А.Акулов, Д.Малыхин, Н.Малюта, Н.Рыжих "К вопросу о стандартизации процессов управления рисками и внутреннего контроля"
Раздел: Управление рисками
А.В. Акулов ОАО «Внешторгбанк», дипломированный внутренний аудитор
Д.В. Малыхин ОАО «Россельхозбанк», дипломированный внутренний аудитор
Н.Е. Малюта АКБ «Япы Креди Банк Москва» (ЗАО), начальник департамента внутреннего контроля, к.э.н.
Н.Н. Рыжих BSGV, Управление рисков
Опубликовано в аналитическом журнале «Управление в кредитной организации» № 1(35)/2007
Стратегией развития банковского сектора РФ на период до 2008 года предусматривается развитие саморегулирования в банковской отрасли. Саморегулирование означает создание отраслевых и профессиональных стандартов, предъявляющих унифицированные минимальные требования к деятельности и продукции банка. Такие стандарты должны быть более жесткими в некоторых аспектах, чем требования государственных регуляторов, поскольку темпы развития законодательства, как правило, отстают от хозяйственной практики. В то же время они должны учитывать многообразие моделей функционирования различных банков в зависимости от сложности, масштаба, региона деятельности и других факторов, влияющих на выбор менеджментом банка конкретных схем организации управления.
Подходы к стандартизации процессов
Необходимость повышения эффективности управления рисками и внутреннего контроля в российской банковской системе является на сегодняшний день крайне актуальной проблемой. И совсем не новой: задача организации строжайшего и всенародного учета и контроля за производством и распределением продуктов ставилась органами управления страной еще в 1918 году. Конечно, с того времени многое изменилось, получила серьезное развитие и методология управления корпорациями. Однако оказывается, что многих коллег до сих пор необходимо убеждать в том, что без надлежащего учета и контроля не может быть и речи о повышении в общенациональном масштабе производительности труда. Для обеспечения высоких темпов роста и устойчивой тенденции развития российской банковской системы важен не только количественный, но и качественный рост. Улучшение качества работы банков должно включать в себя целый ряд направлений, в том числе повышение качества управления. Переход системы управления банком от структурно-функциональной к процессно-ролевой технологии требует изменения подходов к построению систем внутреннего контроля. При переходе к процессному управлению появляются специфические требования к контролю, управлению рисками, изменяется процесс планирования. Эти нюансы перехода необходимо осознать как самим банкам, так и регулирующим органам.
Ряд вопросов, обсуждаемых на конференциях и в прессе1, некоторые нормативные акты ЦБ РФ, подготовленные методологами и аналитиками, настораживают специалистов-практиков, работающих непосредственно в «объектах стандартизации» и давно уже самостоятельно осуществляющих локальные программы стандартизации. Противоречия между «практиками» и «теоретиками» лежат, как нам представляется, в двух областях: а) недостаточное и(или) непоследовательное признание широкого международного практического опыта в области управления рисками и б) излишние детализация и формализация регулирующими органами требований к внутренним процессам.
