Банковское дело
подходы к пониманию внутреннего контроля и оценке его эффективности в кредитной организации: российский и зарубежный опыт
е. б. морковкина,
экономист сектора операций с ценными бумагами
оао КБ «Иваново»
В Российской Федерации на сегодняшний день при разработке новых документов и каких-либо экономических систем часто перенимают уже сложившуюся зарубежную практику. Но иногда мы заимствуем технологии, которые находятся только в процессе создания или совершенствования, и еще не являются полностью завершенными стандартами для применения. Одним из таких примеров является создание в РФ системы внутреннего контроля.
Любой кредитной организации при осуществлении ее деятельности необходимо организовать эффективную систему внутреннего контроля, которая не только обеспечивала бы соблюдение банком требований законодательства и регулирующих органов, но и, что наиболее важно, помогала бы оценивать, управлять и контролировать риски по проводимым операциям.
Бесспорно, при создании такой системы необходимо не просто «слепо» идти за рекомендациями только Банка России, но и понимать: откуда данные рекомендации исходят и на каком этапе развития находятся. Таким образом, процесс формирования внутреннего контроля должен основываться не только на анализе конкретного документа регулирующего органа, но и должен учитывать развитие подходов к внутреннему контролю.
Целью настоящей статьи является обзор основных подходов к пониманию внутреннего контроля и оценке его эффективности в кредитных организациях.
Этап истории разработки требований к системе внутреннего контроля начался в 1985 г. в США,
однако, эти требования изначально распространялись в основном на систему внутреннего контроля предприятий. В то время пять профессиональных саморегулируемых организаций — Институт финансовых управленцев (Financial Executives Institute, FEI), Институт внутренних аудиторов (Institute of Internal Auditors, IIA), институт специалистов управленческого учета (Institute of Management Accountants), Американский Институт дипломированных бухгалтеров (American Institute of Certified Public Accountants, AICPA), Американская ассоциация по учету и отчетности (American Accounting Association) — создали национальную комиссию по борьбе с недостоверной финансовой отчетностью, известную по имени первого своего председателя Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. В своих отчетах они призывали объединить усилия по достижению договоренности об общих понятиях внутреннего контроля, и на основании этого под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) была организована специальная рабочая группа, которая провела анализ существовавшей на тот момент литературы по внутреннему контролю и разработала документ, представленный общественности в 1992 г. под названием «Внутренний контроль. Концептуальные основы» (Internal Control — Integrated Framework). Этот документ принято называть по наименованию комитета-организатора моделью COSO. Он оказывал помощь предприятиям и организациям в про-
ведении оценки и совершенствовании их систем внутреннего контроля. Тысячи компаний приняли и использовали эту концепцию при составлении своих политик, правил и процедур, чтобы повысить качество внутреннего контроля в ходе достижения поставленных ими целей.
Таким образом, современные системы внутреннего контроля базируются на принципах Интегрированной концепции внутреннего контроля (Integrated Internal Control Framework) комитета COSO.
Рассмотрим ключевые моменты обозначенной концепции.
Модель COSO акцентирует ответственность руководства предприятия за состояние системы внутреннего контроля, а также устанавливает основные понятия и определения внутреннего контроля, его компоненты, исходя из следующих предпосылок:
• внутренний контроль — это процесс, т. е. средство достижения цели, а не цель как таковая;
• внутренний контроль осуществляется людьми. И это не просто правила, процедуры и другие руководящие документы а люди на всех уровнях организации;
• от внутреннего контроля менеджмент и владельцы предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но никак не абсолютной гарантии безошибочной работы;
• внутренний контроль обеспечивает достижение поставленных целей в одной или нескольких смежных областях деятельности1. Концепция внутреннего контроля COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной гарантии достижения целей по следующим категориям:
• целесообразность и эффективность деятельности;
• достоверность финансовой отчетности;
• соблюдение соответствующих законодательных, нормативных актов и требований регулирующих органов.
Таким образом, согласно Концепции COSO систему внутреннего контроля можно признать эффективной в каждой из этих категорий, если совет директоров и менеджмент могут гарантировать, что:
• они осознают размер необходимых для дости-
1 Обозначенные предпосылки цитируются по разделу «Key Concepts» на сайте www. coso. org в неофициальном переводе.
жения операционных целей организации;
• публикуемая финансовая отчетность является достоверно подготовленной;
• действующие законы и инструкции соблюдаются.
Таким образом, в Концептуальных основах внутреннего контроля оговариваются три категории целей: 1) операционные; 2) цели в области финансовой отчетности; 3) цели в области соблюдения законодательных требований.
