Организация системы внутреннего контроля в кредитных организациях

Исходя из характеристик описанной выше информационной базы, используемой для целей внутреннего контроля, и учитывая современный уровень информационных технологий, применяемых в кредитной организации, можно сделать однозначный вывод о необходимости оснащения системы внутреннего контроля автоматизированными инструментами мониторинга деятельности банка. Более того, обработка и контроль за текущими операциями банка, как в оперативном, так и в ретроспективном плане, будет малоэффективен без применения соответствующего программного обеспечения, позволяющего отслеживать деятельность сотрудников дистанционно, не отвлекая их от работы без особой надобности.

3.2 Основные формы и направления автоматизации системы внутреннего контроля

В большинстве кредитных организациях в настоящее время, как правило, уже построены локальные вычислительные сети и применяется программное обеспечение, способное в режиме реального времени решать задачи по отражению в бухгалтерском учете операций банка, а также по обработке, накоплению и хранению данных учета и отчетности. Аналогичные системы внедряются и по конкретным направлениям деятельности (кредитование, ценные бумаги, расчеты, привлечение ресурсов, основные фонды, заработная плата и др.). Кроме того, часто применяются программные средства для организации системы автоматизированного делопроизводства, документооборота, формирования различных досье, ориентированной на накопление, хранение и распространение электронных образов документов (приказов, договоров, распоряжений и пр.) появляющихся в процессе деятельности банка.

Как отмечалось выше, внутренний контроль должен быть организован как процесс, который осуществляется непрерывно. Исходя из этого, при построении программного обеспечения для целей внутреннего контроля следует реализовывать функции мониторинга и контроля по следующим направлениям:

- контроль правил и ограничений, установленных законодательством;

- контроль реально принимаемых рисков, предельный размер которых установлен внутренними документами банка;

- контроль выполнения бизнес-планов банка в целом и по направлениям деятельности;

- контроль соблюдения принципа разграничения полномочий;

- контроль качества учета и отчетности;

- обеспечение информационной безопасности автоматизированных систем банка от внешнего и внутреннего несанкционированного вмешательства;

- самоконтроль корректности и целостности программного обеспечения внутреннего контроля.

Для решения этой задачи, банк должен обеспечить:

- доступность первичной информации, хранящейся в электронном виде;

- доступность электронных образов законодательной базы, внутренних регламентирующих документов и документов, рождающихся в процессе деятельности банка;

- наличие независимых аналитических автоматизированных рабочих мест (далее - АРМ), позволяющих группируя различными способами показатели деятельности банка, осуществлять подготовку производных данных, пригодных для анализа ретроспективы, текущей деятельности и прогнозирования перспектив развития;

- защиту от несанкционированного доступа и возможность контролировать каналы передачи информации;

- физическую защиту средств и систем обработки и передачи информации в электронном виде.

Значит программное обеспечение, создаваемое для целей внутреннего контроля, должно быть функционально внедрено в операционную среду банка, обеспечивая выполнение следующих основных подфункций:

- контроль экономических показателей;

- контроль действий персонала;

- контроль собственно состояния программного обеспечения.

Контроль экономических показателей может осуществляться путем расчета экономических нормативов, что позволит своевременно и эффективно (при желании, хоть после каждой операции) выявлять приближение принимаемых рисков (например, ликвидности, кредитного, фондового, процентного, валютного и др.) к пограничным значениям и принимать адекватные меры к их снижению до удовлетворительного уровня. Нормативы могут быть как обязательные (установленные Банком России), так и собственные, разработанные в соответствии со стратегией развития.

Предусмотренная возможность ручного контроля экономических показателей с опцией прогнозирования позволит аналитикам, входящим в систему внутреннего контроля и отвечающих за контроль над рисками, периодически моделировать перспективное состояние банка в зависимости от принятия тех или иных решений. Подобные ситуационные задачи очень удобно рассчитывать и изучать применяя OLAP-технологии, позволяющие, при минимальных затратах времени и программных ресурсов, производить максимально наглядное, универсальное и гибкое представление информации.