Что именно стандартизуем: процессы управления рисками или качество продукции
Наиболее важный вопрос, возникающий в связи с адаптацией практического опыта, может показаться не совсем очевидным. С точки зрения регулятора, защищающего интересы широкого круга инвесторов и кредиторов, главное — стандартизировать продукт, генерируемый кредитной организацией, так как услуги всех банков должны иметь минимально гарантированное качество, которое не может самостоятельно проверить непрофессиональный потребитель банковских услуг. И эта позиция однозначно признается банковским сообществом. Но если подходы, применяемые к стандартизации качества продуктов, регулятор или саморегулируемая организация (СРО) применяют к стандартизации некоторых внутренних процессов, возникает отторжение. Разумеется, внутренние и внешние стороны банковской деятельности взаимосвязаны, и в ряде случаев практикой уже выработаны такие однотипные решения по управлению внутренними процессами, что регулятор может ожидать от банка применения конкретных схем управления и даже рекомендовать их. Но при этом очень странными выглядят попытки навязать всем банкам конкретные методы управления внутренними процессами, применимые только для определенного узкого круга банков, либо предложения ввести новые понятия и классификации, не подтвержденные практикой (например, «организационные риски»2). В обустройстве организационного тыла заинтересованы прежде всего руководство и собственники банка, поскольку они оптимизируют в долгосрочном плане расходы на управление и понимают: качество в менеджменте дает качество на рынке3. Но навязывание определенной модели всем подряд лишает конкретную организацию свободы творчества. Косвенным подтверждением сложности вопроса может служить, например, то обстоятельство, что наука управления до сих пор не выработала единого методологического подхода к описанию процесса управления основной производственной деятельностью и банком в частности и вообще хозяйственным предприятием: экспериментируют не только каждая страна, но и отрасль, организация. А в отношении корпоративного управления, управления рисками, внутреннего контроля такой подход выработан на международном уровне и в каждой конкретной стране, отрасли уточняется с учетом местных особенностей и законодательства. Лишь недавно Институт управленческих бухгалтеров предложил первое универсальное описание процесса управления основной производственной (финансово-хозяйственной) деятельностью (business-governance), противопоставляя его другой части управления предприятием — процессу корпоративного управления (corporate governance)4. Эти части управления предприятием преследуют разные, хотя и связанные, цели: корпоративное управление — контролируемость бизнеса, хозяйственное управление — эффективность, результативность бизнеса. Процессы корпоративного управления, как правило, имеют очень малое непосредственное влияние на качество и объемы производства продукции, услуг, и наоборот: распределение полномочий между менеджментом и собственником, транспарентность отчетности почти не зависят от схемы организации основного производственного процесса. Следовательно, если мы (профессиональное сообщество, и регулятор, и СРО) хотим стандартизовать процессы управления рисками и внутреннего контроля для российских банков, то необходимо:
- изучить широкий опыт стандартизации внутренних банковских процессов в других странах и отраслях, составить план внедрения таких стандартов, провести массовое обучение специалистов тех банков, которые не имеют широких возможностей самостоятельного доступа к международной базе знаний (не нужно заново «изобретать велосипед»);
- определить перечень аспектов, неурегулированных однозначно в международной практике или вообще остающихся неформализованными, но актуальными;
- четко определить конечный перечень местных технологических и законодательных особенностей, которые следует учесть при адаптации международных стандартов (провести «тюнинг» базовой модели велосипеда).
Актуальный для всех юрисдикций вопрос: эффективность контроля
Различие целей процессов требует и различных подходов не только к их описанию, но и к оценке их эффективности, и здесь наблюдается другая ситуация: методы оценки эффективности производственных решений очень развиты, а вот в области оценки эффективности контроля литературы совсем немного, тем более в банковской отрасли. В связи с этим каждая новая концепция оценки контроля перед ее внедрением должна быть тщательно протестирована.
Такими концепциями оценки внутреннего контроля, например, являются предложенные регулятором «Методические рекомендации по проведению проверки организации внутреннего контроля в кредитных организациях» (Письмо ЦБ РФ от 24.03.2005 № 47-Т) и проект Стандарта качества организации внутреннего контроля в банках, представленный АРБ в январе 2006 года для обсуждения. По мнению авторов, эти документы имеют ряд недостатков, ограничивающих возможности применения. С одной стороны, документы предполагают наличие определенных количественных оценок, что подразумевает их использование как инструментов сравнения (benchmarking) различных банков, показателей одного и того же банка в динамике и т.п. С другой стороны, данные оценки в существенной степени основаны на качественных суждениях, и при этом отсутствуют четкие и объективные критерии, позволяющие с достаточной степенью одно-значности классифицировать состояние внутреннего контроля на тех или иных участках. В ряде случаев акцент сделан на выполнении чисто формальных и в то же время не вполне конкретизированных критериев.
Пример из Письма № 47-Т: наличие тех или иных документов, «полностью/частично соответствующих установленным требованиям» (Приложение 1, табл. 1), или оценки «да, в полной мере», «да, в основном», «да, частично» (Приложение 1, табл. 2–7). Пример из проекта Стандарта качества организации внутреннего контроля в банках: «Акты проверок достаточно полные и подробные».
Сочетание указанных факторов приводит к тому, что полученные оценки почти полностью основаны не на объективных критериях, а на экспертном суждении, степень обоснованности и достоверности которого прямо пропорциональна степени зрелости банковской системы, опыту применения соответствующих практик, квалификации экспертов, осуществляющих оценку.
