Организация системы внутреннего контроля в кредитных организациях

Размещено на http://www.allbest.ru/

Введение

внутренний контроль риск банк

Во все времена банки выполняли важную роль финансового посредника - трансформатора долговых обязательств и рисков. Кроме того, они выступали и выступают одним из важнейших хранилищ общественных сбережений, в том числе сбережений частных лиц. Данным обстоятельством объясняется огромное значение для банковского бизнеса доверия со стороны общества. При его отсутствии в банковскую систему не может поступить достаточно средств, что негативно может сказаться на развитии экономики.

Важным условием построения надежной банковской системы, которая заслуживает доверие инвесторов, выступает повышение эффективности банковского управления, в том числе его особой функции - контроля. Поэтому изучение проблем функционирования контроля в кредитной организации является крайне актуальным как с точки зрения развития теории внутреннего контроля, так и с позиции практической деятельности кредитных организаций.

Таким образом, совсем не случайно уделяется большое внимание теме внутреннего контроля. В результате проведенного анализа Базельский комитет по банковскому надзору сделал вывод, что эффективная система внутреннего контроля является критически важным компонентом управления банком и основой для обеспечения безопасности и устойчивости банковских операций.

В настоящее время российский банковский сектор находится на этапе качественного преобразования, который призван повысить надежность, эффективность, и прозрачность банковского бизнеса, обеспечить безупречные стандарты управления кредитными организациями, возобновить и укрепить доверие внешней среды.

Банковская система играет ключевую роль в экономике и является ее необходимым и неотъемлемым элементом, от состояния которого во многом зависит экономическая безопасность государства, возможность ведения на его территории цивилизованного бизнеса и достойное благосостояние его граждан. Учитывая, что любая система устойчива лишь тогда, когда действительно устойчив каждый её элемент, можно утверждать, что нормальная работа отдельно взятой кредитной организации, основанная, во главу угла, на принципах экономической целесообразности, честности в отношениях с клиентами и законности также представляет собой одно из немаловажных условий для дальнейшего развития экономики страны. Это особенно важно в контексте имеющего место в России процесса укрупнения кредитных организаций.

Очевидно, что причиной успешной работы банка является высокое качество управления, которое должно быть построено его владельцами в заинтересованности в эффективной работе и обеспечения безопасности как собственных вложений, так и средств своих клиентов. Для того, чтобы собственники банка были убеждены в том, что их бизнес работает в соответствии с их ожиданиями, а менеджмент банка принимает обдуманные решения на основании достоверных отчетных данных, в нем безусловно должно быть организовано осуществление контроля на постоянной основе квалифицированным персоналом с применением прогрессивных технологий.

В нашей стране вопросам внутреннего контроля в кредитных организациях уделяется серьезное внимание. В Основных направлениях единой государственной денежно-кредитной политики на 2005 год указано, что важную роль в укреплении финансовой устойчивости кредитных организаций играет качественное улучшение систем корпоративного управления, ключевым звеном которого является система внутреннего контроля.

Наряду с этим, интерес надзорного органа большей частью сконцентрирован на аспектах системы внутреннего контроля, в большинстве своем отличных от тех, которые заботят менеджмент и владельцев при принятии решений. Таким образом, в зависимости от целей (функций) субъекта оценки результативности системы внутреннего контроля закладываются отличия при определении её критериев. Для менеджеров и собственников внутренний контроль имеет принципиальное значение для оценки выполнения поставленных целей. Для надзорного органа эффективный внутренний контроль, в первую очередь, подразумевает наличие системы, обеспечивающей соответствие деятельности кредитной организации нормативным актам и достоверность отчетности.

Банк России восемь лет назад с помощью нормативных документов предпринял попытку усовершенствовать управление в кредитных организациях путем введения сравнительно автономной системы внутреннего контроля. Но требования регулирующего органа были реализованы во многих банках формально, в том числе и по причине наличия недостатков в самой концепции правового регулирования внутреннего контроля в банках. Однако, в настоящее время ситуация существенно изменилась в связи с вступлением в силу Положения Банка России № 242_П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Данный документ разработан с учетом международного опыта организации внутреннего контроля в кредитных организациях. Также Банком России разработана методика проверки организации системы внутреннего контроля, которая определяет единые подходы к оценке данной системы. Существенное внимание вопросам внутреннего контроля уделялось и уделяется также в ходе проведения проверок банков в рамках реализации Федерального закона «О страховании вкладов физических лиц в банках Российской Федерации» и Указания ЦБ РФ № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов».

Государство, предоставляя кредитным организациям право на привлечение и размещение временно свободных средств предприятий и домашних хозяйств, а с недавнего времени, гарантирующее возврат вкладов физических лиц, требует от банков наличия систем внутреннего контроля, как элемента повышения их надежности, обеспечивающего адекватную оценку принимаемых рисков.

