Д.В. МАЛЫХИН, член Совета российского Института внутренних аудиторов

Выступление на конференции «Актуальные проблемы правового обеспечения банковской деятельности», проведенной Главным управлением Центрального банка Российской Федерации по Омской области совместно с Ассоциацией российских банков, Правительством Омской области, Омским государственным университетом в г. Омске 26 октября 2004 г.

Особенности правового обеспечения внутреннего контроля и аудита в банках

Несколько вступительных слов. Благодарю за предоставленную возможность выступить и предложить для обсуждения некоторые вопросы, волнующие профессиональное сообщество риск-менеджеров, контролеров и внутренних аудиторов банков. Это сообщество большей частью не очень организованно, но оно существует и развивается, сотрудники банков систематически повышают свою квалификацию, подтверждают ее получением сертификатов, в т.ч. по международным стандартам. Что немаловажно для укрепления качества корпоративного управления в банках, сообщество постепенно организуется в «ячейки». Одна из таких «ячеек» – Институт внутренних аудиторов (ИВА), филиал международной профессиональной ассоциации, штаб-квартира находится в США, штат Флорида, о которой сегодня говорила коллега из Новосибирска (Фадейкина).

Теперь собственно по теме выступления. Известно, что именно в кредитных организациях внутренний контроль как элемент системы управления рисками наиболее развит и имеет особую ценность. Три, как минимум, фактора можно привести, влияющих на значение внутреннего контроля в банках:

• банки обязаны быть стабильными и надежными,
• финансовая деятельность по своему характеру в основном нематериальна и основана на управлении рисками, т.е. деятельность, не связанная с перемещением ценностей, которые можно «пощупать руками»,
• в сфере финансов активным участником взаимоотношений между собственниками, менеджерами и клиентами банков является государство, требующее от банков финансовой устойчивости, прозрачности в управлении, адекватности внутреннего контроля рискам.

Эти факторы объективно способствовали тому, что именно в финансовой сфере регулятивные требования к системам внутреннего контроля и управлению рисками в наибольшей степени приблизились к стандартам, рекомендуемым международными институтами (например, Базельский комитет по банковскому надзору).

Между тем, функция внутреннего аудита в банках занимает весьма скромное место на практике. Одной из причин такого положения является, по нашему мнению, недостаточное правовое обеспечение вопросов корпоративного управления, управления рисками банков (и не только банков) В течение последних 2 лет ИВА проводил большую исследовательскую работу по изучению состояния внутреннего контроля и аудита на предприятиях в разных отраслях экономики, в т.ч. в банках. Можно говорить о нескольких проблемах в правовом обеспечении этой важной функции корпоративного управления.

Уровень законов.

В законах о банковской деятельности, о деятельности Банка России, реструктуризации кредитных организаций, страховании банковских вкладов весьма подробно описаны требования к системе управления банков. В то же время специальная функция внутреннего аудита предусмотрена только для Банка России, Агентств по страхованию вкладов и реструктуризации кредитных организаций (последнее недавно ликвидировано). Требование по организации функции внутреннего аудита не содержится более ни в каких других законах, как нет в них и четкого законодательного определения этой функции и понятия «внутренний контроль» (за исключением частного случая - для целей Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).

Некоторые упоминания о внутреннем контроле и аудите содержатся в правилах (стандартах) аудиторской деятельности, которые в настоящее время серьезно модернизируются в соответствии с Законом об аудиторской деятельности. Более подробно о функции внутреннего аудита и внутреннем контроле можно узнать только из ведомственных документов (т.е. не имеющих характер Закона) Банка России и Федеральной комиссии по рынку ценных бумаг (ныне ФСФР).

Уровень ведомственных актов.

Известно большое количество документов, разработанных ЦБ РФ по вопросам внутреннего контроля. При создании банка требуется представить в лицензирующий и надзорный орган - Банк России - информацию о системе внутреннего контроля в создаваемой организации (Инструкция № 109-И). Обо всех существенных изменениях системы внутреннего контроля надлежит информировать надзорный орган, а в уставе банка должны быть описаны права и сфера компетенции службы внутреннего аудита банка. Кроме того, Банком России изданы многочисленные документы, непосредственно определяющие механизмы осуществления внутреннего контроля, управления рисками, обязательные для коммерческих банков. Примерами таких документов служат Положения № 2-П и № 222-П по вопросам организации расчетов, Положения № 14-П и № 199-П по вопросам осуществления кассовых операций, Положения № 89-П, № 232-П, № 254-П и Инструкция № 110-И по вопросам расчета рисков и размеров резервов, Положение № 205-П по вопросам организации учетной работы, Положение № 54-П по вопросам осуществления кредитных операций, Инструкции № 41, № 111-и и № 113-и по вопросам организации операций на валютном рынке. Кроме того, деятельность банков, как правило, осуществляющих операции с ценными бумагами, дополнительно регулируется Федеральной службой по финансовым рынкам (ранее – ФКЦБ). Перечислять эти документы можно еще долго (правда, еще больше времени требуется для исполнения документов на практике, о чем сегодня неоднократно говорилось).