Методика Письма № 47-Т основана на анализе показателей оценки:
- системы внутреннего контроля кредитной организации (П1);
- деятельности службы внутреннего контроля (П2);
- контроля за управлением информационными потоками и обеспечения информационной безопасности; проверок разработанных кредитной организацией планов действий на случай непредвиденных обстоятельств (П3);
- контроля за управлением банковскими рисками (П4);
- контроля за распределением прав и обязанностей, согласования решений, делегирования полномочий при совершении банковских операций (П5);
- контроля за представлением отчетов и информации (П6).
Показатели рассчитываются на основании балльных и весовых оценок, выставляемых рабочей группой Банка России по ответам на вопросы, относящиеся к этим показателям. Подход к значимости весов (Письмо № 47-Т, Приложение 2, п. 3.3), основанный на степени формализации тех или иных аспектов организации системы внутреннего контроля в нормативных актах Банка России, также не может быть признан полностью соответствующим основным целям внутреннего контроля. Этот подход не учитывает, что ряд существенных сегментов системы внутреннего контроля в принципе не может быть регламентирован нормативными актами Банка России, поскольку они относятся к внутренним аспектам деятельности (управленческая структура, организация бизнес-процессов) той или иной кредитной организации. Кроме того, подобный подход означает, по сути, приоритет формального наличия тех или иных процедур над их результативностью. Например, проведение проверок отчетов и лимитов (Письмо № 47-Т, Приложение 1, табл. 6) имеет вес «3», а их результативность — вес «1», хотя именно эффективность подобных мероприятий и должна по идее означать более высокую оценку системы внутреннего контроля.
При этом регламентации в основном подвержены аспекты, связанные с функциями системы внутреннего контроля по направлениям, в большей степени ориентированным на соблюдение пруденциальных норм. При подобном подходе в стороне остаются вопросы экономической эффективности системы внутреннего контроля, включая соотношение «затраты/результаты» в отношении осуществляемых механизмов внутреннего контроля. А помимо оценки со стороны надзорного органа немаловажна оценка состояния внутреннего контроля со стороны акционеров, менеджмента (как сторон, выделяющих соответствующие бюджеты на выполнение функций внутреннего контроля), потребителей услуг (вступающих в подверженные риску отношения с банком, уровень которого они предпочли бы полагать более определенным, а также желающих иметь уверенность, что принятые процедуры обеспечивают достаточное качество сервиса).
Проект Стандарта разработан АРБ с использованием документа CoBIT, описывающего полноценный бизнес-процесс управления информационными ресурсами. Он включает понятие «зрелость процесса», степень зрелости варьируется по шести уровням. Известно, что внутренний контроль — не самостоятельный процесс, он существует с самого начала создания любой организации (наличие устава организации предполагает уже минимальную систему внутреннего контроля), и коротко его цель формулируется следующим образом: «внутренний контроль эффективен, если организация работает так, как задумано собственником, достигая поставленных целей». Каковы же критерии зрелости такого несамостоятельного процесса?
Как нам представляется, предложенные в проекте Стандарта критерии зрелости процесса внутреннего контроля недостаточно обоснованы. Любопытная попытка оценить степень эффективности и зрелости процессов предпринята в работе наших коллег по статистике результатов операционных решений одного крупного банка с использованием серьезного математического аппарата5. Видимо, без проведения сложных математических расчетов не получится провести четкое разграничение уровней зрелости внутреннего контроля. И если такие расчеты будут проводиться, можно предложить всего три уровня зрелости (или уровня эффективности) контроля: недостаточный, адекватный и чрезмерный («перезрелый»). Различие между уровнями задается собственником в виде соотношения результатов контроля и затрат на его проведение и почти не зависит от наличия формальных документов и подробности описания нарушений в актах проверок.
