Как повысить качество работы СВК: Положение № 242-П — пишем, COSO — в уме
Раздел: Статьи российских авторов
Автор: Тимофей МИКРЮКОВ, CIA, эксперт по внутреннему контролю и аудиту, член НП «Институт внутренних аудиторов»[4]
Статья была опубликована в журнале "Внутренний контроль в кредитной организации", № 1 (37) \ 2018
В статье дано сравнение подходов к организации внутреннего контроля в модели COSO[1], Базельских рекомендациях[2] и Положении № 242-П[3], что поможет структурировать требования к системе внутреннего контроля и улучшить ее организацию. На какой нормативный документ лучше ориентироваться банкам, чтобы максимально соответствовать требованиям Банка России? Как использовать требования, предъявляемые в рамках налогового мониторинга, для совершенствования системы внутреннего контроля?
В сфере регулирования деятельности российских организаций пока немного нормативных документов, устанавливающих порядок и методологию организации системы внутреннего контроля (далее — СВК). Есть документы, в которых говорится о необходимости осуществления внутреннего контроля[5], или документы, в которых определены общие подходы к построению систем управления рисками и внутреннего контроля[6].
В 2017 г. ФНС России установила требования к организации СВК для компаний, перешедших на режим налогового мониторинга. Банк России традиционно предъявляет повышенные требования к внутреннему контролю в кредитных организациях. Все эти подходы в какой-то степени основаны на модели COSO, но при этом каждый имеет свои особенности, которые будут рассмотрены далее.
Какими документами руководствоваться, развивая СВК в банке?
Как известно, модель COSO устанавливает общие подходы к построению СВК. Она состоит из 5 компонентов и 17 принципов (табл. 1).
Таблица 1
Компоненты и принципы модели COSO
Компонент |
Принципы |
1. Контрольная среда |
1. Стиль руководства и этические принципы. 2. Роль Совета директоров. 3. Организационная структура и разграничение полномочий. 4. Компетентность и развитие персонала. 5. Ответственность в области внутреннего контроля |
2. Оценка рисков |
6. Целеполагание. 7. Выявление и анализ рисков. 8. Анализ рисков мошенничества и коррупции. 9. Мониторинг изменений |
3. Контрольные процедуры (КП) |
10. Дизайн и операционная эффективность КП. 11. Использование технологий. 12. Политики и процедуры |
4. Информация и коммуникация |
13. Информационный обмен. 14. Внутренние коммуникации в области внутреннего контроля. 15. Внешние коммуникации в области внутреннего контроля |
5. Мониторинг |
16. Оценка функционирования системы внутреннего контроля. 17. Отчетность в области системы внутреннего контроля |
При оценке СВК организации по модели COSO в первую очередь оценивается соблюдение каждого принципа, на их основе оценивается каждый компонент, а в итоге дается общая оценка СВК. Принципы оцениваются на соответствие двум вопросам: «имеется ли в наличии?» и «работает ли?». При наличии существенных недостатков внутреннего контроля даются комментарии и определяются компенсирующие средства контроля. Кроме того, указываются относящиеся к другому принципу недостатки внутреннего контроля, которые могут воздействовать на выявленный недостаток.
В целом принципы сформулированы на достаточно общем уровне и для проведения оценки необходимо иметь в виду конкретные аспекты работы с указанием недостатков внутреннего контроля. Общие формулировки COSO несколько детализированы в «Методических рекомендациях по организации и осуществлению внутреннего контроля»[7], которые можно использовать для уточнения требований модели COSO.
В Базельских рекомендациях, в свою очередь, обобщаются отдельные принципы COSO. Например, компонент «Признание и оценка риска»/«Оценка рисков» в Базельских рекомендациях раскрывается в одном принципе, в COSO — в четырех. С другой стороны, часть этих рекомендаций раскрывает модель COSO более подробно.
К положительным моментам Базельских рекомендаций следует отнести:
— требования по разделению обязанностей и исключению конфликта интересов (принцип 6);
— требования к информационным системам и их поддержке при чрезвычайных обстоятельствах (принципы 8 и 9);
— требования к службе внутреннего аудита (принцип 11).