На практике это означает виртуальный пересчет основных форм отчетности банка (в первую очередь баланса) в любой момент, группировка и расчет на базе первичных данных учета аналитических показателей. Данные показатели способны наглядно отражать влияние изменения одних показателей на величину рисков как связанных непосредственно с изменяемыми показателями, так и на смежные, зависимые риски. Например, влияние увеличения кредитного портфеля на ликвидность баланса банка или на потенциальную величину норматива достаточности капитала.

Во избежание отклонения тех или иных показателей от заданных предельных величин (лимитов и нормативов), расчет перспективных показателей для непосредственно контрольных целей может производиться в автоматическом режиме с заданной регулярностью (к примеру, в конце каждого операционного дня). В случае возникновения критических или недопустимых отклонений, программе целесообразно автоматически уведомлять ответственных сотрудников банка о возникновении (или наличии риска возникновения) нештатной ситуации, либо даже блокировать проведение операций, влекущих за собой критическое отклонение от нормы.

При упоминании о контроле действий персонала, следует исходить из того, что общеизвестны следующие моменты:

- при нормальной работе локальной вычислительной сети любая информация, находящаяся в электронном образе на сетевых ресурсах, может отслеживаться без ведома пользователя;

- очень пристальный явный контроль за работой любого человека (даже если в коллективе создана нормальная атмосфера и внутренний контроль позиционируется правильно) редко способствует повышению его работоспособности и максимальной эффективности для достижения целей банка.

Таким образом, большинство задач по реализации текущего внутреннего контроля может и должен решаться в закрытом режиме, когда контролируемый сотрудник знает о наличии у СВК возможности отслеживать все его действия, пока он работает с сетевыми программными комплексами, но не имеет реального физического контакта с этой службой. Кроме того, это воспринимается как данность, так как все работники находятся в одинаковом положении.

Данный подход содействует решению следующих задач. Во-первых, существует возможность непрерывно осуществлять мониторинг работы любого сотрудника, во-вторых, знание о постоянном контроле снижает риск того, что кто-то из персонала попытается осуществить действия, выходящие за рамки его компетенции.

Подобно описанной выше схеме работы программного обеспечения, направленного на контроль экономических показателей, проверка действий персонала также должна действовать как постоянный автоматический и периодический ручной контроль.

Присутствие возможности постоянного контроля позволяет в некоторой степени автоматизировать контроль соблюдения принципа разграничения полномочий и определения зоны ответственности каждого сотрудника и дает автоматически осуществлять контроль соблюдения индивидуальных лимитов проведения операций и прав доступа персонала.

Организовать работу программного обеспечения целесообразно таким образом, что в случае незначительного превышении лимита операции или несанкционированного доступа в какую-то из смежных зон хранилища данных система будет просто информировать об этом руководство, вышестоящее над данным объектом контроля, и службу внутреннего контроля; либо блокировать операцию, требуя подтверждения прав с рабочего места руководителя. В случае существенного превышения лимитов либо при попытке проникновения в закрытые для данного сотрудника области хранилища проведение операции сразу может быть блокировано, о чем извещаются руководитель и служба внутреннего контроля. Максимально эффективно задача разграничения полномочий решается путем правильного администрирования локальной вычислительной сети банка, когда сотрудник имеет доступ со своей рабочей станции только к тем фрагментам сети, с которыми он имеет право работать.

Несанкционированные действия сотрудников могут фиксироваться либо посредством автоматического формирования сообщения, либо посредством занесения соответствующей записи в электронный журнал.

Наличие периодического ручного контроля имеет в виду возможность без ведома сотрудника отслеживать все действия, которые он совершает на своей рабочей станции (при необходимости - в режиме реального времени) с целью подробной оценки качества его работы. Это имеет смысл особенно тогда, когда в отношении сотрудника имеются какие-либо подозрения, которые надо подтвердить или опровергнуть.

Контроль собственно состояния программного обеспечения внутреннего контроля необходим для поддержания его целостности, актуальности и обеспечения собственной информационной безопасности системы.

Это производится путем периодического его тестирования на предмет контроля отражения изменений технологии, внесенных в одни компоненты (например, формулы расчета показателей или план счетов), на смежные и (или) зависимые компоненты обеспечения, использующие ту же технологию. Также должен осуществляться постоянный автоматический анализ легальности обращения и модификации АРМов внутреннего контроля.