Отвечая на предыдущий вопрос, мы подходим к другому вопросу: кто определит достаточность развития системы, если собственник сам еще не детализировал требования к системе? В международной практике такую функцию выполняет внутренний аудитор, проводящий внутренние оценки адекватности контроля, осуществляемого менеджерами, и предоставляющий собственнику разумные гарантии в том, что система работает в соответствии с задуманным планом. Если же внутренний аудитор не находит консенсуса с проверяемым менеджером по вопросу оценки адекватности принимаемых контрольных мер, даже в случае формальных противоречий, внутренний аудитор (руководствуясь профессиональными стандартами7) может принимать менеджерскую оценку риска (с последующим докладом вышестоящему руководству и анализом этой ситуации). В предложенных ЦБ РФ2 и АРБ документах концепция менед-жерской оценки риска также отсутствует.
Имеющийся опыт и потребность в стандартизации
Одним из фундаментальных принципов, которые, по мнению авторов, необходимо воплотить, является реализация на практике декларируемого (совершенно обоснованно!) Банком России положения, что компоненты системы внутреннего контроля должны соответствовать характеру и масштабам проводимых конкретным банком операций. Соответственно, образно выражаясь, модели организации системы внутреннего контроля не должны являться проекциями одной и той же типовой строительной схемы, отличающейся лишь размерами, а должны содержать набор типовых элементов, из которых можно «собирать» различные по планировке здания. Таким образом, первая аналогия для проведения отраслевой стандартизации — строительство с отраслевыми стандартами (СНиПами). СНиПы существуют давно и на международном уровне, развиваются с ростом технических возможностей.
Еще пример из другой, но более близкой отрасли — внешнего аудита. Базовые (федеральные) стандарты внешнего аудита утверждаются Правительством РФ, при их разработке использованы как первоисточник Международные стандарты аудита. Аудиторские СРО при этом издают свои более детальные стандарты и осуществляют контроль качества работы аудиторских компаний. При разработке первых федеральных стандартов была проведена огромная работа по четкому определению многих новых терминов, создан глоссарий.
Наконец, в банковской отрасли также есть немало примеров удачной стандартизации. Прежде всего это касается оказываемых банками услуг: по расчетно-кассовому обслуживанию клиентов (например, положения № 205-П, № 2-П), ведению интернет-сайтов банков, предоставлению потребительских кредитов (документ разработан совместно с антимонопольной службой), а также недавно изданная подробная инструкция по ведению счетов и депозитов клиентов (Инструкция № 28-И). Можно привести и другие примеры. Формально остаются не столь подробно стандартизированными услуги банков по кредитованию юридических лиц, вексельному обращению, совершению других операций, требования к документированию которых изложены непосредственно в законодательных актах.
Что касается проводимой Банком России большой и важной работы по стандартизации процессов управления рисками, внутреннего контроля, нерешенных вопросов остается все еще очень много. Учитывая современное состояние нормативной базы корпоративного и банковского регулирования в Российской Федерации, используемый в рассмотренных методиках понятийный аппарат также является препятствием к адекватной оценке того, что и как должна выполнять система внутреннего контроля. Ряд ключевых аспектов (в частности, полноценное разделение понятий «внутренний контроль» и «внутренний аудит»; выделение функции «комплайенс»; место и роль аудиторских комитетов в системе органов внутреннего контроля; требования к внешней оценке качества работы подразделений, осуществляющих внутренний контроль и внутренний аудит; результаты подобной оценки и др.), анализ уровня развития и функционирования которых является одним из ключевых компонентов оценки системы внутреннего контроля, проектом Стандарта качества организации внутреннего контроля в банках, мягко говоря, не затронуты. Таким образом, вопрос развития методологии оценки системы внутреннего контроля является одним из приоритетных и при правильной постановке вопросов в качестве «обратной связи» может служить средством ускорения и выработки общего понимания того, что и как необходимо развивать и настраивать в системе внутреннего контроля.
Вызывает озабоченность, что при недостаточности развития методологической основы в августе 2006 года Банком России предложен новый документ — проект Указания Банка России «Об оценке экономического положения кредитных организаций», предусматривающий классификацию кредитных организаций в одну из пяти групп.
