В мировой банковской практике внутренний контроль в современном его понимании начинался с комитетов по аудиту при советах директоров (audit committee of the board of directors). Эти комитеты состояли, в основном, из внештатных сотрудников и независимых внешних аудиторов. Первые такие комитеты появились в Канаде на основе акта о банках 1980 года с целью предварительной проверки достоверности финансовой отчетности банков до ее утверждения администрацией. Кроме того, комитеты по аудиту проверяли действенность системы внутрибанковского контроля, проводили анализ целесообразности инвестиций и других операций, которые могут существенно повлиять на финансовое положение банка. Позднее такие комитеты были образованы в Великобритании и США [22].

В 1985 году в США началась унификация требований к системе внутреннего контроля предприятий, когда при участии пяти профессиональных саморегулируемых организаций - AICPA (American Institute of Certified Public Accountants), Американской Ассоциации по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (IIA) и Института специалистов управленческого учета (Institute of Management Accountants) - была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса К. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Благодаря содействию перечисленных организаций - спонсоров Комиссии Тредуэя, которых стали называть Комитет спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO), был проведен анализ существовавшей на тот момент литературы по внутреннему контролю, в результате которого в 1992 году издан документ под названием «Интегрированная концепция внутреннего контроля» (Internal Control-Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора концепцией COSO, моделью COSO, или просто COSO [33].

Особый акцент в модели COSO был сделан на ответственность за состояние контроля руководства компании. В ней также были приведены основные понятия, даны определения внутреннего контроля и его основополагающие компоненты, исходя из следующих ключевых предпосылок:

внутренний контроль - это процесс, то есть средство достижение цели, а не самоцель;

внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации;

от внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но никак не абсолютной гарантии безошибочной работы;

внутренний контроль обеспечивает достижение поставленной цели или нескольких целей в смежных областях деятельности.

Согласно концепции COSO внутренний контроль - это процесс, осуществляемый высшим органом компании, определяющим ее политику (например, советом директоров, представляющим владельцев компании), ее управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение компанией следующих целей:

1. Производственная и финансовая эффективность операций.

2. Достоверность отчетности.

3. Соблюдение законодательства и требований регулирующих органов.

В январе 1998 года Базельский комитет по банковскому надзору издал документ под названием «Основы оценки системы внутреннего контроля», определяющий принципы оценки надзорными органами системы внутреннего контроля кредитных организаций, а затем и ряд других публикаций в его развитие: «Система внутреннего контроля в банках: основы организации», «Внутренний аудит в кредитных организациях и отношение регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и отношения регулирующих органов с аудиторами». Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы - оценка состояния системы внутреннего контроля органами банковского надзора:

управленческий контроль и культура контроля;

признание и оценка риска;

осуществление контроля и разделение полномочий;

информация и процесс ее передачи;

мониторинг деятельности и исправление недостатков;

оценка систем внутреннего контроля органами банковского надзора.

Управленческий контроль и культура контроля

1.Совет директоров утверждает политику, стратегии и готовность принять риск.

2.Высшее руководство реализует политику и стратегии совета директоров.

3.Совет директоров и высшее руководство содействуют осуществлению высоких этических стандартов.

Признание и оценка риска

4.Высшее руководство идентифицирует и оценивает факторы риска.

Осуществление контроля и разделение полномочий

5.Операции по контролю - неотъемлемая часть ежедневной работы кредитной организации.

6.Высшее руководство обеспечивает соответствующее разделение обязанностей сотрудников.

Информация и процесс ее передачи

7.Высшее руководство оценивает адекватные и всесторонние данные.

8.Высшее руководство предоставляет эффективные каналы связи для передачи соответствующей информации относительно важных операций.

9.Высшее руководство предоставляет соответствующие информационные системы для всех видов операций.

Мониторинг деятельности и исправление недостатков

10.Высшее руководство осуществляет мониторинг эффективности механизмов внутреннего контроля.

11.Отдел аудита осуществляет эффективный и всесторонний аудит.

12.Аудит обеспечивает незамедлительное оповещение высшего руководства о недостатках в работе внутреннего контроля.

Оценка систем внутреннего контроля надзорными органами

13.Органы надзора требуют наличия у всех банков эффективной системы внутреннего контроля.

Свое дальнейшее развитие концепция внутреннего контроля, ориентированного на риски, получила в документах Базельского комитета по банковскому надзору, посвященных управлению операционным риском.