Отдельного внимания заслуживает принцип 13, устанавливающий требования к оценке СВК кредитных организаций со стороны надзорных органов.
Как известно, Письмо № 87-Т носит рекомендательный, информационный характер для российских кредитных организаций. Тем не менее, оно является основой для требований к СВК, изложенных в Положении № 242-П.
Структура Положения № 242-П по компонентам и принципам внутреннего контроля не такая четкая, как структура модели COSO или Базельских рекомендаций. Компоненты COSO прослеживаются в направлениях СВК кредитной организации, описанных в п. 3.1 Положения № 242-П, которые далее раскрываются по тексту документа. Но формулировки этих направлений отличаются от Базельских рекомендаций и модели COSO таким образом, что, на наш взгляд, сужают первоначально вложенный смысл (табл. 2).
Таблица 2
Сравнение модели COSO и Базельских рекомендаций с Положением № 242-П
Компонент COSO/Базеля |
Положение № 242-П |
Комментарии |
Контрольная среда/Управление и культура контроля |
Контроль со стороны органов управления за организацией деятельности кредитной организации |
В Базеле и COSO имеются в виду создание и поддержание контрольной среды, а контроль со стороны органов управления — часть этого компонента |
Оценка рисков/Признание и оценка риска |
Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков |
По Базелю и COSO необходимо само наличие системы управления рисками, а контроль за ее функционированием — отдельная тема для руководства и внутреннего аудита |
Контрольные процедуры/Деятельность по осуществлению контроля и разделение полномочий |
Контроль за распределением полномочий при совершении банковских операций и других сделок |
По Базелю и COSO необходимо наличие эффективных КП. Распределение полномочий — одно из требований при построении КП, но контроль за ним не гарантирует построение самих КП |
Информация и коммуникация/Информация и система ее передачи |
Контроль за управлением информационными потоками и обеспечением информационной безопасности |
По Базелю и COSO необходимо наличие эффективной системы передачи информации и эффективных информационных систем. Контроль за управлением ими — следующий этап |
Мониторинг/Мониторинг деятельности и исправление недостатков |
Осуществляемое на постоянной основе наблюдение за функционированием СВК |
В целом есть соответствие между положениями всех трех документов |
Как видно из табл. 2, в Положении № 242-П сделан акцент на контроль за элементами СВК без фокусировки на создание этих элементов. В то же время по Базелю и COSO система внутреннего контроля прежде всего включает в себя компоненты «построения» (контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация) и только один из компонентов является мониторингом (или контролем) самой СВК. В документе Банка России в первую очередь определен этап check («проверяй») и лишь затем идет самый важный этап — do («делай»), что не соответствует очередности действий согласно классическому процессу принятия решений Деминга–Шухарта PDCA[8]. Складывается впечатление, что наиболее важным является этап «проверки» («контроля») компонентов, а не их наличие и эффективность.
Содержание, вкладываемое Банком России в направления СВК по Положению № 242-П, раскрыто в Рекомендациях № 32-МР[9]. Для каждого направления приведена таблица с вопросами, полностью раскрывающими суть требований регулятора (табл. 4–8 Приложения 2 к Рекомендациям). Также оцениваются в целом система внутреннего контроля (табл. 1 Приложения 2), служба внутреннего аудита (табл. 2 Приложения 2) и служба внутреннего контроля (табл. 3 Приложения 2). Приведены опросники для проверки обособленных и внутренних структурных подразделений кредитной организации (Приложение 3). Данный документ достаточно полно определяет требования к СВК кредитных организаций и требует отдельного рассмотрения. Не вдаваясь в детали всех направлений СВК, обратим внимание на отдельные вопросы, требующие улучшения.
В приложении «Оценка организации системы внутреннего контроля кредитной организации» (табл. 1 Приложения 2) все вопросы так или иначе отражают компоненты COSO.