По мнению Банка России, классификация кредитных организаций должна производиться по результатам оценок выполнения обязательных нормативов, финансовой устойчивости (финансового положения, качества управления, прозрачности структуры собственности), наличия примененных в отношении кредитной организации мер воздействия. При этом качество управления Банк России определяет как совокупность системы управления рисками, системы внутреннего контроля и управления стратегическим риском. Расчет соответствующих показателей в целом совпадает с аналогичным расчетом методики Письма Банка России № 47-Т, а именно каждому ответу на вопрос присваиваются вес и балл. Важным, по нашему мнению, представляется тот факт, что присваиваемый ответу балл зависит исключительно от наличия или отсутствия фактов применения Банком России мер воздействия по отношению к кредитной организации. Таким образом, мы сталкиваемся с подходом оценки системы состояния внутреннего контроля на основании формальных признаков. А ведь нередки случаи, когда результаты применения подобной методики оценки демонстрируют самый положительный результат, в то время как фактическое состояние системы внутреннего контроля кредитной организации является неудовлетворительным. Более того, такая кредитная организация может представлять реальную угрозу стабильности банковской системы.
Инструментарий
Одним из наиболее существенных аспектов, без которых оценка и сопоставление различных аспектов системы внутреннего контроля являются проблематичными, следует признать необходимость определения базисной терминологии, на основе которой было бы возможно «разложить на составляющие» в терминах компонентов и процедур внутреннего контроля любую структуру управления и функционал бизнес-процессов.
В настоящее время различными организациями разработан ряд стандартов (standards) либо концепций (frameworks), позволяющих оценить как отдельные аспекты системы внутреннего контроля, так и в ряде случаев систему в целом.
Разумеется, следует отметить документы, подготовленные Базельским комитетом по банковскому надзору, включая (но и не ограничиваясь этим перечнем) следующие:
- The International Convergence of Capital Measurement and Capital Standards: a Revised Framework (BCBS 118) — Базель II;
- Framework for Internal Control Systems in Banking Organisations (BCBS 40);
- Internal Audit in Banks and the Supervisor’s Relationship with Auditors (BCBS 84);
- Compliance and the Compliance Function in Banks (BCBS 113);
- Sound Practices for the Management and Supervision of Operational Risk (BCBS 96).
Данные документы, в том числе благодаря переводу на русский язык (первые три — Банком России8, четвертый — авторами этой статьи9) широко известны российскому банковскому сообществу и в значительной степени используются в качестве своего рода «дорожной карты» при построении системы внутреннего контроля и управления рисками.
Большой пласт вопросов, связанных со стандартизацией как процессов, так и продуктов по различным отраслям, конечно же, представлен в документах Международной организации по стандартам (ИСО). Для банков, в частности, в контексте данной статьи представляют интерес стандарты, описывающие требования к системе контроля качества. Ряд российских банков уже прошли процедуры стандартизации своих систем по этим стандартам, но подобная практика пока еще не получила широкого распространения.
Среди других наиболее значимых и глобально признанных документов по данному направлению необходимо выделить COBIT, SAC, COSO and SAS 55/78, сравнительный анализ которых позволяет сделать выводы о том, какие элементы, необходимые для построения и оценки системы внутреннего контроля, определенно должны присутствовать10. Справедливо отмечается, что, несмотря на ряд различий (обусловленных прежде всего назначением и целевой аудиторией соответствующих документов), по ряду наиболее существенных аспектов наблюдается стремление к использованию в каждом из документов идей и элементов, представленных в остальных документах.
Таким образом, наблюдается отчетливая и обоснованная конвергенция, которая позволяет с определенной степенью оптимизма сделать вывод о том, что проблема инструментария (своего рода стандартизованных «строительных блоков» для построения зданий различных планировок) в принципе решаема. Ниже приведены ключевые, по нашей оценке, составляющие, которые необходимы для формирования интегрированной модели оценки системы внутреннего контроля.
1. Составные компоненты системы внутреннего контроля.
Анализ указанных документов показывает, что в существенных аспектах определение компонентов системы внутреннего контроля (в частности, в документе Базельского комитета «Внутренний контроль в банках: основы организации», в стандартах SAS 55/78/94) основано на определении, сформулированном COSO (1992 г.), которое содержит следующие компоненты системы внутреннего контроля:
- контрольная среда;
- оценка риска;
- контрольные процедуры;
- информация и коммуникации;
- мониторинг.
Указанный компонентный набор конкретизируется в зависимости от соответствующих целей внутреннего контроля (операционные, финансовые, комплайенс) и направлений проверки (функции, подразделения) которые представляют собой соответствующие слои «куба COSO». Так, применительно к информации, содержащейся в финансовой отчетности, стандарт SAS 55/78/94 определяет, как указанные компоненты должны обеспечивать адекватный уровень контроля за подготовкой финансовой отчетности.