В этих документах нашли отражение и новые идеи, изложенные в последней разработке COSO - «Концепции управления рисками предприятия», которая является дальнейшим развитием модели COSO, и в значительной мере - ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности Хотя публичные компании должны подвергать свою отчетность независимой аудиторской проверке, история отношений Enron и Andersen показала реальную цену этой защиты от махинаций. В течение 10 лет фирма Andersen (бывшая Arthur Andersen) осуществляла аудит компании Enron, все это время покрывая грубые нарушения правил бухгалтерского учета и незаконные операции с многочисленными забалансовыми партнерствами, выступая, таким образом, соучастником в умышленном сокрытии от инвесторов многомиллиардных долгов. Кроме того, Andersen осуществляла внешнюю проверку указанной компании, будучи одновременно ее внутренним аудитором и оказывая ей консалтинговые услуги по вопросам финансового менеджмента [46]..

В основу построения систем внутреннего контроля в кредитных организациях приняты принципы концепции COSO, которые получили развитие в документах Базельского комитета и являются ключевыми также в проведении банковского надзора.

Таким образом, система внутреннего контроля - это совокупность организационной структуры и процедур, осуществляемых с целью упорядоченного и эффективного ведения банковской деятельности. Она позволяет руководству быть уверенным, что персонал на своем уровне правильно понимает политику банка, и все поставленные руководством цели достигаются с соблюдением установленных норм.

1.2 Организация системы внутреннего контроля в зарубежных банках

Существующие в различных странах системы внутреннего контроля имеют много общего, поскольку принципы их организации близки к принятым Базельским комитетом по банковскому надзору.

Вместе с тем, имеется и определенная специфика. Рассмотрим более подробно в рамках настоящей работы организацию системы внутреннего контроля на примере банковских систем США и Франции.

В основу построения систем внутреннего контроля банками США приняты принципы концепции COSO, которые являются ключевыми также в проведении банковского надзора.

Инспекторы Федеральной резервной системы США (далее ФРС) проводят регулярные проверки деятельности кредитных организаций, которые, прежде всего, направлены на оценку эффективности механизмов внутреннего контроля в соответствии с принципами модели COSO [9].

В соответствии с данной моделью внутренний контроль в банках США строится на основе пяти взаимосвязанных компонентов: контрольная среда, оценка риска, операции контроля, информация и коммуникации, мониторинг и исправление ошибок.

Среда контроля определяется высшим руководством банка, которое мотивирует эффективное функционирование системы внутреннего контроля. Важными элементами среды контроля являются:

этические ценности, устанавливаемые в кодексе этики кредитной организации;

прием на работу компетентных сотрудников;

идеология руководства и стиль работы;

организационная структура - каркас для достижения целей внутреннего контроля, определяющий ключевые области полномочий, ответственности и системы подотчетности;

распределение полномочий и ответственности;

участие совета директоров банка и комитета по аудиту в работе банка. Совет директоров утверждает общую политику банка, на основе которой действует высшее руководство. Члены совета несут ответственность за компетентность руководства и реализацию руководством выбранной стратегии. В крупных банках должны быть созданы комитеты по аудиту, состоящие из независимых директоров, не являющихся членами высшего руководства банка.

Специалисты ФРС оценивают работу высшего руководства банка и членов совета директоров и присваивают им рейтинги, учитывая следующие факторы:

грамотное управление банком с точки зрения надежности и стабильности;

установление разумного процесса управления риском;

факты нарушения требований банковского законодательства;

финансовый фактор (уровень достаточности капитала банка и достоверность предоставляемой им отчетности);

обеспечение преемственности;

независимость действий и решений, принимаемых советом директоров, от позиции президента банка;

эффективность и качество отчетов, направляемых в совет директоров.

Целью оценки риска является четкое понимание членами совета директоров и высшим руководством банка своего бизнеса и утверждение общей политики, в которой должны быть определены цели в области операций, совершаемых банком, финансовой отчетности, соблюдения законов и норм. Оценивая механизмы внутреннего контроля, инспекторы ФРС, прежде всего, анализируют политику, стратегии и процедуры по различным направлениям деятельности банка. Риск должен идентифицироваться по всем направлениям деятельности с установлением таких механизмов контроля по каждому типу риска и средств мониторинга, чтобы определить действенность этих механизмов.

Во всех случаях, когда в банке возникают проблемы и происходят сбои в механизмах внутреннего контроля, специалисты ФРС придают особое значение тому, как проводилась оценка риска. Инспекторы ФРС также просят банк предоставить свою независимую оценку риска и объяснить, что послужило причиной возникшего кризиса.

Операции контроля подразумевают конкретные действия, которые банк должен предпринимать в случае возникновения риска, связанного с тем или иным банковским продуктом. Они включают в себя механизмы контроля по обнаружению нарушений, уже имевших место (выявляющие механизмы), и по профилактике, то есть по предотвращению возникновения нежелательных ситуаций (превентивные механизмы). Поэтому одни механизмы не допускают мошенничества, а другие - позволяют убедиться, что установленные механизмы контроля соблюдаются.

Ниже приведены основные операции контроля.

