Внутренний контроль и управление рисками в коммерческом банке Текст научной статьи по специальности «Экономика и бизнес»

УПРАВЛЕНИЕ РИСКАМИ

ВНУТРЕННИЙ КОНТРОЛЬ И УПРАВЛЕНИЕ РИСКАМИ В КОММЕРЧЕСКОМ БАНКЕ

А. В. ШУЛЬГИН, кандидат технических наук, заместитель руководителя службы внутреннего контроля ЗАО "КБ" Гута-Банк"

Эта статья является первой из серии материалов, посвященных созданию системы внутреннего контроля коммерческого банка. В последующих публикациях будут рассмотрены вопросы роли и места в банке системы внутреннего контроля, принципы ее функционирования и оценки, задачи службы внутреннего контроля, будут описаны контрольные процедуры, обеспечивающие управление рисками в ключевых областях банковского бизнеса и снижающие возможности внутренних и внешних злоупотреблений и ошибок персонала. Будут даны рекомендации по организации процедур внутреннего контроля и приведены алгоритмы контрольных процедур для операций кредитования, операций в платежных системах, депозитных операций, торговых операций на фондовом и денежном рынках.

1. ЗАДАЧИ ВНУТРЕННЕГО КОНТРОЛЯ В БАНКЕ

Развитие международного банковского сообщества и возникновение связей между кредитными организациями разных стран, обеспечение международного товарооборота и миграции капитала требуют от банков исключительного доверия друг к другу. Сбой в работе одного крупного банка может привести к значительным потерям у всех его контрагентов в системе расчетов и на рынках. Эти обстоятельства определили необходимость создания механизма, в значительной степени стандартного для различных банков, который позволял бы банкам быть уверенными в том, что активы, размещенные у контрагента, не подвергаются необоснованному риску из-за плохой организации банковского дела и недостаточно продуманной системы выполнения операций. Такой механизм стал возникать во многих банках, в том числе и в российских. Этот механизм называется системой внутреннего контроля.

Термин "внутренний контроль" появился в банковской лексике сравнительно недавно. Его возникновение связано с тем, что появление новых банковских технологий и продуктов, компьютеризация и автоматизация банковской деятельности и появление требования оперативного управления рисками, возникающими в процессе выполнения банковских операций поставили более сложные задачи, чем те, которые решает внутрибанковский аудит, традиционно осуществляющий в банках контрольную функцию. В то время как аудит призван решать в первую очередь задачи обеспечения последующего контроля, то есть выявления ошибок и злоупотреблений после проведения операции на основании данных о ее проведении, то есть аудиторского следа, внутренний контроль призван в первую очередь обеспечить такие условия и алгоритмы проведения банковских операций, которые сделают невозможными или трудноосуществимыми злоупотребления и ошибки. Внутренний контроль как система обеспечения банковской деятельности и как неотъемлемая ее часть, основан на вполне конкретных принципах, являющихся общими для большинства членов мирового банковского сообщества. Ниже будут рассмотрены основные принципы построения системы внутреннего контроля.

1.1. Структура службы внутреннего контроля, принципы ее построения

Риск является характерной чертой банковских операций. О характере и классификации банковских рисков в зависимости от их природы написано и сказано достаточно много и нет нужды повторяться. Каждая без исключения банковская операция несет в себе риск. Даже внутрибанковский перевод средств и, казалось бы, совершенно безрисковые операции по обеспечению текущего функционирования банка будучи выполнены некорректно или с целью хищения, могут впоследствии

оказать серьезное негативное влияние на состояние банка и привести к потерям. Что уж говорить о межбанковских платежах и активных операциях. Банковский кризис в России 1998 года показал, что операции, традиционно считавшиеся абсолютно безрисковыми, привели к потерям, поставившим крупнейшие банки России на грань банкротства. Риск несут в себе не только активные операции, такие, как выдача кредитов, покупка ценных бумаг, открытие валютных позиций. Риск несут в себе и нарушения технологии проведения операций, даже несвоевременность внесения записей в электронную базу данных и ошибки во вводе данных могут нести в себе риск, оценить степень которого априори невозможно.

Риск несут в себе и пассивные операции банка, операции по привлечению средств. Это неизбежный риск при установлении фиксированной процентной ставки по привлеченным средствам, это риск, связанный с невозможностью разместить привлеченные средства и получить соответствующий доход.

Риск несет в себе и персонал банка. Кроме возможных ошибок, связанных с некомпетентностью персонала, имеется риск злоупотреблений.

