Диссертация (1152347), страница 21
Текст из файла (страница 21)
Так, для описаний115продукта, тарифов, договоров ответственные за продукты менеджеры должныпровести единоразовое полное исследование на отсутствие в свойствахпродукта выявленных рисков или поднять вопрос об их принятии. Процессобновления же процедур требует разработки тщательных механизмовоперационного контроля, соответствующих набору строгих требований.Каждая операционная процедура описывать компоненты согласнотаблице 3.4.Таблица 3.4 – Обязательные компоненты процедурного описанияконтроля рисков платежных картПп1Компонент описаниеконтроляПроцесс контроля234Регулярность контроляОхватПроцент и логика выборки56Момент проведенияПодтверждениеосуществления контроляВозможностьидентифицироватьисполнителя контрольныхдействийФиксирование моментапроведения контроля789Возможностьвоспроизведения контроля стем же результатомСодержание компонентаДетальное описание механизма выполненияконтроляЕжедневный, еженедельный и т.д.Полный или частичныйРекомендуется избегать проверки только операцийна большую сумму или повторяющейся логики воизбежание внутреннего мошенничества состороны сотрудниковДетективный или превентивныйСлужебная записка с результатами, сохраненныйфайл, электронное письмо, системный лог и др.Подпись на документе, отправленное письмо поэлектронной почте, имя пользователя всохраненном файлеВремя отправления письма, сохранности файла,дата на служебной записке – позволяет убедитьсяв своевременности проведения контроляПозволит убедиться в истинности факта егопроведения и полученных результатовИсточник: Составлено авторомРезультатом проведения данного шага станет набор внутреннихдокументов банка, отражающий политику нулевой терпимости к риску(Таблица 3.5).
Именно полнота и корректность составления данныхдокументов станут первым и основным шагом проведения аудиторскойпроверки для оценки эффективности системы управления рисками обращенияплатежных карт. С учетом того факта, что в отсутствие критичных изменений116факторов внешней и внутренней среды, пересмотр Отчета о рискахпроизводится на ежегодной основе так же ежегодно подлежат обновлениюполитики и процедуры.Ежегодный пересмотр процедур требует анализа и одобрения состороны руководителей большинства подразделений, осведомленных осуществующих рисках в целях анализа адекватности документа текущемуSWOT-анализу. Так, например, процедура по карточным расчетам требуетодобрения со стороны экспертов по налоговой, бухгалтерской, финансовой,бизнес-, юридической, кредитной служб и службы внутреннего контроля длякомплексной оценки.
Изменение же в процесс расчета бонусов по кобрендовой карте также потребует одобрения со стороны сервисной,налоговой, бизнес-, юридической служб в целях исключения возникновениядополнительных рисков или отклонений от регулятивных норм.Таблица 3.5 - Перечень документов коммерческого банка, подлежащейпроверке на соответствие рисковым сценариям платежных картПп1.Внутрибанковские документыПолитики и процедуры, описывающие различные продукты и их свойства –кредитную карту, дебетовую карту, корпоративные карты и др.2.Политики и процедуры, описывающие операционные процессы каждого отдела.3.Политики и процедуры, описывающие методы контроля технологическогодепартамента за корректностью и бесперебойностью работы программногообеспечения.4.Политики и процедуры, определяющие проведение внутреннего контроля ивнутреннего аудита.5.Внутренние банковские правила, составляемые в соответствии с Положением 266П.6.Тарифы для карточных продуктов7.Учетная политикаИсточник: Составлено авторомСледующим же этапом № 4, требующим ежедневного выполнения ирегулярного мониторинга в соответствии с моделью мониторинга риска,117являются сами меры контроля и ликвидации риска, зафиксированные вполитиках и процедурах и подлежащих полному и своевременномуисполнению.Данный этап подлежит самому внимательному наблюдению со стороныруководства коммерческого банка, служб внутреннего контроля и аудита и, впервую очередь, руководителя отдела подразделений платежных карт.Мониторинг полноты, качества и своевременности выполнения контроля и егорезультатовосуществляетсянаежедневномуровнеруководителемструктурного подразделения.