Такое построение контрольного программного обеспечения в системе внутреннего контроля может показаться на первый взгляд очень затратным с финансовой точки зрения и громоздким в плане потребляемых сетевых ресурсов. Отчасти это справедливо, но только в одном случае _ если такое программное обеспечение будет надстраиваться к уже действующим средствам автоматизации банка. В том случае, если контрольные блоки будут предусмотрены ещё на этапе постановки задачи и изначально надстроены ко всем АРМам, их стоимость, в контексте получаемых возможностей, должна представиться вполне разумной. В итоге, внедрение подобных систем должно рассматриваться с учетом того, сколько готов платить банк за получение возможности контролировать себя таким образом, то есть, соответствует ли это объему и характеру осуществляемых операций и размеру потенциального ущерба от некорректных действий.

Для обеспечения нормальной работы системы внутреннего контроля немаловажным является качественная организация всей информационной системы контрольно-аналитической работы банка.

Несомненно, основой её реализации должна быть технология «Хранилище данных», представляющее собой по определению Б. Инмона предметно ориентированный, неизменный, поддерживающий хронологию набор данных, предназначенный для поддержки принятия решений.

Эта технология предстает очень выгодной для целей внутреннего контроля, так как обеспечивается проблемная ориентированность, интегрируемость, постоянство и хронологическая упорядоченность данных. Таким образом, представляется возможным быстро и точно находить то, что нужно для решения конкретных задач, работать с единообразной, достоверной и хронологически выверенной информацией.

При написании программного обеспечения это в особенности важно, потому как отпадает надобность манипулировать с разрозненными, технологически неоднородными, созданными в различной программной среде данными, не упорядоченными по дате и времени. Таким образом, программное обеспечение системы внутреннего контроля может быть предельно упрощено, а его аналитические АРМы могут быть «приведены к общему знаменателю» с другими применяемыми в банке аналитическими АРМами (т.е. существенно повысится надежность и снизится стоимость программного продукта). Получается, нет необходимости рассчитывать показатели раз за разом, разными пользователями и инструментами, проще дать им возможность использовать уже рассчитанные (по скрупулезно выверенной технологии) производные в своей работе автономно в качестве исходных данных. А если будет присутствовать возможность проверить правильность их расчета _ повысится ценность и качество контроля, так как и для анализа, и для контроля будут использоваться одни и те же вводные величины. Вместе с тем, программное обеспечение должно быть гибким, должно позволять банковским аналитикам, обеспечивающим принятие решений, и внутреннему контролю, оценивающему эти решения со своих позиций, всячески манипулировать данными, оценивая максимальное количество выгод и рисков, с целью нахождения в итоге оптимального компромисса между принимаемыми рисками и ожидаемой их компенсации.

Бывает, что по каким-либо причинам применение технологии «хранилище данных» невозможно. Тогда программное обеспечение внутреннего контроля принципиально будет таким же, как описано выше, только будет несколько усложнено и разобщено. Для контроля экономических показателей, добавится необходимость поддержки единства аналитических производных данных, используемых в банке, посредством сверки технологий (формул) их расчета в разных программных продуктах. Также добавится надобность либо приводить исходные данные и их производные к единому виду с помощью конвертирующих программ (макросов) и сопоставлять в автоматическом режиме, либо сверять вручную с бумажных носителей. Расчет показателей эффективности для целей контроля их соответствия планам банка может в этом случае осуществляться с помощью наиболее совершенных АРМов из уже имеющихся или отдельных, специально созданных АРМов. Функция автоматического информирования о приближении отклонений к критической величине при этом может быть выполнена с помощью установки контрольных программ в каждой операционной среде персонально. Подобным образом может быть организована и работа по контролю действий персонала, и анализу непосредственно программного обеспечения внутреннего контроля.

Следует обратить особое внимание, что независимо от базовой технологии, при построении автоматизированной банковской системы крайне важно уделить должное и своевременное внимание вопросу обеспечения её безопасности. Целью внутреннего контроля в данном случае будет проверка полноты и качества применяемых соответствующими структурными подразделениями банка мер, направленных на предотвращение снижения уровня безопасности информационных систем банка. Для чего нужно четко выявлять и понимать имеющиеся угрозы, основными из которых являются:

- технологические сбои в работе программного обеспечения и оборудования;

- некомпетентные или халатные действия сотрудников банка, ответственных за эксплуатацию системы и поддержание её в надлежащем состоянии;

- некорректные внешние воздействия, не связанные с преступными посягательствами;

- злоумышленные действия сотрудников банка;

- внешние воздействия криминального характера.