Все вышеперечисленное, а также случившаяся в прошлом году трансформация подходов Банка России к смысловому наполнению внутреннего контроля, направленное на приближение его к мировым стандартам, определяет актуальность выбранной темы.

В доступных источниках тема внутрибанковского контроля освещается достаточно часто и подробно (как с точки зрения теории, так и практики), что и явилось основой для подготовки данной работы.

Теоретическую базу изучения составили научные статьи российских и зарубежных авторов, материалы различных организаций, в том числе международных (в частности, Базельского комитета по банковскому надзору). Практическая база исследования была построена на изучении действующих нормативно-правовых актов, публикаций и суждений служащих Банка России и сотрудников кредитных организаций.

В результате, при подготовке настоящей работы была поставлена следующая цель:

Рассмотреть организацию системы внутреннего контроля в кредитных организациях и выделить в ней наиболее актуальные вопросы.

Для достижения указанной цели были сформулированы следующие задачи:

1. Определить место внутреннего контроля в системе управления кредитной организации и его взаимоотношения с внешним контролем.

2. На основе практического опыта отобразить осуществление функций внутреннего контроля с точки зрения организационной структуры банка.

3. Рассмотреть варианты автоматизации процесса внутреннего контроля в увязке с используемой информационной базой.

Данные задачи определили структуру работы, которая включает в себя введение, три главы, заключение и список использованных источников и литературы.

В первой главе определены стержневые цели и роль внутреннего контроля в системе управления банком. Раскрываются понятие, сущность, необходимость организации процесса и системы внутреннего контроля, характер и целесообразность взаимодействия с Банком России и внешним аудитом.

Вторая глава посвящена анализу построения системы внутреннего контроля на примере конкретного российского банка, и рассмотрены варианты организационного решения проблемы осуществления основных функций внутреннего контроля банка.

В третьей главе рассмотрены структура информационной базы и подходы автоматизации процесса внутреннего контроля и обеспечения информационной безопасности в зависимости от используемых в банке информационных технологий.

1. Основы организации системы внутреннего контроля в кредитной организации

1.1 Понятие и сущность внутреннего контроля

Внутренний контроль в современном его понимании в мировой банковской практике начинался с комитетов по аудиту при советах директоров (audit committee of the board of directors). Эти комитеты состояли, в основном, из внештатных сотрудников и независимых внешних аудиторов. Впервые подобные комитеты появились в Канаде на основании акта о банках 1980 года с целью предварительной проверки достоверности финансовой отчетности банков до ее утверждения администрацией. Также, комитеты по аудиту проверяли действенность системы внутрибанковского контроля, осуществляли анализ целесообразности инвестиций и других операций, которые могут существенно повлиять на финансовое положение банка. Позднее такие комитеты были образованы в Великобритании и США [17].

По сравнению с другими сферами деятельности банковский бизнес характеризуется более высоким уровнем риска. Как известно, под банковским риском понимают это возможность негативного воздействия ожидаемых или непредвиденных событий на доходы или капитал банка. Тогда наличие оптимальной системы контроля, несущей в себе функции предупреждения, обнаружения, распознавания, предотвращения и локализации последствий реализации (материализации) рисков является основой успешного функционирования кредитной организации и, таким образом, ключевым направлением банковского менеджмента. При этом функции системы контроля должны быть реализованы в отношении прошлого, настоящего и будущего периодов.

В общепринятом смысле контроль представляет собой процесс наблюдения за объектом, проводимый для обнаружения в нем отклонений от установленных стандартов. Обнаружение аномалий позволяет выполнить своевременное вмешательство с целью трансформации состояния объекта или эталонов, не доводя до возникновения кризисных явлений.

В качестве неблагоприятного события могут рассматриваться всевозможные явления, которые препятствуют осуществлению главных целей (например, крупные убытки, связанные с коммерческой деятельностью, подрыв репутации, осуществление сделок в ущерб кредитной организации, нарушение норм законодательства и прочее). Кроме того, допустимо возникновение неблагоприятных событий в результате изменения количества в качество, при котором накопление несерьезных по отдельности недостатков может в совокупности приводить к тяжелым проблемам.

В системе банковского менеджмента контроль в зависимости от того, кем он осуществляется, подразделяется на внешний, проводимый внешним органами управления и надзора, и внутренний, реализуемый самими банками в процессе управления. Вследствие этого, перед тем как приступить к исследованию места и роли внутреннего контроля в системе управления банком, основываясь на перечисленные выше подходы, необходимо провести границу между внешним и внутренним контролем.

Необходимость внешнего контроля определяется наличием государственного надзора за деятельностью кредитных организаций, который предполагает разработку и применение специальных правил и инструкций по осуществлению банковской деятельности, включая контроль за соблюдением этих норм. Функции внешнего контроля за деятельностью кредитных организаций, помимо государственных контрольных органов (Центрального банка Российской Федерации, Государственной налоговой инспекции, Государственного таможенного комитета и др.), реализовывают также организации аудиторов.

