Авторы:

Д. МАЛЫХИН, CIA, на момент написания статьи - вице-президент, руководитель финансовой секции

А. ТИХОМИРОВ, Российский институт внутренних аудиторов

сентябрь 2004 г.

Несмотря на то, что именно в финансовых организациях России (кредитных организациях, инвестиционных компаниях и в других профессиональных участниках рынка ценных бумаг, в страховых обществах) внутренний контроль как элемент системы управления рисками наиболее развит, внутренний аудит в них занимает весьма скромное место. Между тем в финансовых организациях внутренний аудит может иметь особую ценность, определяемую тремя факторами.

Во-первых, финансовые организации обязаны быть стабильными, надёжными и безопасными. Это один из краеугольных камней финансовой деятельности, связанный с определённой по закону возможностью финансовых организаций принимать от клиентов денежные средства и обязанностью возвращать их в оговорённые сроки, а также с повышенной чувствительностью финансовой организации к настроениям её клиентов — даже слух о нестабильности или проблемах финансовой организации может привести её к параличу в течение одного-двух дней.

Во-вторых, финансовая деятельность по своему характеру в основном нематериальна и основана на управлении рисками. Риски (т. е. события, которые могут оказать негативное воздействие на бизнес) и возможности (события, которые могут оказать позитивное воздействие) стали в финансовой сфере таким же товаром, как нефть или сталь в «реальной» экономике. Предоставляя определённые возможности или ограничивая риски для компаний (включая и другие финансовые организации), финансисты получают доход, преобразуя потенциальную разницу в рисках и возможностях в реальные финансовые средства. При этом для успешной деятельности на финансовых рынках необходимо предоставлять клиентам всё более сложные и разнообразные услуги и продукты.

В-третьих, в сфере финансов активным участником взаимоотношений между собственниками, менеджерами и клиентами является государство. Государство требует от финансовых организаций финансовой устойчивости, прозрачности в управлении, адекватности внутреннего контроля рискам. Требования выражаются в нормах регулирования деятельности финансовых организаций, носящих обязательный для исполнения характер, а результат — например, принудительное создание служб внутреннего контроля (служб внутреннего аудита) во всех кредитных организациях и создание института контролёров профессиональных участников рынка ценных бумаг.

Эти факторы объективно способствовали тому, что именно в финансовой сфере регулятивные требования к системам внутреннего контроля и управлению рисками в наибольшей степени приблизились к рекомендуемым международными институтами, такими как Базельский комитет по банковскому надзору (Basel Committee on Banking Supervision), Международная организация комиссий по рынку ценных бумаг (International Organisation of Securities Commissions, IOSCO) и Международная ассоциация страхового надзора (International Association of Insurance Supervisors — IAIS).

Однако несмотря на прямые рекомендации, скажем, Базельского комитета по созданию эффективной функции внутреннего аудита, российские регулирующие органы в нормативных документах уделяют внутреннему аудиту явно недостаточное внимание. Ярко эта ситуация прослеживается для кредитных организаций: в России создана наиболее развитая нормативно-правовая база по внутреннему контролю.

При создании кредитной организации для получения лицензии требуется представить в лицензирующий и надзорный орган — Банк России — информацию о системе внутреннего контроля в создаваемой организации (Инструкция № 109-И). Обо всех существенных изменениях системы внутреннего контроля надлежит информировать надзорный орган, а в уставе банка должны быть описаны права и сфера компетенции службы внутреннего аудита банка. Кроме того, Банком России изданы многочисленные документы, непосредственно определяющие механизмы осуществления внутреннего контроля, управления рисками, обязательные для коммерческих банков. Примерами таких документов служат Положения № 2-П и № 222-П по вопросам организации расчётов, Положения № 14-П и № 199-П по вопросам осуществления кассовых операций, Положения № 89-П, № 232-П, № 254-П и Инструкция № 110-И по вопросам расчёта рисков и размеров резервов, Положение № 205-П по вопросам организации учётной работы, Положение № 54-П по вопросам осуществления кредитных операций, Инструкция № 65 по вопросам контроля за деятельностью филиалов, Инструкции № 41, № 111-И и № 113-И по вопросам организации операций на валютном рынке.