Противодействие опасностям, связанным с нарушением нормального функционирования техники, такими как повреждение, уничтожение данных или блокировка доступа к ним, недопущение сбоев в работе программного обеспечения, должны осуществляться посредством непрерывного мониторинга состояния аппаратных средств и систем обработки и передачи информации, разработки планов действий на случай возникновения нештатных (форсмажорных) ситуаций, создания резервных копий и стендовых версий применяемых программ, а также определение и отладка запасных каналов передачи.

Защита от некорректных воздействий должна обеспечиваться комплексом организационно-технических мероприятий:

- разработка соответствующих локальных нормативных актов;

- установка средств и систем защиты рабочих станций, сетевого оборудования, информации, каналов связи и инфраструктуры жизнеобеспечения банка;

- обучение пользователей правильной работе со своими АРМами и защитными системами;

- ограничение физического доступа к паролям, носителям информации и системам обеспечения.

Внутренние нормативные документы должны четко и недвусмысленно определять права и обязанности пользователей при работе с информацией, а администрирование организовано так, чтобы пользователь мог работать только с той информацией (строго определенными способами), которая имеет смысл для выполнения им своих непосредственных обязанностей.

Особо важные для банка информационные системы можно защитить, разграничив полномочия по созданию пользователей данных систем и наделению их теми или иными полномочиями. То есть администратор системы должен иметь возможность создать пользовательское место, но не может наделить его правами воздействия на систему, а другой сотрудник (как правило, администратор информационной безопасности) может наделять созданных пользователей полномочиями, но не имеет возможности их создавать.

Беря во внимание необходимость ограждения автоматизированных банковских комплексов от внешнего вмешательства, можно констатировать, что современные средства и системы обеспечения информационной безопасности позволяют достаточно надежно защитить банк от преступных посягательств, выраженных в попытках технического вторжения извне с целью хищения информации, осуществления переводов средств, либо из хулиганских побуждений. Для этого даже совсем не обязательно физическое отделение локальных вычислительных сетей от глобальных, что особенно важно в силу развития дистанционного обслуживания клиентов, включая Интернет_технологии. Как показывает практика, большинство противоправных действий осуществляются (и будут осуществляются) через сотрудников банка. По этой причине, отдельным блоком должен рассматриваться вопрос контроля за совершением персоналом заведомо противоправных действий. Как правило, они выражаются на практике в передаче третьим лицам информации о банке, его контрагентах или осуществления операций не в интересах банка. При этом сотрудник, совершающий такие действия, практически всегда имеет легальный (вытекающий из его основных трудовых обязанностей) доступ к информации ограниченного распространения, в связи с чем, его обращение к тем или иным информационным ресурсам не вызывает обеспокоенности. Таким образом, на уровне автоматического контроля распознать злоумышленные действия обычно крайне сложно. Безусловно, основа противодействия этой угрозе лежит в первую очередь в организационной плоскости, начиная от тщательного отбора сотрудников при приеме на работу и заканчивая проведением подробного расследования и анализа вскрытых фактов. Все-таки решение этого вопроса на программном уровне представляется возможным. Например, через установку ограничений прав сотрудников (предоставление права просмотра, но запрет права на копирование или передачу данных), введение системы подтверждения операций с особо важной информацией со стороны вышестоящего руководителя и ведение автоматического протокола контроля действий. Следует отметить, что данная работа должна проводится таким образом, чтобы существенно не ухудшать морально-психологический климат в коллективе.