Авторизация - распределение советом директоров полномочий между различными руководителями, кредитными инспекторами на право в пределах определенных лимитов разрешать проведение каких-либо операций (например, на право выдавать кредиты не больше определенной суммы).

Верификация - установление достоверности финансовых документов и отчетности.

Сверка дает возможность убедиться в соответствии аналитического учета и синтетического.

Разделение обязанностей предусматривает, что каждую операцию должны совершать как минимум два сотрудника (сотрудник, разрешающий проведение сделки (авторизующий), не должен иметь возможность ее осуществить).

Проверка операционной деятельности - сравнение фактического результата с предполагаемым (со сметой). Обычно в банке устанавливается уровень допустимых ошибок.

Физическая защита активов обеспечивает надежную сохранность денежных средств и других активов, которые должны находиться в хранилищах, а также недопущение свободного доступа к компьютерам.

Для физической и логической безопасности важно обеспечить авторизованный доступ к системам и защиту данных, особенно при предоставлении услуг посредством Интернета.

Политика двухнедельных отпусков позволяет в период отпуска сотрудника обнаружить факты совершения им мошенничества, если таковые имели место.

Информация и коммуникации предусматривают сбор данных, обмен и передачу только качественной информации. Инспекторы ФРС в ходе проверок проверяют своевременность и достоверность информации, которая содержится в отчетах для руководства, а также механизм передачи информации от совета директоров и обратно.

На постоянной основе в банке проводится мониторинг как в части текущей деятельности, так и для осуществления отдельных оценок. Мониторинг текущей деятельности предполагает анализ данных и отчетов в рамках кредитной организации, обсуждение вопросов с внешними сторонами и др.

Применение механизмов внутреннего контроля сталкивается с некоторыми ограничениями. Например, в небольших филиалах и отделениях банка трудно реализовать принцип разделения обязанностей из-за небольшого числа сотрудников. Проблемы могут возникнуть и в случае сговора между сотрудниками. Сговор также возможен и между сотрудником банка и внешней стороной (клиентом), которая, например, хочет получить кредит или провести другую операцию в своих интересах. Негативно влияют на действенность механизмов внутреннего контроля некомпетентность и недостаточная подготовка сотрудников банка, а высокие темпы развития бизнеса могут отрицательно сказаться на таком механизме, как сверка. Субъективное суждение вызывает принятие неправильного или неэффективного решения, которое может быть как злонамеренным, так и ошибочным. Ограничением в применении механизмов внутреннего контроля могут служить дополнительные издержки и расходы. В первую очередь этот фактор проявляется в небольших банках. Некоторые решения, принимаемые руководством в интересах бизнеса, могут противоречить политике и процедурам, принятым в банке, что также негативно сказывается на внутреннем контроле. В этих случаях инспекторы ФРС требуют, чтобы банк либо придерживался своей политики, либо изменил ее.

Во Франции функции банковского надзора принадлежат специальному органу - Банковской комиссии. Ею осуществляется контроль за соблюдением кредитными организациями законодательства, а также их финансовым положением. В целях осуществления своих полномочий Банковская комиссия наделена правом осуществления проверок на местах, в том числе в части выполнения предписаний законодательства об организации внутреннего контроля в кредитных учреждениях.

Основными в организации внутреннего контроля во французских банках являются следующие принципы [27].

1. За всей совокупностью операций и на всем их протяжении должен осуществляться контроль со стороны служб или лиц, отличных от тех, которые могут участвовать в этих операциях (так называемый контроль первого уровня).

2. Операции должны периодически контролироваться внутренними независимыми службами, возглавляемыми руководителем службы внутреннего контроля, которому его иерархическое положение позволяет без задержки выходить на руководство банка (контроль второго уровня).

3. Руководители должны иметь в своем распоряжении инструменты управления, в частности, для оценки принятых рисков и доходности операций; кроме того, они должны определять пределы обязательств по каждой категории операций.

4. Решающий орган (административный или наблюдательный совет), при содействии в случае необходимости со стороны аудиторского совета, должен осуществлять надзор за эффективностью системы внутреннего контроля.

В условиях жесткой конкуренции на мировых финансовых рынках банковская система Франции имеет явно выраженную тенденцию к концентрации банковского капитала и его объединению с капиталом промышленным. Бурное развитие получили финансовые конгломераты, имеющие следующую структуру: материнская компания (банковская или небанковская) и дочерние, функционирующие на финансовых, страховых и других рынках [43].

В связи с этим большое внимание уделяется построению внутреннего контроля на консолидированной основе. На уровне консолидированных отношений материнской компании вменяется координировать элементы внутреннего контроля и унифицировать информационные системы с целью осуществления эффективного надзора за рисками, взятыми на себя группой в целом.