Отдельно по вопросам организации системы внутреннего контроля, внутреннего аудита Банком России с февраля 2004 года введено в действие Положение № 242-П, которое заменило ранее изданные документы по этому вопросу — Положение № 509 и Указание № 603-У, дав очередной импульс развитию внутреннего аудита в банках. В обсуждении проекта нового Положения осенью 2003 года активно участвовал российский филиал Института внутренних аудиторов.

В новом Положении № 242-П Банком России в основном использованы те же подходы к построению системы внутреннего контроля, определения места внутреннего аудита в системе управления, что рекомендованы Базельским комитетом на основе модели COSO («Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework), разработанная под эгидой Комитета спонсорских организаций Комиссии Тридуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) в 1992 году) и с учётом профессиональных стандартов внутреннего аудита Института внутренних аудиторов (International Standards for the Professional Practice of Internal Auditing)). Тем не менее сама функция внутреннего аудита упоминается в тексте лишь однажды.

Нормативно-правовое регулирование профессиональных участников рынка ценных бумаг, вероятно, будет изменяться, поскольку Федеральная служба по финансовым рынкам, осуществляющая надзор за деятельностью профессиональных участников рынка ценных бумаг в настоящее время находится в стадии организации, сфера компетенции новой структуры будет расширяться. До настоящего времени ФКЦБ выдавала лицензии профессиональным участникам рынка ценных бумаг (в том числе банкам), требуя от соискателей предоставить информацию о механизмах внутреннего контроля, направленных на предотвращение манипулирования ценами на рынке, соблюдение законодательства, своевременное представление отчётности.

Необходимо отметить, что последующий контроль (надзор) ФКЦБ за соблюдением участниками рынка правил внутреннего контроля носил не столь системный характер, как у Банка России. По вопросам организации внутреннего контроля наиболее известен один документ — постановление от 13 августа 2003 г. № 03-34/пс, заменившее ранее действовавший документ (постановление от 19 июля 2001 г. № 16) практически аналогичного содержания. В этом документе изложены требования к организации деятельности специальных сотрудников — контролёров (комплаенс-контролёров) и не содержится системного описания требований к организации внутреннего контроля в целом, организации функции внутреннего аудита. Имеется также ряд документов ФКЦБ, посвящённых вопросам достаточности капитала и отчётности участников рынка ценных бумаг, разделения функций дилера и брокера.

Поскольку банковские организации, обязанные иметь службы внутреннего аудита, как правило, осуществляют операции с ценными бумагами, внутренние аудиторы банков включают в сферу своей компетенции и операции с ценными бумагами.

Надзор за деятельностью страховых организаций входит в сферу компетенции Минфина России. При выдаче лицензий соискатели сообщают информацию о планах по созданию резервов, квалификации руководителей. В последующем Минфин осуществляет надзор за обеспечением страховщиками платёжеспособности, своевременным представлением отчётности. В то же время требований по созданию систем внутреннего контроля и служб внутреннего аудита со стороны регулятора рынка не предусматривается.

Этому есть объяснение: при разработке нормативных документов учитывалось сосуществование в настоящее время двух концепций построения внутреннего контроля — концепции тотального контроля и концепции контроля, ориентированного на риск. Дело в том, что система внутреннего контроля в финансовых организациях, как правило, существует, только роль её органов, существование которых до недавнего времени определялось регуляторами, не всегда ясна, а деятельность — не всегда эффективна.