2. Критерии, в отношении которых должна быть определена эффективность системы внутреннего контроля.
Характерные примеры из приведенных выше концепций и стандартов:
- применительно к информации, используемой бизнесом, COBIT определяет в качестве основных критериев следующие: эффективность; экономическая оправданность затрат; конфиденциальность чувствительной информации; целостность; доступность; соответствие содержания требованиям внешнего и внутреннего регулирования; надежность;
- применительно к финансовой отчетности в соответствии с SAS 55/78/94 результатом является разумная степень уверенности в достоверности аудиторских суждений в отношении ряда компонентов финансовой отчетности.
3. Глоссарий.
Должен быть достигнут консенсус в отношении ряда основных определений, поскольку в противном случае невозможно будет обеспечить сопоставимость результатов оценки:
- внутренний контроль;
- внутренний аудит;
- комплайенс;
- разумная степень уверенности.
4. Процедуры, основанные на процессах и уровне их развития.
Проект Стандарта качества организации внутреннего контроля в банках предлагает подход в целом правильный, однако перечень процессов, в отношении которых необходимо определять уровень внутреннего контроля, по нашему мнению, должен быть приближен к компонентам, включенным в структуру «куба COSO».
5. Система целевых показателей (scorecards) применительно к процессам.
6. Уникальность роли внутреннего аудита.
Одним из основных источников оценки системы внутреннего контроля являются результаты внутреннего аудита. Типичная схема, по которой может быть организована процедура оценки, основана на взвешенной оценке данных внутреннего аудита, внешнего аудита, надзорных органов, результатов самооценки. Информация может быть либо заранее организована в виде соответствующих вопросников (рабочие документы внутреннего аудитора, вопросники для самооценки, согласованная с внешним аудитором программа оценки), либо сгруппирована по соответствующим направлениям по результатам анализа данных проверок внешних надзорных органов.
Стихийная стандартизация
Обратимся к другой группе документов, публикаций по внутреннему контролю и аудиту с целью создания наиболее полного представления об источниках: диссертации, учебники и пособия для студентов вузов, традиционно выполняющие функцию методической основы для проектов внутренних нормативных документов.
В настоящий момент в России существует довольно большое количество работ, посвященных формированию концепции и методологии контроля, оценке эффективности системы внутреннего контроля, внутреннему контролю в российских финансовых институтах, внутреннему аудиту и ревизии. Однако большая часть работ издана в 1996–2001 годах, они представляют собой серьезную базу для детального изучения тематики внутреннего контроля, но, к сожалению, во многих из них методология не актуализирована в соответствии с современными международными и российскими тенденциями в области создания и функционирования эффективной системы внутреннего контроля. В частности, не используются наработки проекта ТАСИС по реформе российского сектора аудита (в том числе внутреннего аудита11), стандарты международных профессиональных ассоциаций.
Следует отметить ряд работ (например, «Оценка эффективности системы внутреннего контроля с использованием математических методов» М.А. Назаровой, и ранее упомянутая статья А.И. Елина и И.К. Кобозева), авторы которых раскрыли особенности применения математических методов при осуществлении оценки эффективности системы внутреннего контроля. Использование близких методик мы наблюдаем сегодня при изучении нормативных актов Банка России, когда в ряде случаев расчет эффективности базируется на простейших математических моделях.
Интересным представляется пятилетний опыт разработки стандартов для конкретных банков силами неформального профессионального сообщества внутренних контролеров и аудиторов форума Банкир.Ру, в рамках которого и в сотрудничестве с Институтом внутренних аудиторов разработано много типовых документов — регламентов и программ проверок, фактически создан прообраз саморегулируемой профессиональной ассоциации12, проведены более 20 круглых столов и подготовлена серия статей, разъясняющих особенности применения международного опыта, терминологии в российской практике.
Перспективы
Остается выразить несколько пожеланий профессиональному сообществу в отношении того, какие направления дальнейшей работы по стандартизации представляются нам наиболее актуальными.