Однако, во-первых, они не структурированы по этим компонентам. Например, вопрос № 39 «Приняты ли кредитной организацией решения о соблюдении норм профессиональной этики…», относящийся к компоненту COSO «Контрольная среда», находится между вопросом № 38 об осуществлении двойного контроля за операциями (компонент «Контрольные процедуры») и вопросом № 40 о правилах управления информационной деятельностью (компонент «Информация и коммуникация»).
При оценке СВК в соответствии с Рекомендациями № 32-МР удобнее разделить вопросы в форме «Оценка организации системы внутреннего контроля кредитной организации» (табл. 1 Приложения 2) на группы, соответствующие компонентам модели COSO. Это позволит структурировать требования к СВК и улучшить ее с учетом подходов и положительной практики по применению COSO, в том числе в других отраслях.
Во-вторых, многие из вопросов впервые отражены только в Рекомендациях № 32-МР, прямое упоминание о них в Положении № 242-П отсутствует (напомним, что Положение № 242-П — обязательный документ, в отличие от Рекомендаций № 32-МР). Тот же вопрос № 39 с требованиями о соблюдении норм профессиональной этики никак напрямую не отражен в Положении № 242-П. Также в Рекомендациях № 32-МР есть вопросы, которые регулируются иными, чем Положение № 242-П, документами Банка России: например, квалификация руководителя службы внутреннего контроля и службы внутреннего аудита[10]. Чтобы полностью соответствовать требованиям Банка России, банкам целесообразно в первую очередь ориентироваться на вопросы из Рекомендаций № 32-МР.
В-третьих, при рассмотрении общей оценки СВК (табл. 1 Приложения 2) совместно с оценкой по каждому направлению СВК (табл. 4–8 Приложения 2) видно, что вопросы из анкет раскрывают суть направлений СВК по Положению № 242-П, но при этом не упоминаются отдельные принципы COSO, что в итоге может повлечь за собой упущение их из виду при построении СВК (табл. 3).
Таблица 3
Принципы COSO, не выделенные в Положении № 242-П
Направление СВК из Положения № 242-П |
Невыделенные принципы COSO |
Контроль со стороны органов управления за организацией деятельности кредитной организации |
Контрольная среда Принцип 1. Организация демонстрирует приверженность к честности и этическим ценностям. Принцип 4. Организация демонстрирует стремление к привлечению, развитию и удержанию компетентных работников в соответствии с поставленными целями. Принцип 5. Организация устанавливает ответственность за выполнение ими своих обязанностей в сфере внутреннего контроля в процессе достижения целей |
Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков |
Оценка рисков Принцип 6. Организация определяет четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению. Принцип 8. При оценке рисков достижения целей организация рассматривает возможность мошенничества |
Контроль за распределением полномочий при совершении банковских операций и других сделок |
Контрольные процедуры Принцип 10. Организация выбирает и разрабатывает контрольные процедуры, которые позволяют снизить до приемлемого уровня риски, препятствующие достижению целей. Принцип 12. Организация реализует контрольные процедуры посредством политик, которые определяют ожидаемые результаты, и процедур, посредством которых политики претворяются в жизнь |
Как видно из таблицы, по отдельным направлениям СВК Банк России установил общие подходы при отсутствии конкретизации принципов и требований COSO. С учетом имеющихся документов, раскрывающих порядок применения принципов COSO на практике, для банков указание всех принципов COSO позволило бы развивать СВК более полноценно.
Применение подходов налогового мониторинга в работе СВК
Отдельные направления СВК банков могут совершенствоваться с учетом подходов, применяемых в налоговом мониторинге. ФНС России издан документ, устанавливающий требования к СВК организаций, вступивших в режим налогового мониторинга, — Приказ от 16.06.2017 № ММВ-7-15/509@ «Об утверждении Требований к организации системы внутреннего контроля».
В данных требованиях так же, как и в модели COSO, присутствуют пять компонентов внутреннего контроля: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, процедуры мониторинга. Вместе с тем инструменты оценки СВК в разрезе компонентов несколько отличаются от «классического» подхода COSO. Автором проведено сравнение компонентов модели COSO и требований ФНС России, результаты которого представлены в табл. 4.