Обобщая вышеизложенное, можно отметить, что построение программного обеспечения в интересах внутреннего контроля должно предусматриваться изначально, при построении автоматизированной банковской системы, то есть быть её неотъемлемой составной частью. Также оно должно функционировать в оперативном смысле по принципу «сигнального флажка», т.е. уведомлять уполномоченные структуры о наличии отклонений от нормы в кратчайшие сроки, предусматривать возможность блокировки тех или иных опасных для банка действий. В стратегическом смысле программное обеспечение должно иметь возможность независимого анализа состояния банка с точки зрения оправданности принимаемых рисков. В случае если архитектура автоматизированной банковской системы уже сформирована, но без учета интересов внутреннего контроля, то тогда программное обеспечение будет представлено в качестве пакета прикладных программ в совокупности реализовывающих те же функции.

Заключение

Исследование вопросов, связанных с организацией системы внутреннего контроля в кредитных организациях в теоретических и практических аспектах, позволяет сделать следующие выводы.

Наличие эффективной системы внутреннего контроля является критическим условием для обеспечения процесса управления банком, одной из основ для осуществления безопасной и устойчивой работы кредитной организации и важным фактором повышения надежности банковской системы в целом.

Очень важным при этом является правильное отношение собственников, высшего исполнительного руководства и персонала банка к внутреннему контролю как действующему в их интересах, ориентированному на повышение эффективности, прозрачности и законности бизнеса процессу выявления, распознавания, оценки и нейтрализации возможности материализации неблагоприятных для банка рисков. Внутренний контроль должен охватывать всю деятельность банка, являясь неотъемлемым компонентом любой операции.

Необходимость непрерывного и эффективного решения одновременно множества задач большим количеством субъектов в процессе осуществления внутреннего контроля, требует построения четкой системы взаимоотношений между ними - системы внутреннего контроля. Эта система должна быть многоуровневой, гармонично интегрированной непосредственно в бизнес, быть защищенной от несанкционированного вмешательства в собственную структуру, но оставаться при этом прозрачной, управляемой и модифицируемой.

Для успешного функционирования системы внутреннего контроля критично наличие понятной, доведенной до персонала внутренней организационно-нормативной базы, соответствующей стратегическим целям банка и действующему законодательству, подразумевающей возможность адаптации к изменяющимся условиям в разумные сроки.

С целью осуществления контроля за действием собственно системы внутреннего контроля, охватывающей всю деятельность банка в кредитных организациях должна быть создана квалифицированная служба внутреннего контроля, действующая параллельно с коллегиальным исполнительным органом кредитной организации в первую очередь в интересах собственников банка, осуществляя взаимодействие с представляющим их Советом Банка. Учитывая общность задач, с коллегиальным исполнительным органом также должно осуществляться конструктивное сотрудничество в части организации и обеспечения функционирования системы внутреннего контроля.

При этом объективно возникает необходимость в периодической внешней независимой оценке системы внутреннего контроля банка и, соответственно, качества работы службы внутреннего контроля. Это позволит определить, насколько соответствует построенная система внутреннего контроля банка законодательно установленным и общепринятым стандартам и рекомендациям, являются ли действия высшего менеджмента банка достаточными для обеспечения надлежащего функционирования системы внутреннего контроля, т.е. всё ли сделано банком для обеспечения безопасного, законного и эффективного использования вложенных в него средств.

В сфере комплексного контроля за деятельностью банка в основном действуют три квалифицированных взаимно независимых органа. Это Банк России, внешние аудиторы и подразделение внутреннего контроля самого банка. Более того, они действуют на одних и тех же принципах и, в широком смысле, с одной и той же целью - оценить законность, эффективность и перспективы деятельности банка. Вместе с тем, действия указанных структур обусловлены различными интересами.

Оценка эффективности системы внутреннего контроля должна строится не только исходя из количества выявленных нарушений, но и, принимая во внимание дальнейшие действия банка, его реакции, которые должны быть направлены на комплексный анализ причин, повлекших возникновение ненормальной ситуации, и адекватности принятых мер, ориентированных на исключение предпосылок к возникновению аналогичных проблем в дальнейшем.

Взаимодействие органов банковского надзора, внешнего аудита и службы внутреннего контроля банка порождает возникновение системы взаимосвязанного контроля, когда результаты оценки функционирования системы внутреннего контроля, полученные органами надзора и внешнего аудита, позволяют судить и нивелировать ошибки и неточности в работе системы внутреннего контроля, что дает возможность, с определенной долей уверенности, устанавливать и констатировать истинное состояние дел в банке. Это особенно важно как для Банка России в лице куратора кредитной организации, так и для собственников банка, так как именно наличие истинного представления об уровне риска позволяет формировать позицию относительно перспектив развития конкретной кредитной организации, прогнозировать проблемные участки и своевременно, а значит, с большей эффективностью, реагировать на потенциальные проблемы.