В первую очередь это классификация рисков и оценка состояния внутреннего контроля. При том, что ЦБ РФ четко выразил свое мнение в Письме № 70-Т «О типичных банковских рисках» и ряде других документов, многие организации, в том числе надзорные органы, используют собственные классификации, основанные на иных концептуальных подходах к корпоративному управлению. Представляется разумным, чтобы все российские регуляторы по примеру международных ассоциаций подготовили интегрирующий документ в этой сфере.
Необходимо организовать работу по переводу на русский язык многочисленных документов международных регуляторов и профессиональных ассоциаций, и на основе такой работы составить общий официальный российский глоссарий финансовых и управленческих терминов, который, очевидно, будет пользоваться огромным спросом у финансовых организаций и учебных центров.
По всем нормативным документам Банка России можно разработать анкеты для самооценки банками способности внутренних систем выполнять требования регулятора (аналогично тому, как это было сделано недавно по операционным рискам), что значительно облегчит работу менеджеров банка, внутренних и внешних аудиторов, а также инспекторов ЦБ РФ.
Учитывая, что Положение № 242-П действует уже два года, Банк России мог бы провести обобщающий анализ (обезличенный, разумеется, без наименований конкретных банков) сведений, представленных банками в отчетах о состоянии внутреннего контроля (ежегодная форма 639), и на основе этого анализа предложить банковскому сообществу своего рода усредненную модель системы управления рисками и внутреннего контроля российского банка. Такой документ стал бы самым лучшим и универсальным стандартом на ближайшие несколько лет для всей банковской системы страны, сэкономил сообществу время и средства, которые можно было бы направить на более продуктивные занятия.
Приложение 1
Сравнение концепций внутреннего контроля: COBIT, SAC, COSO и SAS 55/781
Внутреннее и внешнее давление мотивирует бухгалтерских работников, аудиторов, менеджеров, юристов к продолжению развития и повышения качества концепций внутреннего контроля. В результате продолжающихся попыток определить, оценить, описать и усовершенствовать внутренний контроль недавно были выпущены несколько документов:
- стандарт «Цели контроля при использовании информационных технологий» (COBIT), разработанный Ассоциацией аудита и контроля информационных систем ISACA (The Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology);
- доклад «Контроль и аудит систем» (SAC), подготовленный Исследовательским фондом Института внутренних аудиторов (The Institute of Internal Auditors Research Foundation’s Systems Auditability and Control);
- доклад «Внутренний контроль: интегрированный подход» (COSO), подготовленный Комитетом спонсорских организаций Комиссии Тридуэя (The Committee of Sponsoring Organizations of the Treadway Commission’s Internal control — Integrated Framework);
- указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55), утвержденное Американским институтом дипломированных бухгалтеров (The American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее изменениями (SAS 78).
Краткая характеристика документов
Документ COBIT (1996 г.) — это система взглядов, обеспечивающая хозяина бизнес-процесса инструментом для разумного и эффективного исполнения его обязанностей по контролю информационных систем, глобально одобренный сбор целей контроля, организованных в процессы и зоны и связанных с бизнес-требованиями к информации.
Документ SAC (1991 г., с изменениями 1994 г.) предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем и технологии. Это детальное руководство о влиянии различных аспектов информационной технологии на систему средств внутреннего контроля.
Документ COSO (1992 г.)13 дает рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля, представляет общее определение внутреннего контроля и делает акцент на том, что средства внутреннего контроля помогают организациям достичь эффективных и целесообразных операций, надежной финансовой отчетности и соответствия применимым законам и правилам. Документ обеспечивает руководством по оценке систем контроля, по предоставлению внешней отчетности о внутреннем контроле, по проведению оценок систем контроля.
Документы SAS 55 (1986) и SAS 78 (1995) дают указание внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации, адаптируют 5 компонентов внутреннего контроля документа COSO, обсуждают влияние внутреннего контроля организации на планирование и проведение аудита финансовой отчетности, обращаются к взаимосвязи между средствами внутреннего контроля и риском контроля.