Внешний аудит проводится аудиторской фирмой на договорной основе с экономическим субъектом с целью получения независимой, квалифицированной оценки достоверности его бухгалтерского учета и отчетности, а также выдачи рекомендаций по укреплению финансового состояния экономического субъекта, повышению эффективности его деятельности.

Итак, внешний контроль осуществляется, как правило, лишь в форме последующего контроля, носит эпизодический и ретроспективный характер, ограничен в использовании внутренней информационной базы и проводится специалистами, не связанными с объектом проверки.

Наоборот, внутренний контроль в кредитной организации _ это процесс, который должен реализовываться постоянно, всеми работниками кредитной организации, с применением всей доступной информации. Он должен быть, в первую очередь, сконцентрирован на:

- безусловное соблюдение принятых процедур и полномочий при принятии управленческих решений, затрагивающих интересы банка, его акционеров и клиентов;

- выполнение банком требований федерального законодательства, нормативных актов Банка России, других государственных органов, а также стандартов профессиональной деятельности;

- осуществление контроля за рисками, возникающими в банковской деятельности; принятие своевременных и эффективных мер, способствующих предупреждению потенциальных угроз;

- устранение и локализацию последствий вскрытых пробелов и нарушений в деятельности банка;

- обеспечение готовности к конкретным действиям в случае реализации тех или иных рисков.

Теоретической базой для практической организации внутреннего контроля на современном этапе принимаются рекомендации Базельского комитета по банковскому надзору [13-14], определяющие внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая действует в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка.

При этом делается акцент на то, что совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе, однако каждый сотрудник организации также должен принимать участие в этом процессе.

Основными целями осуществления внутреннего контроля являются:

- производственная и финансовая деятельность (производственно-финансовые цели);

- надежность, полнота и своевременность финансовой и управленческой информации (информационные цели);

- соблюдение действующих законодательных и нормативных актов (комплаенс-цели).

Производственно-финансовые цели внутреннего контроля касаются того, насколько действенно и продуктивно банк управляет своими активами и ресурсами, какая вероятность допущения убытков. Процесс внутреннего контроля обращен на то, чтобы сотрудники организации стремились к эффективному и честному достижению целей, при этом избегая неоправданных или чрезмерных расходов или не ставя другие интересы (например, интересы сотрудника, партнера или клиента) выше интересов банка.

Информационные цели касаются подготовки своевременных, достоверных и адекватных отчетов, необходимых для принятия решений в кредитной организации. Они также затрагивают необходимость составления достоверных годовых отчетов, прочей финансовой отчетности и других финансовых документов для акционеров, надзорных органов и сторонних организаций. Информация, получаемая руководством, советом директоров, акционерами и надзорными органами, должна быть удовлетворительной с точки зрения качества и точности, чтобы получатели информации могли полагаться на нее при принятии решений. Термин "достоверный", применяемый к финансовой отчетности, означает подготовку объективных отчетов, составленных в соответствии с четко определенными и общепринятыми бухгалтерскими принципами.

Цели в сфере комплаенс_контроля касаются вопросов соблюдения всеми банковскими учреждениями положений действующего законодательства, требований надзорных органов, а также документов, определяющих внутреннюю политику и процедуры банка.

Законодательством Российской Федерации, исходя из текста ст. 24 Федерального закона «О банках и банковской деятельности» [1], определяется, что внутренний контроль для российской банковской системы - это совокупность процессов, которые обязана организовать каждая кредитная организация для обеспечения собственной финансовой надежности на уровне, адекватном характеру и масштабам проводимых операций. Развернутое определение внутреннего контроля в кредитной организации дается Банком России в Положении «Об организации внутреннего контроля в кредитных организациях и банковских группах» [8] и конкретизирует определение, предложенное в рекомендациях Базельского комитета по банковскому надзору "Система внутреннего контроля в банках: основы организации" [14].

При анализе проблем внутреннего контроля возможны различные подходы к систематизированию видов и существа внутреннего контроля кредитной организации. Одна из наиболее развернутых классификаций видов внутреннего контроля в банке, на мой взгляд, отражена в работе Г.Г.Лотобаевой и С.Ю.Сидоренко [32]. По мнению данных авторов, внутренний контроль в кредитной организации можно представить следующим образом:

1) В зависимости от специфики решаемых задач:

- административный контроль - за обеспечением процесса распределения деятельности сотрудников в строгом соответствии с установленными внутренними документами банка полномочиями в принятии решений и процедурами поведения. Ответственность возлагается на функциональных руководителей и руководителей высшего и среднего звена;

- бухгалтерский контроль - контроль за наличием и функционированием системы учета операций проводимых в процессе осуществления финансовой и хозяйственной деятельности на предмет соответствия их отражения действующим правилам и учетной политике с использованием установленных форм документов. Он призван гарантировать своевременность, точность и надежность бухгалтерских записей. Ответственность за формирование учетной политики, достоверность бухгалтерского учета и отчетности несет главный бухгалтер банка;

