М.Малышевская "Внутренний контроль в банке: проблемы и парадоксы"
Раздел: Внутренний аудит в финансовых организациях
М. МАЛЫШЕВСКАЯ, к.э.н., экономист СВК ООО КБ "Донинвест"
опубликовано в журнале "Бухгалтерия и Банки", № 8, август 2005 г.
В настоящее время проблема создания эффективно функционирующего внутреннего контроля в коммерческом банке, несмотря на всю её актуальность и значимость, не только далека от окончательного решения, но и остаётся пока ещё недостаточно осмысленной как в научном отношении, так и в плане практической реализации.
Объём проделанной работы за последние два-три года - значительный, а надзорные государственные органы до сих пор не располагают чётко сформулированной концепцией внутреннего банковского контроля. Изданные нормативные акты носят фрагментарный характер и далеко не в полной мере учитывают ситуацию, которая сложилась на финансовых рынках и в банковском секторе России.
Кроме того, ряд положений нормативных актов в данной области не соответствует как внутренним реалиям отечественной экономики, так и передовому международному опыту организации внутреннего контроля в коммерческом банке. Напомним, что в стратегии развития банковского сектора, разработанной Центральным банком РФ совместно с Правительством РФ от 30 декабря 2001 года, отмечено, что основным принципом совершенствования системы регулирования банковской деятельности, банковского контроля и внешнего аудита является внедрение в полном объёме международно признанных подходов к их методике и организации.
Принятая 16 декабря 2003 года новая версия Положения о внутреннем контроле № 242-П страдает теми же недостатками, что и предыдущая. Указанное Положение даёт крайне мало информации, полезной и пригодной для практической организации системы внутреннего контроля в банковском секторе России, оно содержит большое количество противоречий, неясностей и неточностей и практически ни на шаг не приблизилось к мировым стандартам.
Противники внедрения и использования международного опыта утверждают, что рекомендации Базельского комитета по банковскому надзору по вопросам организации внутреннего контроля носят общий характер, а соответствующие документы не учитывают особенностей деятельности банков в нашей стране.
Ещё более парадоксально звучит утверждение о том, что рекомендации Базельского комитета не рассчитаны на отражение специфики характерных для российской экономики финансовых рисков и не учитывают фрагментарность, неполноту и противоречивость российского законодательства.
В развитых странах банковская система формировалась десятилетиями, и только после серии банковских крахов началось создание системы регулирования и контроля, которая постоянно совершенствуется. У России в настоящее время есть уникальный шанс, воспользовавшись международным опытом и разработками в области надзора и контроля, не повторить ошибок западных банковских систем.
Для того чтобы не быть голословными, проанализируем и сравним рекомендации Базельского комитета по банковскому надзору и информацию, содержащуюся в Положении ЦБ РФ от 16 декабря 2003 г. № 242-П. Принципы внутреннего контроля сгруппированы в шесть основных разделов, для наглядности мы привели их в форме таблицы.
Базельский комитет по банковскому надзору под внутренним контролем понимает процесс, осуществляемый советом директоров, старшими должностными лицами и сотрудниками всех уровней кредитной организации. Подразумевается, что это не просто процедура или политика, которая выполняется в определённый момент, а постоянно осуществляемый процесс на всех уровнях банка. Совет директоров и старшие должностные лица несут ответственность за формирование соответствующих традиций в целях содействия выполнению мер внутреннего контроля, а также за мониторинг его эффективности на непрерывной основе. Однако в этом процессе должен участвовать каждый сотрудник кредитной организации.