Очевидно, что процесс развития системы внутреннего контроля тесно связан с процессом развития самой организации1. На некоторых этапах развития организации её система внутреннего контроля должна иметь реальное воплощение в виде обособленного подразделения, например службы внутреннего контроля (СВК), на других — может представлять собой полностью распределённую систему контроля, а иногда вообще присутствовать только номинально, поскольку её функции полностью берут на себя руководители организации.

1. На начальном этапе практически весь внутренний контроль осуществляется непосредственно руководством организации (часто являющимся и владельцем, и управляющим одновременно) и частично его бухгалтерским подразделением. Даже если, следуя нормативным актам, создаётся СВК, она может быть только формальным образованием, реально никаких контрольных функций не выполняющим.

2. С дальнейшим ростом организации, когда частично полномочия распределены между доверенными лицами или нанятыми специалистами, функции внутреннего контроля встраиваются в деятельность одного (наиболее доверенного) или разных (если доверенного нет) подразделений, таких как служба главного бухгалтера, служба безопасности, кредитные подразделения, управляющие филиалами и т. д. В такой ситуации создание СВК будет либо «отбирать хлеб» у существующих подразделений и их руководителей (т. е. создаст конфликтную ситуацию), либо будет «встроено» в деятельность этих подразделений, нарушая принцип независимости оценки эффективности их работы.

3. Со временем к владельцам приходит понимание того, что необходимо установление исчерпывающего свода правил, регулирующих основные аспекты деятельности финансовой организации. Основным инструментом управления являются строгие инструкции, регламенты и правила, а воздействие на управленческие процессы достигается демонстративным наказанием нарушившего эти правила. На этом этапе, как правило, в структуре организации разделяются «клиентско-финансовая» (зарабатывающая) и «операционно-бухгалтерская» (затратная) части, осуществлено оформленное документально распределение полномочий и выделение в структуре действующих подразделений отдельных сотрудников, в обязанности которых входит выявление ошибок, т. е. внедрён контроль за операционными рисками. Однако поскольку иные риски (кредитные, валютные, риски потери ликвидности и другие рыночные риски, риск потери репутации в результате представления неправильной отчётности и последующих мер воздействия) остаются под контролем руководителей соответствующих подразделений, деятельность созданной СВК будет в основном сосредоточена только на совершенствовании контроля и управления операционными рисками, а попытки провести оценку других рисков приведёт к конфликтам с «делающими деньги» подразделениями и их руководителями.

4. На следующем этапе в финансовой организации создаётся независимая служба, осуществляющая оценку эффективности внутреннего контроля по всему банку, включая и «клиентско-финансовые» подразделения. При наличии воли владельцев и менеджмента выявление слабых мест и внедрение новых мер контроля способствует формированию необходимой контрольной среды и выработке формализованных процедур и мер контроля. Именно тогда возможна настройка и встраивание в бизнес-процессы современной модели риск-ориентированного контроля. Когда внутренний контроль встраивается во все виды деятельности и процессы банка, начиная от инициации операции и заканчивая формированием внутренней и внешней отчётности, и найден баланс между интегрированностью контрольных процедур и необходимостью осуществлять независимый обнаруживающий контроль и оценку адекватности процессов и мер контроля (оценку «контрольного риска»), необходимость и масштабы независимого органа внутреннего контроля зависят только от масштабов операций, проводимых банком, их структуры, количества филиалов и т. д., т. е. от масштабов и характера рисков. Функции независимой службы, осуществляющей оценку контрольного риска, однако, в этом случае лучше описывает понятие «внутренний аудит»2.

Итак, в кредитной организации может существовать несколько служб и подразделений, специализирующихся на различных видах контроля, и все они могут осуществлять внутренний контроль на разных уровнях организации, на различных этапах процесса контроля, за теми или иными видами и уровнями риска.