Таблица 4
Преимущества и недостатки модели ФНС России в сравнении с моделью COSO
Преимущества |
Недостатки |
Компонент «Оценка рисков». Уточнены требования к оценке и документированию выявленных рисков |
Компонент «Контрольная среда». Не определены требования к установлению ответственности за создание и поддержание СВК на всех уровнях управления организации и ее связи с ключевыми показателями деятельности |
Компонент «Контрольные процедуры». Уточнены требования к документированию контрольных процедур |
Компонент «Оценка рисков». Не установлены требования о четком определении целей и задач, непосредственно связанных со стратегией, доведении их до сведения работников и реализации на уровне всех подразделений организации |
Компонент «Контрольные процедуры». Конкретизирован показатель по использованию технологий — «наличие автоматизированных КП», определяемый как удельный вес автоматизированных КП в общем объеме КП |
Компонент «Оценка рисков». Не установлены требования по учету организацией возможности мошенничества при оценке рисков, препятствующих достижению поставленных целей |
Компонент «Контрольные процедуры». Конкретизирован показатель по использованию технологий — «Соотношение автоматизированных и ручных контрольных процедур организации» |
Компонент «Оценка рисков». Не установлены требования по определению и оценке организацией изменений, которые могут оказать значительное воздействие на СВК |
Компонент «Информация и коммуникация». Общие формулировки COSO преобразованы в конкретные требования к информационным системам (далее — ИС) организации: проведение внешнего и внутреннего аудита ИС; защита несанкционированного доступа к данным; требования к ИС для бухгалтерского и налогового учета и к ИС для контроля за подготовкой отчетности и исчислением и удержанием налогов, сборов и страховых взносов; наличие контролей, выполняемых в режиме реального времени |
Компонент «Контрольные процедуры». Не установлены требования по политике внутреннего контроля, которая определяет ожидаемые результаты, и процедурам, посредством которых политика претворяется в жизнь |
Компонент «Мониторинг». Установлено требование о принятии мер по совершенствованию СВК |
|
Компонент «Мониторинг». Установлено требование о проведении внутреннего и внешнего аудита |
|
Как видно из таблицы, некоторые принципы COSO не учтены в требованиях ФНС России. Вероятно, причина в специфике данной модели СВК, целью которой являются предоставление качественной налоговой отчетности и правильное исчисление налогов и сборов. Но для целостной оценки СВК отсутствие оценки отдельных принципов может привести к неверным выводам.
Пример — принцип целеполагания в компоненте «Оценка рисков». Согласно модели COSO «организация должна определить четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению». Постановка целей первична по отношению к оценке рисков, если нет целей — нет и рисков. Общая цель данной модели СВК ясна, но любая общая цель декомпозируется до целей более низкого уровня: целей подразделений, бизнес-процессов и операций. В итоге и риски определяются на том же уровне бизнес-процессов и операций. Целеполагание является неотъемлемой частью процесса оценки рисков, и этот принцип также следует учитывать.
В банковской сфере выделение этого принципа может способствовать построению более качественной СВК. Формулировка целевого уровня принципа может быть следующей: «Цели и задачи четко определены, полностью понятны, доведены до сведения работников, последовательно реализуются и оцениваются; цели и задачи регулярно пересматриваются и совершенствуются с учетом изменений в организации и новых условий ведения бизнеса, что позволяет повышать показатели эффективности деятельности и занимать лидирующее положение на рынке»[11].
По некоторым компонентам налоговые органы установили более конкретные показатели оценки, что позволит банкам иметь четкие ориентиры для совершенствования СВК. Например, при оценке компонента СВК «Информационная система организации» используется показатель «Требования к информационным системам для бухгалтерского и налогового учета». Согласно модели COSO по данному компоненту определены только общие принципы.
Кроме того, установлены требования не только по выявлению и оценке рисков, но и по их документированию. Аналогично рискам контрольные процедуры должны быть описаны и задокументированы, должна проводиться оценка их эффективности. Также предложены более точные показатели оценки СВК: «Наличие автоматизированных контрольных процедур», «Соотношение автоматизированных и ручных контрольных процедур», «Наличие контролей, выполняемых в режиме реального времени».