В пункте 1.1 Положения ЦБ РФ № 242-П даётся следующее определение: "Внутренний контроль - это деятельность, осуществляемая кредитной организацией и направленная на достижение целей, определённых пунктом 1.2 Положения". Следует отметить, что цели, поставленные Базельским комитетом и Центральным банком в пункте 1.2 Положения, в общем идентичны, однако российский законодатель включил в них и отслеживание деятельности по легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма, а также своевременного представления сведений в органы государственной власти и Банк России (п. 1.2.4 Положения). Из этого следует, что Центральный банк и Правительство РФ используют внутренний контроль коммерческих банков как инструмент в борьбе с легализацией преступных доходов, иначе говоря, реализуют свои функции через другие организации. При организации внутреннего контроля в современном банке использование концепции тотального контроля, предполагающего установление всеобъемлющего свода правил, регулирующих все аспекты деятельности кредитной организации, по нашему мнению, просто неприемлемо. Это не принесёт желаемого результата. Внутренний контроль потому и называется внутренним, что направлен не на надзор за деятельностью клиентов, а на достижение уставных целей банка с соблюдением законодательства и с наименьшими рисками. Нельзя отождествлять понятия внутреннего контроля и надзора, так как это совершенно два разных по своей сути направления контроля.
Не совсем ясно определение системы внутреннего контроля (п. 1.1), которая трактуется как совокупность системы органов контроля и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством, Положением и внутренними документами кредитной организации. Если исходить из общепринятого определения термина "система", то это не что иное, как совокупность объектов, явлений или организаций, однородных по своим задачам или объединённых в одно целое. В систему предлагают объединить людей и деятельность, что по сути является не совсем корректным.
В пункте 2.2 Положения даётся разъяснение, кто должен осуществлять внутренний контроль в коммерческом банке (в частности, органы управления кредитной организации, ревизионная комиссия, главный бухгалтер, подразделения и служащие, включая службу внутреннего контроля, которую законодатель называет также и службой внутреннего аудита). Так кто же всё-таки выполняет функции внутреннего контроля в кредитной организации?
Если мы обратимся к разделу 1 Базельских принципов внутреннего контроля, то обнаружим, что органы управления и старшие должностные лица не осуществляют контроль, а разрабатывают стратегию контроля и несут ответственность за её реализацию. В отношении службы внутреннего контроля также возникает ряд вопросов. Исходя из тех задач, которые поставил законодатель перед внутренним контролем внутреннему аудиту, под силу только две из них (п. 1.2.2 и 1.2.3). Напомним, что основной целью аудита является проверка финансовой отчётности на предмет её достоверности и соответствия действующему законодательству. И меньше всего аудит направлен на выявление и оценку банковских рисков. Из информации, изложенной в принципе 11 Базельского комитета, достаточно чётко следует, что внутренний аудит является частью мониторинга внутреннего контроля, но никак не заменяет его.
Из пункта 4.4 Положения следует, что осуществление всех видов контроля поручено отдельному подразделению, называемому, как указывалось выше, службой внутреннего контроля (СВК). Но насколько это эффективно? Практика показывает, что СВК зачастую не справляется с возложенными на неё обязанностями. Особенно это заметно в работе филиалов крупных банков, территориально отдалённых от головных офисов. Возможно, было бы целесообразно распределить ответственность между различными подразделениями коммерческого банка, встраивая контроль в их текущую деятельность. Принцип 3, разработанный Базельским комитетом, именно к этому и призывает, говоря, что каждый сотрудник кредитной организации должен понимать свою роль в процессе осуществления внутреннего контроля и участвовать в этом процессе. Конечно, в любом случае без выделенного подразделения не обойтись. В кредитной организации должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и её адекватности рискам в динамике. При этом о недостатках внутреннего контроля, выявленных сотрудниками этого независимого подразделения, необходимо своевременно сообщать должностным лицам соответствующего уровня управления, а по выявленным недостаткам - безотлагательно принимать меры (принцип 12). Для сравнения отметим, что пунктом 4.7.1 Положения установлено, что служба внутреннего контроля по собственной инициативе докладывает или не докладывает о вопросах, возникающих в ходе выполнения ею своих функций. Вполне логичным в данном случае будет вопрос, насколько велика вероятность того, что внутренний контроль приобретёт формальный или бюрократический характер в кредитной организации?