- финансовый контроль - контроль за наличием и движением денежных ресурсов, выполнением финансовой политики, соблюдением лимитов и нормативов;

- информационный контроль - Исходит из того, что информация, предоставляемая руководству банка, внешняя и внутренняя отчетность должны соответствовать реальному состоянию дел в банке. Ответственность за адекватность информации возлагается на руководителей соответствующих функциональных подразделений;

- управленческий контроль - необходим чтобы отслеживать, контролировать и координировать деятельность, как отдельных подразделений, так и кредитной организации в целом. Он сопровождается процедурами и методами оценки управленческих решений, системами управления рисками и информационными системами;

- правовой контроль - контроль соответствия финансово-хозяйственной деятельности и проводимых операций требованиям нормативно-правовых актов с целью минимизации риска предъявления санкций, либо потерь из-за неправильного оформления документов;

- технологический контроль - обеспечение проведения операции кредитной организации в соответствии с утвержденными регламентами и процедурами.

2) В зависимости от времени совершения:

- предварительный контроль - проводится до совершения операции (работы) с целью определения оптимальных методов ее решения, выявления, оценки и минимизации риска негативных последствий, как правило, на основе анализа различных данных, описывающих и характеризующих планируемую операцию, результатов, полученных от аналогичных операций (работ). Предполагает наличие прогноза возможных результатов и построение различных сценариев развития событий;

- текущий контроль - осуществляется во время проведения операции с целью нейтрализации негативных и усиления позитивных факторов, влияющих на достижение поставленной цели, на основании анализа промежуточных результатов и изменяющихся условий;

- последующий контроль - проводится после завершения операции (работы) на основании документов (отчетов), содержащих основные параметры проведенной операции. Как правило, проверяется соответствие поставленной цели достигнутому результату, правильность отражения расчетов в документах, соответствие итоговой документации установленным формам и наличие в них необходимых реквизитов.

3) В зависимости от источников получения информации выделяют:

- документальный контроль - на основе анализа документов, содержащих описание объекта проверки, характера проводимых операций (работ) и полученных результатов;

- фактический контроль - предполагает проверку соответствия порядка проведения операции установленным нормативно-правовым актам, утвержденным процедурам, правильности отражения результатов операции (работы) в бухгалтерском учете;

- электронный аудит - проверка подготовки, процесса и итогов проведения операции (работ) на основании компьютерных баз данных.

4) В зависимости от объема и полноты охватываемых операций:

- полный контроль _ контролю подвергаются все направления деятельности банка за определенный период;

- частичный контроль - отдельных операций (работ) кредитной организации за определенный период.

5) В зависимости от метода проведения:

- сплошной контроль - проверяется вся финансово-хозяйственная деятельность банка, документы и учетные регистры за определенный период;

- выборочный контроль - контролю подвергаются не все документы, а лишь некоторая их часть;

- комплексный контроль _ контролю подвергается вся финансово-хозяйственная деятельность банка с привлечением соответствующих экспертов.

Важность и необходимость надлежащей организации внутреннего контроля может быть показана на примере банковской системы Российской Федерации, демонстрировавшей в период с 1991 по 1998 годы относительно высокие темпы своего развития. Августовский финансовый кризис 1998 года обнаружил ее слабость, выявил многие проблемы в ее деятельности, вынудил кардинальным образом модифицировать подходы к вопросам управления кредитными организациями. Это видится нормальным, так как именно кризисы позволяют стремительно и показательно выявлять проблемы, назревшие в общественных и экономических системах. Не секрет, что особенно серьезным последствием данного кризиса для российской экономики стало «замораживание» ГКО, а также более чем трехкратное обесценение национальной валюты. Также видится очевидным, что тяжелее всех пострадали банки, которые вели наиболее рискованную политику в части беспредельного сосредоточения активов в ГКО, а пассивов - в иностранной валюте. На этом фоне сразу же обострились накопленные проблемы, главными из которых были невозвраты ранее выданных кредитов в крупных размерах. Беря во внимание то, что кризис 1998 года уничтожил далеко не всю банковскую систему, и многие банки пережили его сравнительно без потерь, перечисленные выше факторы, в конечном счете, можно отнести к недостаткам в менеджменте обанкротившихся банков. Как раз неэффективное управление стало одним из первых оснований того, что банки не смогли противостоять данному финансовому кризису.

Кризис 1998 года, причинивший банковской системе сокрушительный урон, обусловил объективную необходимость принятия безотлагательных мер по совершенствованию управления кредитными организациями, так как без кардинального пересмотра методов управления невозможно обеспечить конкурентоспособность банков в жестких условиях рыночных отношений.