Основными целями службы внутреннего контроля по традиции являются обнаружение нарушений регламентов и правил и выявление нарушивших режим. Обычно такая служба имеет статус «особо доверенного», подчиняется «лично» самому высокому руководителю и при этом является ответственной за состояние внутреннего контроля в целом. Роль же внутренних аудиторов (там, где они есть) в основном сводится к дублированию функций внешних аудиторов на уровне организации, т. е. подтверждению достоверности отчётности, например, дочерних компаний или филиалов. Однако, если в качестве стандартов выступают регламенты и правила, а функции методиста, разработчика и аудитора методов контроля сосредоточены в одном подразделении, это неизбежно приводит к бюрократизации процесса внутреннего контроля и управления рисками. Более того, с развитием финансовой организации становится очевидной также необходимость разделения задач по разработке процедур контроля и проверки эффективности их функционирования. Усложнение процессов и процедур управления рисками вызывает новые риски, связанные как с самими процессами управления, так и с отслеживанием изменений внешней и внутренней среды. Самым простым решением для менеджеров, как правило, является назначение специального ответственного за тот или иной риск или вид контроля. В результате в крупных финансовых организациях возникла целая сеть служб и органов внутреннего контроля и управления рисками, включающая в себя методологическую службу, службы управления рисками, службу внутреннего контроля и различных контролёров, в той или иной степени занимающихся как выявлением нарушителей, так и разработкой мер контроля.

Такая сложно структурированная система внутреннего контроля, построенная на идее всеобщего контроля, является по сути надстройкой над другими подразделениями, и с этим связаны две основные опасности:

· во-первых, со временем такая структура перестаёт реагировать на новые, актуальные возможности и риски, поскольку основой для оценки её эффективности является формальное соответствие заданным в прошлом правилам и регулирующим документам;

· во-вторых, при этом менеджмент чувствует себя выполнившим свой долг по созданию системы внутреннего контроля, забывая старинную русскую пословицу о судьбе особенно важного проекта при наличии множества ответственных.

На деле без должного внимания и анализа со стороны руководства стихийное усложнение процессов обычно приводит не к адекватному развитию и повышению эффективности системы внутреннего контроля, а лишь к повышению внутренней напряжённости между подразделениями, выполняющими сходные или дублирующие функции, и непропорциональному увеличению стоимости контроля. Без принципиального изменения функций управления создание ещё одного органа — главного «наблюдающего за наблюдающими» — также приводит к бюрократизации процессов контроля.

Ответом на такое положение дел стала концепция риск-ориентированного контроля. Эта концепция строится на следующих элементах:

· отказе от канонического подхода к планированию процедур контроля, не учитывающего различий в уровнях риска и основанного на формальных требованиях регламентов и правил (необходимых, но являющихся чаще результатом компромисса, а не абсолютной истиной);

· внедрении подхода, основанного на определении и мониторинге уровня риска, приемлемого для организации;

· передаче на все уровни управления, во все подразделения, ответственности за идентификацию рисков и их оценку, и «встраивание» процессов контроля, ограничивающих риск, в бизнес-процессы;

· передаче функции предоставления гарантий и независимой оценки эффективности внутреннего контроля и процесса управления рисками внутреннему аудиту.

Функции внутреннего контроля, в системе тотального контроля большей частью переложенные менеджментом на службу внутреннего контроля и других контролёров, в риск-ориентированной архитектуре управления распределяются между менеджерами — владельцами процессов (в том числе специализирующимися на контроле и управлении рисками) и внутренним аудитом. Управление и осуществление внутреннего контроля «встраивается» в бизнес-процесс, а руководство получает от внутреннего аудита объективные и независимые гарантии того, что эти процессы эффективны и риск ограничен приемлемым уровнем. Под гарантиями здесь понимается то, что результатом работы внутренних аудиторов является объективная оценка действующей системы контроля, встроенной в бизнес-процессы или независимой, и её способности ограничивать риски на приемлемом уровне. В случае выявления недопустимых отклонений внутренний аудитор поможет линейному менеджменту определить те шаги, которые позволят привести систему контроля в надлежащее состояние и обеспечить приемлемый уровень риска.