Поскольку внутренний контроль — это процесс, то его эффективность — это организация и условия данного процесса в тот или иной период времени.
Как уже говорилось, многие организации, издавая свои документы, брали за основу принципы Интегрированной концепции внутреннего контроля. Но, пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору (далее — Базельский комитет). В 1998 г. он выпустил документ «Система внутреннего контроля в банках: основы организации» («Framework for internal control systems in banking organizations», September 1998), посвященный оценке эффективности внутреннего контроля в банках2. В данном документе эффективная система внутреннего контроля признается критически важным компонентом управления кредитной организации и основой для обеспечения безопасности и устойчивости банковских операций. Внутренний контроль призван обеспечивать реализацию целей и задач банковских учреждений не только в области рентабельности и поддержания надежной системы финансовой и управленческой отчетности, но и в области соблюдения законов и регулятивных норм, политик банка, принятых планов, внутренних правил и процедур и снижения риска непредвиденных убытков или подрыва репутации банка.
Базельский комитет определил набор принципов, согласно которым должна строиться оценка эффективности систем внутреннего контроля банка. При этом три основные цели, к достижению которых должна стремиться кредитная организация путем создания качественной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.
Комитет представил 13 принципов, которые были сгруппированы в пяти категориях: 1) управление и культура контроля; 2) признание и оценка
2 Неофициальный перевод публикации Базельского комитета был рекомендован Банком России кредитным организациям для использования в работе Письмом от 10.07.2001 № 87-Т.
40
ФИНАНСЫ И КРЕДИТ
риска; 3) деятельность по осуществлению контроля и разделение полномочий; 4) информация и система ее передачи; 5) мониторинг деятельности и исправление недостатков, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — «Оценка систем внутреннего контроля надзорными органами».
В июле 2000 г. и августе 2001 г. были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» («Internai audit in banking organisations and the relationship of the supervisory authorities with internai and external auditors», July 2000) и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» («Internai audit in banks and the supervisor's relationship with auditors», August 20013).
В соответствии с этими документами надлежащий внутренний контроль в банках должен дополняться эффективной службой внутреннего аудита, независимым образом оценивающей контрольные системы в организации. Внутренний аудит является оценкой надежности и эффективности существующей системы внутреннего контроля, а внутренние аудиторы — людьми, призванными непредвзято и профессионально провести такую оценку. И согласно профессиональным стандартам4, выработанным международным Институтом внутренних аудиторов (IIA), внутренний аудит располагает системным подходом к оценке и улучшению эффективности процессов управления рисками, контроля и корпоративного управления.
«В общем плане во внутренний аудит входят:
• проверка и оценка адекватности и эффективности системы внутреннего контроля;
• проверка применения и эффективности процедур управления рисками и методологии оценки рисков;
• проверка систем менеджмента и финансовой информации, включая систему электронной информации и электронные банковские услуги;
• проверка точности и достоверности записей бухучета и финансовых отчетов;
• проверка средств сохранения активов;
3 Неофициальный перевод публикации Базельского комитета «Internal audit in banks and the supervisor's relationship with auditors», August 2001 был рекомендован Банком России кредитным организациям для использования в работе Письмом от 13.05.2002 №59-Т соответственно.
4 Русский перевод стандартов на сайте Российского отделе-
ния IIA: http://www. iia-ru. ru/stand
• проверка системы банка по оценке его капитала в связи с его оценкой риска;
• оценка экономичности и эффективности операций;
• тестирование как транзакций, так и функционирования конкретных процедур внутреннего контроля;
• проверка систем, учрежденных для обеспечения соблюдения правовых и регулятивных требований, кодексов поведения и проведения в жизнь методик и процедур;
• тестирование достоверности и своевременности регулятивной отчетности;
• осуществление специальных расследований» 5. Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в разработке COSO — «Управление рисками организаций. Интегрированная модель» («Enterprise Risk Management Framework», September 2004).
Таким образом, существующая в настоящее время зарубежная практика подходов к пониманию внутреннего контроля и оценке качества внутрибанковского контроля распределяется по следующим направлениям (см. таблицу).
Что же касается российской банковской практики в отношении подходов к оценке качества системы внутреннего контроля, то правовое поле в этой сфере в настоящее время определяется Положением ЦБ РФ от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и Письмом ЦБ РФ от 24.03.2005 № 47-Т «О Методических рекомендациях по проведению проверки и оценки организации внутреннего контроля в кредитных организациях».