Кроме того, необходимость совершенствования управления банками следует и из формирующейся сейчас новой психологии владельцев банков, не желающих оставаться в стороне от процессов управления, активно приступающих к решению вопросов стратегического управления, полного и эффективного контроля их деятельности. С учетом накопленных знаний все большее число участников банковских отношений начинают понимать, как много в работе банков зависит от установления правильных отношений между собственниками банка (представляющим их Советом Директоров) с одной стороны и исполнительным аппаратом банка (менеджерами) _ с другой. Несомненно, что в равной степени опасны как игнорирование делами банка со стороны Совета Директоров (из-за недостатка специальных знаний либо из-за недооценки своей роли), так и избыточное, ничем не оправданное вмешательство в вопросы оперативного управления банком. Следствием чего зачастую является подчинение его кредитной, инвестиционной политики узким интересам собственников в ущерб надежности банка, интересам его клиентов. Практика показывает, что конфликты между владельцами банка и его менеджерами могут приводить к резкому ухудшению финансового положения банка, вплоть до банкротства.

Суммируя сказанное, представляется бесспорным, что необходимость непрерывного и эффективного решения одновременно множества задач немалым количеством субъектов в процессе реализации внутреннего контроля, требует построения отчетливой системы взаимоотношений между ними, непременно способной к постоянному самотестированию, самоанализу и самосовершенствованию.

1.2 Организация системы внутреннего контроля

Необходимость построения системы внутреннего контроля исторически вытекает из того, что первостепенная миссия банков - содействие предельно эффективному использованию временно свободных денежных средств организаций, домашних хозяйств и собственных средств банков для обеспечения дальнейшего развития экономики. Это означает, что взаимоотношения на уровне банк_банк и банк_клиент иметь в виду и требуют исключительного доверия друг к другу. Сбой в работе одного крупного банка может привести к внушительным потерям у всех его контрагентов в системе расчетов и на рынках. Государство, обеспечивающее права и свободы своих граждан в соответствии с Конституцией, заинтересовано в стабильности банковской системы в целом, а также и в надежности каждого отдельно взятого банка, беря во внимание тот аспект, что любая система действительно устойчива тогда, когда устойчив каждый её элемент. Причем, собственники банков также обязаны отчетливо представлять, каким образом и сколь действенно работают вложенные ими средства.

Эти условия обусловили необходимость создания механизма в существенной степени стандартного для различных банков, позволяющего клиентам, государству и собственникам быть уверенными в том, что средства, размещенные в банке, не подвергаются необоснованному риску из-за слабой организации банковского дела и недостаточно взвешенного процесса выполнения операций. Такой механизм называется системой внутреннего контроля.

На практике встречаются различные определения понятия «система внутреннего контроля».

В частности, в международном нормативе аудита № 6 «Оценка риска и внутренний контроль» под системой внутреннего контроля имеются в виду контрольные процедуры, план организации и методы управления объектом в целях эффективного проведения бизнеса, защиты активов, предотвращения ошибок, аккуратности учетных проводок и своевременного предоставления финансовой информации.

Российские стандарты аудиторской деятельности [6] понимают под «системой внутреннего контроля» совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности, которая в том числе включает организованные внутри данного экономического субъекта и его силами надзор и проверку:

а) соблюдения требований законодательства;

б) точности и полноты документации бухгалтерского учета;

в) своевременности подготовки достоверной бухгалтерской отчетности;

г) предотвращения ошибок и искажений;

д) исполнения приказов и распоряжений;

е) обеспечения сохранности имущества организации».

В Положении Банка России «Об организации внутреннего контроля в кредитной организации» от 16.12.2003 № 242-П [8] система внутреннего контроля определяется как совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, указанным Положением, учредительными и внутренними документами кредитной организации.

Традиционными в американских и российских стандартах аудита литературой приводятся следующие элементы системы внутреннего контроля: контрольная среда, учетная система и процедуры контроля. [45]



Рис. 1. Традиционная система внутреннего контроля

Современный этап унификации требований к системе внутреннего контроля начался с предприятий и, в дальнейшем был адаптирован к банковской деятельности. В 1985 году в США при участии и на средства пяти профессиональных саморегулируемых организации - AICPA (American Institute of Certified Public Accountants), Американской Ассоциации по учету и отчетности (AAA), FEI (Financial Executives Institute), Института внутренних аудиторов (IIA) и Института специалистов управленческого учета (IMA) была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя Джеймса С. Тредуэя как Комиссия Тредуэя [43]. Выпущенный данной комиссией в 1987 году отчет, содержащий среди прочих рекомендаций, призыв к перечисленным организациям - спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Базируясь на этом предложении, был проведен анализ существовавшей на тот момент литературы по внутреннему контролю. Результатом этой работы стал представленный общественности в 1992 году документ под названием «Интегрированная концепция внутреннего контроля», который принято кратко называть по наименованию комитета-организатора концепцией COSO, моделью COSO или просто COSO.