Данные ориентиры могут быть использованы для совершенствования СВК кредитных организаций в дополнение к требованиям Банка России. Так, например, в документах Банка России оценка СВК не учитывает увеличение числа автоматизированных контрольных процедур (в т.ч. осуществляемых в режиме реального времени), раскрытие информации о рисках и контрольных процедурах и их документирование.
Один из важнейших моментов налогового мониторинга — заполнение форм отчетности о рисках и контрольных процедурах, их анализе и результатах выполнения, а также мероприятиях по совершенствованию СВК. Ключевым документом является матрица рисков и контрольных процедур, где каждому риску соответствует «ответ» на этот риск — контрольная процедура. Данная форма позволяет инвентаризировать имеющиеся риски и контрольные процедуры: увидеть риски, не покрытые контрольными процедурами, и контрольные процедуры, не покрывающие никакие существенные риски (т.е. «лишние»). Если в этой матрице указать процесс и его цель, то становится видна полная логика выстраивания контрольных процедур: «процесс» — «цель процесса» — «риск недостижения цели процесса» — «контрольная процедура, снижающая риск». В банковской сфере такие требования отсутствуют как в обязательных, так и в рекомендуемых к исполнению документах, но их применение на практике позволит банкам оптимизировать работу по снижению рисков.
При принятии кредитной организацией решения о переходе в режим налогового мониторинга она должна соответствовать как требованиям регулятора, так и требованиям ФНС России. Маловероятно, что оценка СВК банка по подходам Банка России будет на уровне 100%. Учитывая, что в приоритете у банков — требования регулятора, это может привести к нецелесообразности их перехода на режим налогового мониторинга. Безусловно, данная ситуация не отвечает интересам государства, предложившего данный режим взаимодействия с налогоплательщиками.
На сегодняшний день на режим налогового мониторинга перешли крупные налогоплательщики из различных отраслей. Финансовая отрасль представлена только двумя из них: АО Банк «Национальный Клиринговый Центр» и ООО «Эйч-эс-би-си Банк (РР)»[12]. С одной стороны, переход на такой режим взаимодействия имеет определенные плюсы: освобождение от налоговых проверок, публичное и официальное признание в качестве надежного и ответственного налогоплательщика. С другой стороны, это потребует от банков дополнительной работы, в том числе по организации СВК в соответствии с требованиями ФНС России. Выполнение этих требований увеличит затраты на создание и поддержание системы, но в то же время поможет укрепить СВК и получить более высокую ее оценку со стороны Банка России.
[1] «Интегрированная концепция внутреннего контроля», разработанная Комитетом спонсорских организаций Комиссии Тридуэя.
[2] Неофициальный перевод дан в Письме Банка России от 10.07.2001 № 87-Т «О рекомендациях Базельского комитета по банковскому надзору» (далее — Письмо № 87-Т).
[3] Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
[4] Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
[5] Например, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (ст. 19).
[6] Например, Письмо Банка России от 10.04.2014 № 06-52/2463 «О кодексе корпоративного управления».
[7] «Методические рекомендации по организации и осуществлению внутреннего контроля» от 09.08.2013 № Р-44/2013-КпР, изданные Фондом «Национальный негосударственный регулятор бухгалтерского учета «Бухгалтерский методологический центр» (http://bmcenter.ru/Files/mr_2013_KpT_CVKFO).
[8] Plan-Do-Check-Act — «планируй-действуй-проверяй-корректируй».
[9] «Методические рекомендации по проверке системы внутреннего контроля в кредитной организации» от 18.12.2017 № 32-МР.
[10] Указание Банка России от 01.04.2014 № 3223-У «О требованиях к руководителям службы управления рисками, службы внутреннего контроля, службы внутреннего аудита кредитной организации».
[11] «Методические рекомендации по организации и осуществлению внутреннего контроля» от 09.08.2013 № Р-44/2013-КпР.
[12] http://налоговыеновости.рф/news/novosti-nalogovoy-sluzhby/nalogovyj_monitoring_nabiraet_uchastnikov.