Руководителю отдела, связанного с операциямипо картам, необходимо четко знать перечень существующих рисков,осознавать механизм контроля за ним и убеждаться в его качественномвыполнении. Для этой цели руководитель, используя картотеку рисков иматрицурисковыхсценариев,убеждаетсявналичииописаниясоответствующего контроля в процедуре отдела.После одобрения процедуры руководителю необходимо составитьКонтрольный лист, содержащий перечень контролей и ежедневно убеждатьсяв добросовестности его проведения, анализировать результат для возможнойэскаляции проблемы, убеждаться в наличии корректирующих действий пофакту «полученного урока». Пример подобного листа, применимый дляпрактического использования предложен в приложении Л, Решение онеобходимости изменения процедуры, момента контроля или проведениядополнительного обучения исполнителю принимается руководителем пофактуоценкируководительКонтрольногоможетлиста.самостоятельноТакже,напроверятьежедневнойслучайноосновевыбранныепроцессы или операции для исключения риска фиктивности контроля.На еженедельной основе основные индикаторы риска, выявленные порезультатамконтроля,коммерческогобанка,презентуютсявзависимостисоответствующемуотсферыруководствувозникновения–операционные, технологические, сервисные и т.д.
Данный шаг позволяетсохранять осведомленность о преобладающих рисках, тенденциях роста или118снижения рисковых событий и определять наиболее эффективные меры навсех иерархических уровнях. Формой представления может стать таблица(Приложение М), содержащая в себе основные индикаторы риска запрошедшую неделю, средний результат за предшествующий год, количествосовершившихся рисковых событий, причину изменения в динамике икорректирующие меры.В рамках такой проверки ключевыми принципами, подлежащимисоблюдению, являются представленные в таблице 3.6.Таблица 3.6 - Принципы проведения внутреннего аудита продукта«платежные карты»Пп Принципы проведения внутреннего аудита продукта «платежные карты»1.Проверка факта того, что каждый применимый риск из Матрицы рисков адресованв политике или процедуре2.Проверка качества и своевременности фактического выполнения контроля,описанного в процедуре3.Проверка адекватности и достаточности проводимого контроля содержаниюрискового сценария4.Проверка первичных контрольных документов, файлов, записей и др.5.Проверка реального времени создания контрольного файла, наличия даты наслужебных записках, даты лога в компьютерных системах6.Проверка наличия подписи и возможности идентифицировать исполнителя ипроверяющего7.Проверка воспроизводимости контрольных документов и файлов для исключенияфакта фиктивной проверки8.Исключение факта служебного подчинения контролера исполнителю как факторапотенциального сговора или шантажа9.Проверка неизменяемости источника для проверки для исключениянесанкционированных корректировок контрольных файлов11.
Проверка максимального соблюдения принципа двойного контроля длямануальных процессов12. Сравнение с лучшими практиками контроля в других регионах/странах в целяхвыявления потенциальных укреплений контроля за риском13. Наличие полного, свободного и неограниченного доступа к проверяемымдокументам, помещениям и сотрудникам.Источник: Составлено автором119Самым важным этапом мониторинга является проведение регулярноговнутреннего аудита в целях проверки эффективности создания и выполненияпревентивных мер управления рисками обращения платежных карт.Безусловно,международныебанковскиегруппыобладаютзначительным преимуществом по сравнению с отечественными в видуналичия опыта и практик различных стран и даже экономических регионов.Полученная на основе локальных аудиторских проверок «база» рисков,рисковых событий, сценариев позволяет учесть и защититься от большегоколичества рисков в превентивном порядке. Более того, проводимыемеждународными группами внутреннего аудита проверки позволяютэкспертам-аудиторам получить больший опыт и более глубоко исследоватьуязвимости при проведении проверок.
Такое преимущество имеется умеждунаролных групп с розничным бизнесом - Unicredit, Raiffeisenbank (RZBGroup), HSBC, BNP Paribas, Citigroup, и т.п. Так, в последней банковскийпродукт подлежит проверке на ежегодной основе73, при высокой же оценке ваудиторском заключении регулярность проверок увеличивается до 2 лет.Важность внутреннего аудита подчеркивает и численность сотрудниковданной службы – 1000 человек в Citigroup и 89 человек в Великобритании.74Нередко сами уполномоченные сотрудники могут выявить рисковыеуязвимости в процессе.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