Поскольку в модели COSO особый акцент был сделан на ответственность руководства предприятия за состояние контроля, по этой причине она была тем более важна. Согласно COSO внутренний контроль - это процесс, осуществляемый высшим органом предприятия, определяющим его политику, его менеджментом и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

1) производственная и финансовая эффективность операций;

2) достоверность финансовой отчетности;

3) соблюдение законодательства и требований регулирующих органов.

Сутью модели COSO является концепция внутреннего контроля, подразумевающая, что и риски, и внутренний контроль являются неотъемлемой частью самого предприятия (бизнеса). Внутренний контроль _ это не план мероприятий (даже успешно выполненный), не рубеж обороны от бесконтрольных и опасных действий и не охрана от рисков (даже хорошо оснащенная), а процесс, интегрированный в обычную деятельность.

Рис. 2 Принципы, установленные COSO

Начало построения системы внутреннего контроля непосредственно в банках было положено в 1998 году, когда Базельский комитет по банковскому надзору издал документ под названием «Основы оценки системы внутреннего контроля», устанавливавший принципы оценки надзорными органами системы внутреннего контроля кредитных организаций. Позже последовал ряд других публикаций на эту тему. В сентябре этого же года был опубликован документ «Система внутреннего контроля в банках: основы организации» [14], в июле 2000 года и в августе 2001 года были изданы рекомендации Базельского комитета «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и отношения регулирующих органов с аудиторами».

Базельским комитетом по банковскому надзору был предложен для всех органов банковского надзора набор принципов, согласно которым должна строится оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. При этом три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

В результате анализа причин ухудшения финансового состояния некоторых банков, Комитет обозначил пять общих причин, которые являлись причинами возникновения проблем в деятельности банков и которые могли бы быть ликвидированы путем основания (или использования) эффективной системы внутреннего контроля:

1. Недостаток управленческого надзора и ответственности, а также неспособность формирования серьезной культуры контроля в банке.

2. Не достаточно точная и полная оценка риска отдельных видов деятельности, отраженных на балансе или за балансом.

3. Отсутствие или недостаток ключевых мер контроля (распределение обязанностей, установление лимита ответственности, подтверждение подлинности, сверки по счетам, проверки операционной деятельности).

4. Плохая организация системы обмена информацией между разными руководящими уровнями (в особенности при доведении до руководства информации о недостатках).

5. Неэффективная программа внутреннего аудита и другой деятельности по мониторингу и исправлению недостатков.

Как видно, первостепенная задача, которая стоит перед банком при организации системы внутреннего контроля - обеспечить реализацию защитной функции в отношении собственного бизнеса. При этом нельзя игнорировать давно известный принцип «проще не пускать, чем выгонять», что в случае с системой внутреннего контроля имеет в виду приоритет подфункций обнаружения, распознавания и предотвращения потенциально опасных факторов на всех этапах деятельности.

Это подразумевает, что система внутреннего контроля должна быть многоуровневой, гармонично внедренной прямо в бизнес, быть защищенной от неразрешенного вмешательства в свою структуру, но оставаться при этом прозрачной, управляемой и трансформируемой.

Решение этой задачи требует разделения системы на следующие подсистемы:

А. «Стратегические»:

1. Управления (функции: анализ поступающих результатов работы других подсистем; регламентация и координация действий подсистем; модификация системы);

2. Обеспечения (функции: информационное, методологическое, правовое, материальное обеспечение функционирования системы внутреннего контроля);

3. Самоконтроля (функции: тестирование качества и актуальности работы всех подсистем и системы в целом, выявление точек, требующих вмешательства).

Б. «Тактические»:

4. Превентивного контроля (функции: обнаружение, распознавание и предупреждение потенциальных неблагоприятных событий, связанных с перспективной деятельностью);

5. Текущего контроля (функции: обнаружение, распознавание, предупреждение и нейтрализация потенциальных или реальных неблагоприятных событий, связанных с текущей деятельностью);

6. Ретроспективного контроля (функции: обнаружение, распознавание, предупреждение, нейтрализация потенциальных или наступивших неблагоприятных событий, связанных с прошлой деятельностью, локализация последствий от их наступления);

Чтобы такая система успешно функционировала необходимо четкое осознание того, какие человеческие ресурсы нужны в рамках решения задач каждой подсистемы; какими знаниями и навыками они должны обладать; какими технологиями и информацией следует располагать, чтобы банк в целом мог установить оптимальный компромисс между риском и выгодой, либо максимизируя выгоду при заданном уровне риска, либо минимизируя риск, на который придется идти при желаемой выгоде.