При этом внутренние аудиторы не ограничиваются только проверками. Как профессионалы в области контроля, они консультируют владельцев процессов (линейных руководителей), рекомендуя наиболее эффективные процедуры контроля.

Риск-ориентированный подход основан на закреплении ответственности за финансовые услуги, операционные процессы и присущие им риски (известное также как владение — ownership) за линейными (операционными) руководителями на всех уровнях управления. Он базируется на признании того факта, что никто, кроме «владельцев», не обладает наилучшим знанием своей деятельности и связанных с ней рисков.

С каждым видом деятельности изначально связаны специфические (свойственные — inherent) риски, и полностью избежать их возможно только одним способом — этой деятельностью не заниматься. Эти риски, однако, можно и нужно, во-первых, своевременно идентифицировать, во-вторых, создать такие управленческие механизмы (процессы внутреннего контроля), которые при реализации риска ограничат его воздействие до приемлемого уровня. Внутренний контроль тогда является инструментом поддержания риска на контролируемом (остаточном — residual) уровне, приемлемом для всей организации (см. рисунок).

Однако если идентификацию рисков и осуществление внутреннего контроля должны проводить владельцы процессов, то установление приемлемых уровней риска есть прямая обязанность высшего исполнительного руководства и представителей собственников в лице советов директоров или аналогичных органов корпоративного управления. В такой архитектуре действительно возможна эффективная специализация подразделений без потери ответственности руководства за состояние контроля в целом, поскольку при этом оценка эффективности системы внутреннего контроля основывается на детальном изучении высшим и линейным менеджментом бизнес-процессов при содействии и консультативной помощи внутреннего аудита.

Безусловно, такой подход требует кропотливой работы по идентификации процессов и связанных с ними рисков и оценке руководством приемлемого уровня для каждого из рисков. Эта работа должна быть проведена не только единовременно — необходима периодическая переоценка изменений рисков, связанных с изменениями процессов, внедрением новых услуг, изменением законодательства и других внешних факторов. Необходимо отметить, что вовлечённость внутреннего аудита в процесс идентификации рисков и их оценку должна быть ограничена такой степенью, которая позволила бы ему при последующих проверках сохранить объективность и независимость.

Для финансовых организаций ситуация несколько облегчается тем, что для них набор специфических рисков уже определён. Изучение характерных особенностей отдельных видов рисков привело к пониманию того, что финансовые риски по своей природе могут быть объединены в несколько групп, имеющих общие черты и управляемые с использованием одинаковых подходов3:

· кредитные риски (прямые кредитные риски, суверенные и трансграничные риски, риски неполучения средств в расчётах, риски, связанные с условными обязательствами — гарантиями и аккредитивами и т. д.);

· рыночные риски (процентный, валютный, ценовой, часто в эту группу включают и инвестиционные риски) и риски потери ликвидности (может быть выделен из рыночных рисков при отсутствии свободного доступа к финансовым рынкам);

· операционные риски (включая юридические риски и риски несоответствия требованиям законодательства, или комплаенс-риски, риски искажения финансовой отчётности, риски несанкционированных действий сотрудников и третьих лиц, технологические риски, риски невозможности продолжения деятельности в связи с наступлением чрезвычайных обстоятельств и т. д.);

· страховые риски (имущественные риски, риски случайного ущерба и риски страхования жизни);

· предпринимательские риски (риски принятия менеджментом неверных предпринимательских решений, риски потери репутации).

Более подробные формализованные определения этих основных рисков можно найти в различной учебной и теоретической литературе, а для кредитных организаций — также в нормативных документах Банка России, например в письме «О типичных банковских рисках» от 23 июня 2004 г. № 70-Т.