Положение № 242-П определяет основные понятия внутреннего контроля, цели и направления его проведения. В то время как методические рекомендации по проведению проверки организации внутреннего контроля в кредитных организациях (далее — Методические рекомендации) разъясняют процедуру проведения проверки организации внутреннего контроля и предназначены в основном для использования уполномоченными представителями Банка России при вынесении мотивированного суждения и для тестирования новых подходов к
5 Письмо ЦБ РФ от 13.05.2002 N 59-Т «О рекомендациях Базельского комитета по банковскому надзору: внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов»
Таблица
основные подходы к пониманию внутреннего контроля и оценке его эффективности: зарубежная практика
наименование Модель COSO Базельский комитет Международный институт внутренних аудиторов
основные понятия Внутренний контроль — это процесс, осуществляемый людьми и обеспечивающий достижение поставленных целей в одной или нескольких смежных областях деятельности Внутренний контроль — основа для обеспечения безопасности кредитной организации и устойчивости банковских операций Внутренний контроль — любые действия менеджмента, Совета и других сторон, направленные на управление рисками и повышение вероятности достижения поставленных целей и выполнения задач. Внутренний контроль в банках должен дополняться эффективной службой внутреннего аудита. Внутренний аудит является оценкой надежности и эффективности существующей системы внутреннего контроля
основные цели контроля - целесообразность и эффективность деятельности; - достоверность финансовой отчетности; - соблюдение соответствующих законодательных, нормативных актов и требований регулирующих органов - операционные; - поддержание надежной системы финансовой и управленческой отчетности; - соблюдение законов и регулятивных норм, политик банка, принятых планов, внутренних правил и процедур - достоверность и полнота информации о финансово-хозяйственной деятельности; - результативность и эффективность деятельности; - сохранность активов; - соблюдение законов, нормативных актов и договорных обязательств
критерии эффективности внутреннего контроля - осознание размера необходимых для достижения операционных целей организации; - публикуемая финансовая отчетность является достоверно подготовленной; - действующие законы и инструкции соблюдаются Набор принципов, согласно которым должна строиться оценка эффективности систем внутреннего контроля банка: - управление и культура контроля; - признание и оценка риска; - деятельность по осуществлению контроля и разделение полномочий; - информация и система ее передачи; - мониторинг деятельности и исправление недостатков - наличие четко сформулированных оперативных и долгосрочных целей и задач и степень их соответствия целям и задачам организации; - установление степени адекватности сформулированных менеджментом критериев, позволяющих определить, выполнены поставленные цели и задачи или нет
оценке организации внутреннего контроля в кредитных организациях.
В указанных методических рекомендациях для оценки качества системы внутреннего контроля рекомендуется рассчитывать следующие показатели:
1) показатель оценки организации системы внутреннего контроля кредитной организации;
2) показатель оценки деятельности службы внутреннего контроля;
3) показатель оценки контроля за управлением информационными потоками и обеспечением информационной безопасности, проверок разработанных кредитной организацией планов действий на случай непредвиденных обстоятельств;
4) показатель оценки контроля за управлением банковскими рисками;
5) показатель оценки контроля за распределением прав и обязанностей, согласования решений,
делегирования полномочий при совершении банковских операций;
6) показатель оценки контроля за представлением отчетов и информации.
Данные показатели оценки организации внутреннего контроля рекомендуется рассчитывать на основании балльных и весовых оценок, выставляемых рабочей группой по ответам на вопросы, относящиеся к этим показателям. При подготовке выводов об оценке качества системы внутреннего контроля в кредитной организации по всем рассчитанным показателям рекомендуется применять определенную шкалу оценок:
• удовлетворительная — значение показателей меньше или равно 1,6;
• удовлетворительная, имеющая отдельные недостатки — значение показателей больше 1,6, но меньше или равно 2,4;
• требующая особого внимания со стороны надзорных органов — значение показателей больше 2,4, но меньше или равно 3,4;
• неудовлетворительная — значение показателей больше 3,46.
Однако российские регулирующие органы и финансовые учреждения пока не выработали, на взгляд автора, общепринятой концепции внутреннего контроля, близкой к модели COSO.
Для Банка России наиболее значимой целью внутреннего контроля является обеспечение соот-
6 Письмо ЦБ РФ от 24.03.2005 № 47-Т «О Методических рекомендациях по проведению проверки и оценки организации внутреннего контроля в кредитных организациях»
ветствия деятельности кредитных организаций его нормативным актам, тогда как для самой кредитной организации более важным является достижение поставленных ею самой целей и оптимизация связанных с этим затрат. То есть и существующий внутренний контроль будет прежде всего ориентироваться на эти цели.
Таким образом, при создании и совершенствовании банковского законодательства Российской Федерации необходимо учитывать не только концепцию Базельского комитета, но и всю надлежащую практику, которая сложилась в мире в данной области, и возможно перспективные направления, развивающиеся в отдельных странах.