При этом работа системы должна быть направлена на выполнение следующих принципов:

- принятие любого риска должно быть совместимо с ожиданиями собственников банка, стратегическим планом и нормативными требованиями;

- все существенные риски должны выявляться и управляться в соответствии с ожиданиями высшего руководства;

- риск необходимо последовательно отслеживать и управлять им во всей организации. Взаимосвязь различных рисков и связанное с этим влияние должно быть осознанным и учитываться при принятии стратегических и тактических решений;

- сотрудники, принимающие деловые решения, должны осознавать те риски, которые они принимают, учитывать это понимание в принимаемых ими решениях для достижения приемлемого скорректированного по риску возмещения и являться подотчетными с точки зрения связанных с этим выгод и потерь;

- менеджмент должен понимать размер и характер подверженности риску, содействовать выработке информированных решений в отношении распределения ресурсов для принятия рисков и управления ими;

- ответственными за риск должны быть не только специалисты, которые измеряют, оценивают и контролируют риски;

- теми, кто берет на себя риск или принимает его на данное учреждение, должны являться не только те, кто измеряет, контролирует и оценивает риски;

- организация должна быть готова к выявлению нештатных ситуаций и своевременному и эффективному реагированию на них.

В связи с тем, что максимальной информацией для обнаружения рисков в своем деле располагают те, кто непосредственно связан с рассматриваемым бизнесом, в особенности при наличии адекватной независимой проверки и контроля, а также наличии системы стимулов к выявлению рисков и иерархии административного реагирования, является очевидной особая важность работы с персоналом банка. В первую очередь работники банка, связанные с принятием и управлением рисками, должны составлять основу при организации системы внутреннего контроля. Каждый сотрудник должен постоянно отслеживать не только собственные действия или действия своих подчиненных, но и результаты работы тех, кто поставляет ему исходную информацию. При этом очень важно соблюсти должное позиционирование процесса внутреннего контроля в организации, проявляющееся в создании такой обстановки, когда контроль не воспринимается и не является механизмом, имеющим только лишь карательное назначение. Приоритетом обязана быть мотивация тех, кто выявляет риски, а не наказание тех, по чьей вине эти риски оказались до сих пор не обнаруженными. Коллектив должен четко осознавать, что внутренний контроль это неотъемлемая часть любого бизнес-процесса, направленная на повышение эффективности и безопасности работы всей организации.

Успешное функционирование процесса внутреннего контроля как системы неразрывно связано с наличием организационно-нормативной базы. Законодательно на банки возложена обязанность создать систему внутреннего контроля [1], при этом установлены минимальные стандарты, которым она должна отвечать. Система внутреннего контроля, в первую очередь, нужна самому банку, в связи с чем именно на нём лежит бремя организационно-нормативного обеспечения системы, которое должно соответствовать следующим принципам:

- иметь общую архитектуру, во всех существенных аспектах выдержанную с точки зрения иерархии целей и объектов регулирования;

- соответствовать стратегическим целям банка и действующему законодательству;

- быть в достаточной степени доступным и понятным тем, на кого оно распространяется;

- давать ясное представление, как об общих аспектах деятельности, так и о частных случаях;

- предусматривать действия при возникновении нештатных ситуаций;

- подразумевать возможность адаптации к изменяющимся условиям в разумные сроки.

Организационно-нормативное обеспечение системы внутреннего контроля на практике должно создаваться на основе Устава, а также документов, устанавливающих цель, видение и стратегию развития банка с точки зрения его собственников, по примерно следующей структуре:

- ключевые стратегические процессы должны быть описаны в соответствующих внутрибанковских документах (Политиках) по направлениям деятельности в зависимости от характера и масштабов деятельности банка;

- регулирование групп отношений применительно к объектам и субъектам, в том числе, в рамках каждого внутрибанковского документа (Политики) осуществляется посредством соответствующих Положений;

- отношения в процессе выполнения отдельных операций или групп операций должны регулироваться внутренними Инструкциями, Порядками или Регламентами, описывающими конкретные технологии и полномочия.

Описывая требования, установленные Банком России (Положение Банка России от 16.12.2003 № 242-П [8]) к формированию системы внутреннего контроля в банке, необходимо отметить, что в качестве главных назначаются следующие направления:

- контроль со стороны органов управления за организацией деятельности банка;

- контроль за функционированием системы управления банковскими рисками и оценка банковских рисков;

- контроль за распределением полномочий при совершении банковских операций и других сделок;

- контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;

- мониторинг системы внутреннего контроля _ осуществляемое на постоянной основе наблюдение за функционированием системы внутреннего контроля для оценки степени ее соответствия задачам деятельности кредитной организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля кредитной организации (см. рисунок 3).

Рис.

На основании вышеперечисленного вытекает необходимость основания службы внутреннего контроля как одного из стержневых элементов системы внутреннего контроля. Предполагается, что «система внутреннего контроля» охватывает всю деятельность банка, а «служба внутреннего контроля» контролирует её работу.

Служба внутреннего контроля является структурой, действующей параллельно с коллегиальным исполнительным органом кредитной организации, в первую очередь в интересах собственников банка, реализовывая взаимодействие с представляющим их Советом Банка. Беря во внимание общность задач с коллегиальным исполнительным органом, также необходимо организовать конструктивное сотрудничество в части организации и обеспечения функционирования системы внутреннего контроля.

