствию требованиям ЦБ РФ и международных актов и документов (Базель, COSO, различные стандарты). Как можно оценить эффективность мер по минимизации какого либо риска, если не уметь его количественно измерить (в рублях) с соотнесением к затратам на его минимизацию? А вот здесь уже начинаются сложности (для меня): оценка риска в денежном эквиваленте, "стоимость" (ден.ед.) мер по его минимизации, какова их эффективность - сколько риска "было" до принятия мер - сколько "стало" (сумма - вероятность), и можно ли эффективность повысить, и как это сделать? Потому как по ЦБ-шным рекомендациям, к примеру, можно только определить наличие "стандартных условий" для управления рисками и мер по минимизации, а никак не эффективность (результаты/затраты).<br>Кстати, как относить результат, который (по Вашему же определению) не всегда может иметь денежное выражение, к затратам ("всегда деньги") и при этом делать заключение о собственно эффективности? А ведь согласно общеизвестному эйнштейновскому "все познается в сравнении" судить об эффективности можно только в сравнении с чем-то. Что с чем сравнивать (и для оценки эффективности бизнес-процессов, включая и управление рисками, и достижения любого вида целей)?<br><br>Насчет карты рисков. Во-первых, понятно, что это графический способ визуализации системы рисков организации в координатах масштабы потерь - вероятность, и что представление различных вариаций (возможных событий) одного вида риска в рамках этой модели нецелесообразно (она не для этих целей просто). Но даже если брать самый "верхний" уровень -как соотносить "высокий" риск понесения незначительных потерь с "незначительным" риском понесения потерь катастрофических, находящихся на карте у разных (перпендикулярных друг к другу) осей как бы в зеркальном отражении? В первом случае высока вероятность, во втором - она чрезвычайна мала, но потери - огромные. Что требует более пристального внимания - то, что случается часто и причиняет умеренные убытки, или то, что может и не произойти вовсе, но если случится - то это обернется фатальным кризисом для организации? Как оценивать эффективность (результат/затраты) управления риском с незначительной вероятностью реализации и катастрофическими последствиями? Умножать величину потерь на вероятность в этих "противоположных" по сути случаях и соотносить с затратами на их минимизацию (управление ими) будет на мой взгляд - не самым верным решением.<br><br>А насчет интерпретации таких понятий как "внутренняя среда" и "философия управления рисками" я спрашивал не случайно. Несмотря даже на наличие определения, донести до членов СД их суть и то, каким образом они находят (должны) проявление и воплощение в реальной повседневной деятельности организации (банка, в моем случае), представляется задачей весьма непростой. Сразу возникает недоумение: "философия управления рисками"... - о чем это он? У нас нет какого то документа? нескольких? Хорошо, разработаем документы... Внутренняя среда... - это тоже какие-то документы, по-видимому? Разработать! -... - Этические ценности?.. Но у нас же есть кодекс, чего не хватает то?.. ... И как в таких случаях быть? Делать вывод о том, что это - моя недостаточная профессиональная компетентность (а может и "педагогические способности"? ), что я не могу быстро взять и внедрить в "светлые" головы менеджеров и членов СД современные подходы к управлению (и не только рисками) и понимание базовых понятий (элементов) этих систем управления? Или что я жду от компании (банка) среднего уровня, точнее от его менеджмента, чего-то сверхвозможного, идеального? Если мне пришлось очень долго доказывать (но, что приятно, успешно в конечном итоге) коллеге, выше меня на голову (точнее на две, по статусу), что внутренняя среда - это не только и не столько система документов.<br>Поэтому то я и задал здесь вопрос об интерпретации (вашего, уважаемые, более опытные коллеги, понимания) этих базовых понятий COSO (IC и ERM).
Пользователь
Сообщений: Регистрация: 17.01.2017
0
30.06.2008 14:03:56
P.S. не судите строго, пожалуйста! "Я не волшебник, я еще только учусь" (с)
Администратор
Сообщений: Регистрация: 17.01.2017
0
30.06.2008 17:38:04
Насчет того как оценивать эффективность и что с чем сравнивать - единого ответа тут нет, возможны следующие варианты<br>то, что трудно напрямую оценить в деньгах, можно оценить в деньгах экспертно ( например, какой, по мнению экспертов, объем продаж будет потерян/недополучен при реализации какого нибудь репутационного риска)<br>сравнивать можно: <br>ваши затраты на управления риском с затратами других компаний отрасли (бенчмаркинг);<br>затраты на реализованный вариант управления рисками по сравнению с возможными альтернативными вариантами;<br>затраты на управление риском с размером этого риска ;<br>затраты на управление риском в разных периодах времени;<br>очень точно измерить результативность мероприятий по управлению рисками можно используя KRI, но для этого надо целенаправленно регистрировать реализацию рискового события и его последствия в течении установленного периода, а потом сравнить полученный результат с желаемым.<br>Насчет карты рисков - маловероятный риск с катастрофическими последствиями и высоковероятный риск с незначительными - с точки зрения математики ( риск=вероятностьХпоследствия) одинаковы и их вполне можно сравнивать, а вот что касается оценки эффективности управления ими - то тут каждый случай надо рассматривать отдельно, типовых решений нет, в частности надо понимать природу риска и знать какими его параметрами мы управляем ( вероятностью, последствиями?)<br>Насчет сложности внедрения концепций ВК и управления рисками в головы топ-менеджеров - вы правы - это процесс сложный, требующий высокого профессионализма в области коммуникаций:). Интерпретация понятий... ну например - "этическая среда определяется тем, как на практике организация реагирует на нарушителей ее этических принципов", философия управления рисками определяется тем, какие риски в результате своих практических действий менеджеры принимают, и как эти риски соотносятся со стратегией организации"<br>