Важным представляется рассмотреть вопрос, касающийся независимости службы внутреннего контроля, поскольку это оказывает существенное влияние на эффективность системы внутреннего контроля. Пунктом 4.7.1 Положения предусмотрено, что служба внутреннего контроля действует под непосредственным контролем совета директоров (собственников) банка. С этим пунктом автор безоговорочно согласен. Однако обратимся к практике. На сегодняшний день статус СВК в российских банках таков, что не даёт возможности руководителям таких служб напрямую обращаться к собственникам или к совету директоров. Особенно остро эта проблема стоит в филиалах банков, территориально отдалённых от головных офисов. Поэтому служба внутреннего контроля фактически подчинена руководителю исполнительного органа кредитной организации, перед которым служба отчитывается и чьи указания она выполняет. Иначе говоря, кто платит заработную плату, тот "не заказывает контроль".
В завершение отметим ещё один важный момент, который не нашёл отражения в новой редакции российского Положения о системе внутреннего контроля в коммерческом банке. Если мы обратимся к принципу 5 раздела 3, то увидим, что за общей эффективностью предпринимаемых банком мер по осуществлению внутреннего контроля необходимо следить непрерывно. Это должно быть частью повседневной работы банка. Положение же предлагает проводить плановые проверки (п. 3 приложения к Положению). При составлении графика осуществления проверок должна учитываться установленная в кредитной организации периодичность проведения проверок по направлениям деятельности структурных подразделений в кредитной организации в целом. Если предположить, что, например, отделом по работе с фондовым рынком не был соблюдён лимит stop loss, а проверка запланирована через месяц, то в каком размере структурное подразделение получит убытки?
Система внутреннего контроля в коммерческом банке (не в российском её понимании) является единственной формой контроля, позволяющей добиться сплошной проверки операций банка. Иные формы внутреннего контроля, например внутренний аудит, а также внешний контроль (надзор) дают возможность осуществлять лишь выборочную проверку операций банка.
Российским коммерческим банкам необходимо чётко уяснить, что система внутреннего контроля - это комплекс мер и мероприятий кредитной организации, реализуемых работниками на каждом уровне банка с помощью информационного обеспечения и направленных на принятие эффективных управленческих решений и адекватную оценку банковских рисков с целью минимизации потерь, возникающих в процессе банковской деятельности. Только при таком подходе к внутреннему контролю можно добиться эффективного функционирования всей банковской системы России в целом.
Принципы Краткое описание принципов внутреннего контроля
Раздел 1. Административный надзор и традиции контроля
Принцип 1. Совет директоров несёт ответственность за:
утверждение и периодический пересмотр общей стратегии операционной деятельности и наиболее важных направлений в политике банка;
изучение основных рисков, с которыми сталкивается банк, установление приемлемых уровней по этим рискам и обеспечение принятия старшими должностными лицами мер, необходимых для того, чтобы идентифицировать, измерять, отслеживать и контролировать эти риски;
утверждение организационной структуры, а также обеспечение мониторинга эффективности системы внутреннего контроля со стороны старших должностных лиц;
создание и функционирование надлежащей и эффективной системы мер внутреннего контроля
Принцип 2. Старшие должностные лица несут ответственность за:
- осуществление стратегии и политики, утверждённых советом директоров;
- разработку методов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком;
- поддержание организационной структуры, обеспечивающей чёткое разграничение ответственности, полномочий и установление отношений подотчётности в целях эффективного выполнения делегируемых обязанностей;
- определение надлежащей политики внутреннего контроля, а также мониторинг достаточности и эффективности системы внутреннего контроля
Принцип 3. Совет директоров и старшие должностные лица несут ответственность за содействие формированию высоких этических стандартов добросовестного выполнения обязанностей и установления таких традиций в рамках организации, которые подчёркивают и демонстрируют сотрудникам всех уровней важность мер внутреннего контроля. Всем сотрудникам кредитной организации необходимо понимать свою роль в процессе осуществления внутреннего контроля и участвовать в этом процессе
Раздел 2. Выявление и оценка риска