Следовательно, служба внутреннего контроля должна создаваться с соблюдением следующих принципов:

- постоянства;

- независимости;

- беспристрастности;

- профессиональной компетентности.

Наряду с этим объективно появляется необходимость в периодической внешней, независимой оценке построенной системы внутреннего контроля банка и, соответственно, качества работы службы внутреннего контроля. Данная необходимость позволяет оценить, насколько соответствует действующая система внутреннего контроля банка законодательно введенным и общепринятым стандартам и рекомендациям. Представляются ли действия высшего менеджмента банка достаточными для обеспечения должной работы системы внутреннего контроля, т.е. обеспечено ли банком безопасное, законное и эффективное использования вложенных в него средств.

1.3 Взаимодействие службы внутреннего контроля банка с внешним аудитом и надзорными структурами Банка России

В области комплексного контроля за деятельностью банка в основном действуют три квалифицированные взаимно независимые органа. Это Банк России, внешние аудиторы и подразделение внутреннего контроля самого банка. Следует отметить, что они действуют на одних и тех же принципах (постоянство, независимость, беспристрастность, профессиональная компетентность) и, в широком смысле, с одной и той же целью - оценить законность, эффективность и перспективы деятельности банка.

Как бы то ни было, действия данных организаций обусловлены различными интересами. Надзор за деятельностью кредитных организаций осуществляется Банком России преимущественно в государственных интересах для обеспечения стабильности банковской системы Российской Федерации, законности и прозрачности банковской деятельности, защиты прав и интересов инвесторов, кредиторов и вкладчиков. Внешний аудит в первую очередь ориентирован на собственников и контрагентов.

Необходимость взаимодействия службы внутреннего контроля банка с надзорными органами и внешними аудиторами установлена в рекомендациях Базельского комитета по банковскому надзору «Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов» и «Взаимоотношения между органами банковского надзора и внешними аудиторами банков». Сущность принципов сводится к тому, что контакты указанных структур видятся чрезвычайно полезными, так как позволяют всем заинтересованным сторонам вырабатывать суждение о ситуации в банке на основании собственных независимых исследований. Наоборот, службы, реализующие контроль, на основе обсуждения обретенных результатов могут выяснить истинное состояние банка и определить пути дальнейшего совершенствования внутреннего контроля.

Анализ состояния системы внутреннего контроля в банке является одной из приоритетных задач для внешнего контроля. Как правило, принято считать, что система внутреннего контроля может быть признана эффективной при выполнении следующих условий:

1. Утверждены и периодически пересматриваются собственниками банка (Советом директоров) документы, устанавливающие стратегию и политику банка в области внутреннего контроля:

- определены основные виды деятельности организации;

- идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности;

- установлены приемлемые уровни риска, которые может (должен) принимать на себя банк и его подразделения для достижения поставленных целей;

- определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска.

2. Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:

- проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками);

- утверждена организационная структура и распределение полномочий;

- разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками;

- планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля;

- в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм.

3. Создана необходимая инфраструктура, позволяющая обеспечить эффективность разных видов контроля:

- процедуры контроля реализуются на всех уровнях управления;

- осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам;

- мероприятия контроля интегрированы в ежедневные операции;

- обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей;

- организован сбор, полных и достоверных внешних рыночных данных о событиях, которые могут повлиять на принятие решений;

- финансовая и управленческая отчетность является полной и достоверной;

- обеспечено соответствие операций действующему законодательству.

4. Созданы эффективные и безопасные каналы доведения информации:

- весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности;

- обеспечена адресность и быстрота доведения необходимой информации до соответствующих работников;

- уровень информационных систем адекватен всем видам деятельности банка;

- обеспечена безопасность информационных систем, осуществляется их периодическая проверка.

5. Проводится независимый мониторинг эффективности системы внутреннего контроля:

- проводится на ежедневной основе мониторинг наиболее рискованных операций;

- оценивается влияние на операции банка каждого вида риска индивидуально, и проводится общая оценка рисков с учетом существующих методов и мер их контроля;

- проводится эффективный и всеобъемлющий внутренний аудит системы внутреннего контроля независимыми в функциональном отношении, достаточно подготовленными и компетентными сотрудниками;

- информация о недостатках внутреннего контроля своевременно доводится до управляющих соответствующего уровня и правильно адресована;

- обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

На основании этого можно сделать вывод о том, что оценка эффективности системы внутреннего контроля должна строится не только на основании количества выявленных нарушений, но и, принимая во внимание дальнейшие действия банка, его реакции, которые должны направляться на комплексный анализ причин, повлекших возникновение необычной ситуации, а также адекватности принятых мер, ориентированных на исключение предпосылок к возникновению сходных проблем в дальнейшем.

...