Контроль первого уровня предполагает различие между службами, начинающими операции (фронт-офис) и службами, которые регистрируют и контролируют операции на всем их протяжении (бэк-офис). Эти службы подчиняются разным руководителям, по крайней мере, до соответствующего иерархического уровня.

Основополагающую роль в этом плане играют бухгалтерские процедуры, регистрация и проверка всей совокупности операций: периодические сверки результатов операций по бухгалтерской и управленческой отчетности, выверка с внешними источниками всякий раз, когда это возможно, очистка и контроль временных счетов, выявление аномально дебетовых счетов. Качество проводимых процедур неотъемлемо связано с безопасностью информационных систем.

Предусматривается режим контроля кредитного риска, когда решение о предоставлении крупных кредитов должно приниматься не менее чем двумя лицами. Кроме того, необходимо создание систем полного аналитического учета, включая анализ прибыльности кредитной операции с учетом предполагаемых прямых и косвенных издержек и доходов, в том числе с учетом риска неплатежеспособности заемщика.

Лица, ответственные за проведение контроля второго уровня, не должны заниматься управленческой деятельностью. Такой контроль могут осуществлять несколько подразделений в зависимости от размера кредитного учреждения. Во главе такой системы контроля стоит начальник службы внутреннего контроля, подотчетный руководству учреждения.

Качества, которыми должен быть наделен контроль второго уровня, многочисленны, но основополагающим является независимость: начальник службы внутреннего контроля должен иметь незамедлительный выход на руководство и обладать достаточной властью для того, чтобы доводить до конца свои расследования, не испытывая давления со стороны оперативных служб.

Принцип исчерпанности контроля не допускает наличие подразделений, закрытых для контроля.

Контроль второго уровня должен быть эффективным, то есть располагать необходимыми средствами для успешного выполнения своей задачи.

Наконец, контроль второго уровня должен обладать достаточной властью для того, чтобы выносимые оценки и рекомендации влекли действия по исправлению недостатков.

Особенностью банковской системы Франции является наличие так называемых центральных органов, являющихся посредниками между органами надзора и кредитными учреждениями Учреждения, входящие в состав центрального органа: Национальная касса Сельскохозяйственного кредита, Палата Профсоюзов Народных банков, Национальная Конфедерация Взаимного Кредита, Национальная Касса Кредитования Учреждений Работодателей, Центральная Касса Кооперативного Кредита, Федерация Сельскохозяйственного и Городского Взаимного Кредита, Палата Профсоюзов Кредитно-инвестиционных акционерных обществ.. Они представляют профессиональные интересы кредитных институтов в надзорных органах, но с другой стороны контролируют соблюдение нормативных актов кредитными институтами, осуществляя административный, финансовый и технический контроль [43].

Инспекционные подразделения этих органов осуществляют так называемый контроль третьего уровня.

Инструменты управления и предупреждения рисков, используемые руководством, предполагают, что руководители должны определить лимиты для всех видов рисков и уровни делегирования. Общие и оперативные лимиты должны сочетаться между собой для облегчения контроля. Установленные лимиты и уровни делегирования должны регулярно - не менее одного раза в год - пересматриваться в зависимости от ряда факторов. Перед выходом на новые рынки проводится анализ всех видов риска. Руководители должны постоянно заботиться об эффективности используемых систем контроля.

Директивный орган (наблюдательный совет или другой вышестоящий орган) представляет интересы вкладчиков (инвесторов), которые в случае серьезных затруднений должны будут оказать необходимую финансовую помощь кредитной организации. Директивный орган получает от исполнительного органа и через руководителя службы внутреннего контроля информацию о деятельности и о результатах внутреннего контроля не реже, чем два раза в год. Отчеты о проведении контроля второго уровня подаются в директивный орган по требованию.

Также директивный орган может получить содействие со стороны аудиторской комиссии, которую он назначает и которой ставит задачу. При этом, учреждение аудиторской комиссии не является обязательным. Аудиторская комиссия призвана оказывать содействие директивному органу при выполнении функций по внутреннему контролю и должна осуществлять проверку качества ведения финансовой документации и методов ведения бухгалтерской отчетности. Комиссия должна состоять исключительно из сотрудников, не имеющих отношения к руководству предприятия. Аудиторская комиссия должна осуществлять свою деятельность во взаимодействии с бухгалтером-ревизором и руководителем службы внутреннего контроля.

Как видим, организация внутреннего контроля имеет специфику в различных странах. В то же время, в системах внутреннего контроля прослеживается общее. Это акцент на ответственность высшего руководства банка за организацию внутреннего контроля, а также построение внутреннего контроля на основе пяти элементов: контрольная среда, оценка риска, операции контроля, передача информации, мониторинг.

Глава 2. Организация и функционирование внутреннего контроля в российских кредитных организациях

2.1 Правовое регулирование организации и функционирования внутреннего контроля в российских банках