Принцип 4. Эффективная система внутреннего контроля предполагает необходимость выявлять и оценивать на постоянной основе те имущественные риски, которые могут негативно отразиться на достижении банками поставленных целей. Такая оценка должна охватывать все риски, с которыми сталкивается банк и его учреждения в целом (т. е. кредитный риск, страновой риск и риск неперевода средств, рыночный риск, процентный риск, риск потери ликвидности, операционный риск, правовой риск и риск потери репутации банка). При этом может возникать необходимость в пересмотре мер внутреннего контроля, с тем чтобы учитывать должным образом любые новые или ранее не контролировавшиеся риски
Раздел 3. Деятельность по осуществлению контроля и разграничение обязанностей
Принцип 5. Деятельность по осуществлению контроля должна быть составной частью повседневной деятельности банка. Для эффективной системы внутреннего контроля требуется установление надлежащей структуры контроля в сочетании с определением соответствующих мер на каждом уровне операционной деятельности. Эти меры включают: проведение обзоров на высшем уровне; осуществление необходимых мер контроля за деятельностью отделов и подразделений; контроль за сохранностью материальных активов; проверку соблюдения лимитов подверженности рискам и последующий контроль в случае их несоблюдения; систему разграничения полномочий и принятия решений, а также сверку и согласование
Принцип 6. Для эффективной системы внутреннего контроля требуется надлежащее разделение обязанностей и обеспечение того, чтобы на сотрудников не возлагалась ответственность, сопряжённая с конфликтами интересов. Сферы потенциальных конфликтов интересов необходимо идентифицировать, сводить к минимуму и подвергать тщательному непредвзятому мониторингу
Раздел 4. Информация и связь
Принцип 7. Для эффективной системы внутреннего контроля требуются всесторонние данные по внутренней финансовой отчётности, операционной деятельности и соблюдению установленных требований, а также внешняя информация рыночного характера о событиях и условиях, имеющих значение для принятия решений. Информация должна быть достоверной, своевременной, доступной и поступать в совместимом формате
Принцип 8. Для достижения эффективности системы внутреннего контроля необходимо обеспечить рациональное размещение надёжных информационных систем, охватывающих все значительные виды деятельности банка. Эти системы, включая те, при помощи которых хранятся и используются данные в электронной форме, должны удовлетворять требованиям безопасности, подвергаться беспристрастному мониторингу, в их функционировании должны предусматриваться адекватные меры на случай возникновения непредвиденных обстоятельств
Принцип 9. Для эффективной системы внутреннего контроля требуются каналы связи, позволяющие добиваться того, чтобы все сотрудники полностью понимали и поддерживали проводимые мероприятия и используемые при этом процедуры, затрагивающие их служебные обязанности и ответственность, и чтобы прочие виды необходимой информации доводились до сведения тех, кого они касаются
Раздел 5. Деятельность по осуществлению мониторинга и устранение недостатков
Принцип 10. За общей эффективностью предпринимаемых банком мер по осуществлению внутреннего контроля необходимо следить непрерывно. Мониторинг ключевых рисков должен быть частью повседневной деятельности банка, а также предметом периодических оценок, выполняемых операционными службами и подразделениями внутреннего аудита
Принцип 11. В отношении системы внутреннего контроля необходимо обеспечить эффективный и всесторонний внутренний аудит, проводимый независимыми в операционном отношении, должным образом подготовленными и компетентными сотрудниками. Служба внутреннего аудита как часть мониторинга системы внутреннего контроля представляет отчёты и передаёт сообщения непосредственно совету директоров или его аудиторскому комитету и старшим должностным лицам в управлении
Принцип 12. О недостатках внутреннего контроля, выявленных сотрудниками операционных служб, внутреннего аудита или других органов контроля, необходимо своевременно сообщать должностным лицам соответствующего уровня управления, а по выявленным недостаткам - безотлагательно принимать меры. О недостатках материально-технического обеспечения службы внутреннего контроля следует сообщать старшим должностным лицам и совету директоров
Раздел 6. Оценка системы внутреннего контроля органами надзора
Принцип 13. Органы надзора должны требовать, чтобы все банки независимо от размеров их капитала поддерживали эффективную систему мер по осуществлению внутреннего контроля в соответствии с характером, сложностью и степенью рисков, присущих банковской деятельности, отражаемой на балансовых и внебалансовых счетах, а также с учётом изменений в банковской среде и условиях функционирования банков. В случаях, когда органы надзора приходят к заключению, что система внутреннего контроля в том или ином банке не является достаточной или эффективной, если принять во внимание конкретный диапазон рисков, они должны предпринять надлежащие меры