Отдельно по вопросам организации системы внутреннего контроля, внутреннего аудита Банком России с февраля 2004 г. введено в действие Положение № 242-П, которое заменило ранее изданные документы по этому вопросу - Положение № 509 и Указание № 603-У, дав очередной импульс развитию внутреннего контроля и аудита в банках. В обсуждении проекта нового Положения осенью 2003 г. активно участвовал российский филиал Института внутренних аудиторов.

В новом Положении № 242-П Банком России в основном использованы те же подходы к построению системы внутреннего контроля, определения места внутреннего аудита в системе управления, что рекомендованы Базельским комитетом на основе модели «COSO» с учетом профессиональных стандартов внутреннего аудита, разработанных Институтом внутренних аудиторов. Тем не менее, есть и недостатки. Два наиболее важных:

• до конца не разделены понятия «внутренний контроль» и «внутренний аудит», сама функция внутреннего аудита упоминается в тексте Положения № 242-П лишь однажды; это порождают путаницу и в делах и в теоретической, методической подготовке сотрудников банков,
• практически отсутствуют требования к квалификации сотрудников служб внутреннего контроля (СВК). Даже те минимальные требования о наличии высшего образования, что были в известном Положении № 509, не воспроизведены, и тем более нет упоминаний о подтверждении профессиональной компетенции сотрудников СВК, хотя бы аналогично членам органов управления и главным бухгалтерам банков (не стоит говорить, что во многих случаях, как мы знаем, и наличие дипломов отдельных ВУЗов мало что говорит о подготовке сотрудника).

Правовое обеспечение контрольной функции собственников

Обязательность создания Ревизионной комиссии (РК) в банках, как и для многих других предприятий, прежде всего акционерной организационно-правовой формы, предусмотрена многими нормативными актами, но конкретные функции этого контрольного органа практически не описаны. А ведь известно, что РК имеет очень серьезные контрольные полномочия, и эти полномочия крайне важны для поддержки регулярной деятельности СВК и/или внутреннего аудита.

При этом существует ряд документов ЦБ, ФКЦБ, международных организаций, в которых предусматривается возможность создания Аудиторского комитета при Совете директоров. Что это за орган? В законах упоминание о нем отсутствует, в отличие от РК.

Одно из основных назначений Аудиторского комитета (АК) – быть для внутренних аудиторов тем органом, который должен обеспечивать независимость от менеджмента. Известные корпоративные скандалы в США и ЕС в 2001-2003 годах привели, в частности, к тому, что задача по совершенствованию деятельности Аудиторских комитетов в настоящее время стоит перед многими предприятиями. Анализ показывает, что большинство функций, которые вменяются Аудиторскому комитету, могут быть исполнены и Ревизионной комиссией. Нужно, конечно, уточнить некоторые неясные моменты и технические противоречия, но в основном, функции РК и АК очень схожи. Для этого необходимы изменения в законодательстве.

Причина

По нашему мнению, причины названных проблем, противоречий кроются в том, что при разработке нормативных документов учитывалось сосуществование в настоящее время двух концепций построения внутреннего контроля - концепции тотального контроля (очень хорошо нам известна по советской практике, когда не жалели денег для контроля за использование каждого гвоздя) и концепции контроля, ориентированного на риск.

Основная идея концепции контроля, ориентированного на риск, завоевывающей все больше признания в мире и в РФ, заключается примерно в следующем. В банке может существовать несколько служб и подразделений, специализирующихся на различных видах контроля, и все они могут осуществлять внутренний контроль на разных уровнях организации, на различных этапах процесса контроля, за теми или иными видами и уровнями риска.

Внутренний контроль, в системе тотального контроля переложенный менеджментом на службу внутреннего контроля и других контролеров, в риск-ориентированной схеме управления распределяется между менеджерами, специализирующимися на контроле и управлении рисками, и внутренним аудитом. Осуществление внутреннего контроля «встраивается» в бизнес-процесс, а руководство получает от внутреннего аудита объективные и независимые гарантии того, что эти процессы эффективны и риск ограничен приемлемым уровнем. При этом внутренние аудиторы не ограничиваются только проверками. Как профессионалы в области контроля, они консультируют владельцев процессов (линейных менеджеров), рекомендуя наиболее эффективные процедуры контроля.

Риск-ориентированный подход основан на закреплении ответственности за финансовые услуги, операционные процессы и присущие им риски (известно также как владение - ownership) за линейными менеджерами на всех уровнях управления.

Таким образом, при укрупнении банков, расширении их бизнеса и спектра проводимых операций потребность во внутреннем аудите в современном понимании объективно возрастает, а его роль усиливается, что требует соответствующих изменений в правовом обеспечении функции внутреннего контроля и аудита. Надеемся, что наши предложения могут быть использованы при совершенствовании правового поля теми организациями, которые обладают правом «законодательной инициативы».

Спасибо.