Квалифицированный внутренний аудитор хорошо понимает взаимосвязь между рисками и эффективными процедурами контроля. Поскольку внутренний аудитор заинтересован в понимании владельцами процессов связанных с ними рисков и контроля, этап идентификации процессов и рисков, как правило, проходит при его непосредственном консультировании. При этом от внутренних аудиторов нет необходимости требовать глубоких специальных знаний в области управления, например, кредитным или рыночным риском (хотя такие знания необходимо всячески развивать и приветствовать). Роль внутренних аудиторов как специалистов в области контроля заключается в том, что они, фокусируясь на проверке процессов и процедур внутреннего контроля, могут не столько идентифицировать случаи их несоблюдения, сколько:

· систематически и объективно оценивать степень влияния таких случаев на эффективность всей деятельности финансовой организации — от заключения сделки до подготовки отчётности;

· на основе изучения существующей в отрасли лучшей практики (best practice) управления рисками рекомендовать высшему руководству и менеджменту необходимые меры по устранению выявленных проблем, повышению эффективности управления рисками организации.

Таким образом, при укрупнении финансовых организаций, расширении их бизнеса и спектра проводимых операций потребность во внутреннем аудите в современном понимании объективно возрастает, а его роль усиливается. Основную ответственность за правильное функционирование системы внутреннего контроля как инструмента снижения риска до приемлемого уровня несёт руководство предприятия. Владельцы предприятия кровно заинтересованы в его эффективности, так как он способствует снижению рискованности вложений. Таким образом, принимая решение о начале деятельности или совершении сделки, руководство предприятия должно идентифицировать присущие сделке риски, оценить их величину, установить приемлемый уровень и решить, какой подход можно использовать для снижения рисков до приемлемого уровня. По одной из предлагаемых сегодня классификаций4 на риск можно отреагировать четырьмя возможными способами (или комбинацией):

1) отказаться от риска (и соответствующего вида деятельности или сделки, полностью или частично);

2) принять этот риск или его часть (в ряде случаев отразить потенциальные убытки в виде резервов на возможные потери и рассчитать капитал, достаточный для покрытия расходов (убытков) по таким потерям);

3) уменьшить риск, создав управленческие механизмы (процессы), которые при неблагоприятном развитии событий смягчат последствия до приемлемого уровня (например, с целью уменьшения потерь от мошеннических действий ограничить доступ к хранилищу материальных ценностей или к информации);

4) распределить риск, разделив часть возможных потерь и прибыли с партнёрами или третьими лицами (например, застраховав финансовые риски или оговорив распределение рисков в договоре с партнёром или клиентом).

При этом основой для установления контроля является анализ и оценка уровня присущих рисков, а для оценки эффективности контроля — уровень контролируемого (остаточного) риска. Тогда в классической модели управления в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроль внутри которого не обеспечивает уменьшения риска до приемлемого уровня.

Для менеджмента важно распределить ответственность между различными подразделениями, встраивая контроль в текущую деятельность, и знать, где и какие процедуры внедрены и насколько эффективно работают. Выбор линейными менеджерами наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой, соответствующим набором неотъемлемых рисков и опытом самих менеджеров.

Лишь одна функция в такой системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью — это внутренний аудит.

1          Опыт организации и развития СВК, описание ряда проблем, свойственных деятельности СВК, нашли отражение в статье А. В. Гордиенко «К вопросу о формировании службы внутреннего контроля», опубликованной в журнале «Деньги и кредит», № 7, 2001.

2          Материалы международного Institute of Internal Auditors (IIA) на сайте www.theiia.org и российского Института внутренних аудиторов на сайте www.iia-ru.ru.

3          Предлагаемая классификация основана на рекомендациях Базельского комитета по банковскому надзору «Основополагающие принципы эффективности банковского надзора» (Core Principles for Effective Banking Supervision, 1997, April). В теории управления рисками встречаются и другие классификации, в том числе более детальные.

4          Enterprise Risk Management Framework проходит этап публичного обсуждения и планируется к публикации в 2004 году (см. www.erm.coso.org).