Таким образом, представляется целесообразным в качестве стратегической перспективы развивать взаимодействие надзорных органов с внешними аудиторами и службой внутреннего контроля банка.

В реализации успешного функционирования системы внутреннего контроля существенную роль играет его информационное обеспечение.

Банк, как сложная общественно-экономическая система, для своего управления требует самой широкой информационной базы и от того, как организован сбор, накопление, систематизация, обработка и распределение информации в целях обеспечения процесса принятия решений, в значительной мере зависит результативность внутреннего контроля, а также эффективность управления в целом. Объем и содержание информационной базы, используемой для целей внутреннего контроля, и современный уровень информационных технологий, применяемых в кредитной организации, предопределяют возможность сделать однозначный вывод о необходимости оснащения системы внутреннего контроля автоматизированными инструментами мониторинга деятельности банка.

Программное обеспечение, создаваемое для целей внутреннего контроля должно быть функционально имплантировано в операционную среду банка, обеспечивая выполнение следующих основных подфункций:

- контроль экономических показателей;

- контроль действий персонала;

- контроль собственно состояния программного обеспечения.

При этом должны быть предусмотрены как постоянный автоматический, так и периодический ручной режимы работы.

При обеспечении нормальной работы системы внутреннего контроля очень важным является то, как организована вся информационная система контрольно-аналитической работы банка. Разумеется, основой её реализации должна быть технология «Хранилище данных», так как при её применении обеспечивается проблемная ориентированность, интегрируемость, постоянство и хронологическая упорядоченность данных. В случае если по каким-либо причинам применение технологии «хранилище данных» невозможно, то принципиально программное обеспечение внутреннего контроля будет таким же, как описано выше, просто будет несколько усложнено и разобщено.

Таким образом, построение программного обеспечения в интересах внутреннего контроля должно предусматриваться изначально, при построении автоматизированной банковской системы, то есть быть её неотъемлемой составной частью. Функционировать в оперативном смысле по принципу сигнализации, т.е. информировать уполномоченные структуры об отклонениях от нормы в кратчайшие сроки, предусматривать возможность блокировки тех или иных опасных для банка действий. В стратегическом смысле оно должно предусматривать возможность независимого анализа состояния банка с точки зрения оправданности принимаемых рисков. В случае если автоматизированная банковская система уже построена, но без учета интересов внутреннего контроля, то тогда программное обеспечение будет представлено в качестве пакета прикладных программ, в совокупности осуществляющих те же функции.

В любом случае, независимо от базовой технологии, при построении автоматизированной банковской системы очень важно уделить должное и своевременное внимание вопросу обеспечения её безопасности. Задача внутреннего контроля в данном случае проверять полноту и качество применяемых соответствующими структурными подразделениями банка мер, направленных на предотвращение снижения уровня безопасности информационных систем банка.

В результате рассмотрения фактического состояния систем внутреннего контроля в некоторых российских банках автором сделан вывод о том, что оно может быть самым разнообразным, в зависимости от объемов и характера выполняемых операций, отношения владельцев и менеджмента банка к данной проблеме а также от уровня компетентности руководителя и сотрудников службы внутреннего контроля.

С целью повышения качества управления банком считаю целесообразным на уровне всей банковской системы рекомендовать банкам разработать собственные контрольные нормативные (пограничные) показатели деятельности по основным рискам и определить перечень наиболее опасных по мнению собственников банка нарушений со стороны сотрудников, особенно руководителей (опасных событий). При достижении фактических показателей банка пограничных значений, либо при выявлении опасных событий руководителю СВК вменить в обязанность незамедлительно информировать об этом Совет директоров. Это даст возможность собственникам банка максимально оперативно реагировать на возникающие проблемы и своевременно заняться оздоровлением собственного бизнеса.

Список использованных источников и литературы

Приложение 2

Схема. Состав объектов внутреннего контроля обеспечения безопасности информационных систем банка

Размещено на Allbest.ru