Целевые группы
Документы COBIT, SAC, COSO, SAS 55/78 содержат много общих концепций внутреннего контроля: более новые построены на концепциях, разработанных в более ранних. Документы отличаются адресностью (целевой группой, которой адресованы), преследуемой целью, уровнем детализации предоставленного руководства. Хотя другие стороны будут считать каждый из документов полезным, COBIT обращен к трем целевым группам: руководство, пользователи и аудиторы информационных систем, SAC в основном рассчитан на внутренних аудиторов, COSO — на менеджеров и совет директоров, а SAS 55/78 — на внешних аудиторов.
Документ COBIT сфокусирован исключительно на средствах контроля информационной технологии в поддержку бизнес-целей. SAC делает акцент на информационной технологии, COSO представляет широкий взгляд с уровня организации, а SAS 55/78 фокусируются на аудите финансовой отчетности.
SAC и COSO — самодостаточные документы. SAS 55/78 являются частью свода стандартов. Эти четыре документа дополняют и поддерживают друг друга. SAC, COSO и SAS 55/78 полезны для основных целевых групп других документов, для юристов, акционеров и других лиц, заинтересованных в понимании и совершенствовании внутреннего контроля.
Так как документы разрабатывали различные органы, чтобы ответить на нужды своих целевых групп, то возможны некоторые несоответствия. Однако каждый документ в целом фокусируется на внутреннем контроле и конкретной целевой группе (например, на внутренних аудиторах, менеджменте, внешних аудиторах), их интересах к созданию и оценке средств внутреннего контроля. Таким образом, сравнение концепций внутреннего контроля, изложенных в этих документах, представляет интерес членов всех трех целевых групп.
Сравнение пяти документов показывает, что каждый из них основан частично на предыдущих документах. COBIT объединяет материалы первоисточников COSO и SAC. Определение контроля берется из COSO, а определение целей контроля — из SAC. SAC включает концепции внутреннего контроля, разработанные в SAS 55, COSO использует концепции внутреннего контроля обоих документов SAS 55 и SAC, а SAS 78 вносит изменения в SAS 55, отражая вклад COSO в концепцию внутреннего контроля.
В таблице приведены краткие характеристики 4 документов (SAS 55/78 объединены в один) и сравниваются концепции внутреннего контроля, представленные в каждом из них.
- Обсуждение активизировалось в 2005–2006 гг. после проведения ЦБ РФ и АРБ конференций на тему «Повышение функциональной роли банковской системы через улучшение качества деятельности. Управление бизнес-процессами в Банке России и кредитных организациях» (Уфа).
- Козлов А., Бурковская А., Космачев Д., Хмелев А. //Организационные риски (аналитический банковский журнал), 2005, № 7–9.
- Пригожин А. Советы консультанта: Осторожно: стандарты //Ведомости, 14.12.2005, № 235(1516).
- Enterprise Governance: Getting the Balance right //Chartered Institute of Management Accountants (CIMA), 2004.
- Елин А.И., Кобозев И.К. Некоторые подходы к оценке эффективности контрольных мероприятий в кредитных организациях //Контроллинг, 2005, № 3.
- Международные профессиональные стандарты внутреннего аудита (в редакции, вступившей в силу с 2004 г.). Перевод на русский язык выполнен Институтом внутренних аудиторов (http://www.iia-ru.ru).
- Напомним, кроме Письма № 47-Т ЦБ РФ издал в 2003 г. Положение № 242-П, регулирующее организацию внутреннего контроля в банках.
- Письма Банка России от 13.05.2002 № 59-Т, от 10.07.2001 № 87-Т о рекомендациях Базельского комитета по банковскому надзору и рабочий вариант перевода «Базель II» на русский язык, размещенный на интернет-сайте Банка России.
- Акулов А., Малыхин Д., Рыжих Н. Некоторые особенности организации комплайенс-контроля в российских банках // Бухгалтерия и банки, 2006, № 9, 10.
- См. приложение к данной статье.
- Малыхин Д.В. Подтверждение и повышение квалификации внутренних контроллеров и аудиторов банков //Бухгалтерия и банки», 2006, № 2.
- Газиян С.В., Малыхин Д.В. Внутренний аудитор: звучит гордо?! (http://www.bankir.ru/analytics/svk/216/51092)
- В 2004 г. COSO выпустил более общий документ «Управление рисками организации. Интегированный подход» (COSO ERM). Документ 1992 г. является составной частью документа 2004 г. и может одновременно использоваться как самостоятельный документ.