По данным исследований, проведенных специалистами США, в среднем банке только 25 % служащих - это честные люди, ни при каких обстоятельствах не способные совершить противоправные действия в ущерб банку, 25 % ожидают удобного случая и в принципе могут что-то сделать, остальные 50 % действуют в зависимости от ситуации. По данным относительно нашей страны это 10 %, 10 % и 80 % соответственно. Исследования американских специалистов по мошенничеству в банковской сфере показали, что 95 % суммы ущерба, связанного с мошенничеством, образуются за счет нечестности персонала и только 5 % связаны с действиями клиентов. Поэтому, когда руководство банка заявляет, что персонал банка честен на сто процентов, это просто противоречит действительности.

Невозможно говорить о ликвидации рисков банковской деятельности вообще, но можно и необходимо говорить о разумном снижении рисков, связанных с основными функциями коммерческого банка. Речь идет о рисках, связанных с перераспределением денежных средств, временно высвобождающихся в процессе кругооборота средств предприятий (коммерческих рисков) и о минимизации рисков, связанных с неточностью или недобросовестностью работы персонала и недостаточной проработанностью технологии выполнения операций, рисков хищения и злоупотреблений (технологических рисков).

Система внутреннего контроля предназначена для обеспечения именно этой функции, функции снижения рисков банковской деятельности. Это зафиксировано в положении от 28.08.97 № 509 "Об организации внутреннего контроля в банках". Там указана основная цель внутреннего контроля - защита интересов инвесторов, банков и их клиентов путем контроля за соблюдением сотрудниками банка законодательства, нормативных актов и стандартов профессиональной деятельности, урегулирования конфликтов интересов, обеспечения надлежащего уровня надежности, соответствующей характеру и масштабам проводимых банком операций и минимизации рисков банковской деятельности. Система внутреннего контроля создается и поддерживается службой внутреннего контроля банка. Кроме того, в функции службы внутреннего контроля входит выполнение контрольных мероприятий для обеспечения проверки проводимых банком операций с целью установления соответствия этих операций целям и задачам банка и действующим нормативным документам.

Одним из наиболее значительных результатов организации в банке службы внутреннего контроля является то, что необходимость постоянного взаимодействия с внутренним оппонентом при проведении банковских операций оказывает положительный эффект на весь без исключения персонал банка. Это относится и к высшему менеджменту, и к коллегиальным органам, и к исполнителям. Принимаемые решения неизбежно становятся конкретнее, их формулировки более проверяемыми, технологические цепочки приобретают более структурированный характер. И хотя, по данным американских исследований о природе мошенничества и о методах противодействия ему, только 20 % мошеннических операций удается предотвратить силами внутреннего контроля, сам факт наличия глобального контроля и уверенность злоумышленника в том, что его действия станут известны оказывают значительное воздействие на персонал.

В условиях достаточно сложной системы отчетности перед контролирующими органами, многие банки России испытывают трудности в обеспечении достоверной и надежной отчетности по всем установленным формам. Выверка отчетности является также важной функцией службы внутреннего контроля.

Служба внутреннего контроля является специфическим банковским подразделением, занимающим особое положение как по положению в структуре банка, так и по роли, которую эта служба играет. Будучи чисто затратным подразделением, служба внутреннего контроля часто настолько оку-

пает свое существование, что ее можно поставить в один ряд с самыми прибыльными подразделениями банка.

При создании эффективной службы внутреннего контроля в банке минимизируются риски потерь активов; руководство банка приобретает уверенность в том, что политики банка реализуются соответствующим образом, а принятые решения исполняются; персонал банка подтягивается. Когда персонал не контролируется, он работает хуже. Даже сам факт наличия контрольной службы не позволяет людям расслабиться; любой партнер банка хочет иметь уверенность в том, что он имеет дело с солидным учреждением, в котором недопустимо вольготное распоряжение его средствами; руководство банка может узнать много нового о банке.

То обстоятельство, что служба внутреннего контроля создается, с одной стороны, для организации системы внутреннего контроля, а с другой стороны, для проведения контрольных мероприятий приводит к наличию двух подходов к решению любой контрольной задачи.

Первый подход состоит в обеспечении такого порядка проведения операций и в такой организации бизнес-процессов, при котором минимизируется риск ошибки или злоупотребления. В этом случае основной функцией службы внутреннего контроля является организация внутреннего контроля в подразделениях и периодическая проверка его состояния.

Второй подход состоит в организации контрольных процедур таким образом, чтобы любая операция была проверена контролером, являющимся сотрудником службы внутреннего контроля.

Пример. Контроль операции по закрытию клиентского счета. Можно организовать процедуру ведения счетов клиента таким образом, чтобы при закрытии счета или при изменении наименования клиента или номера счета, владелец счета возвращал бы банку чековую книжку вместе с заявлением, в котором указываются номера неиспользованных чеков. В этом случае необходимо будет контролировать только возможность выполнить закрытие счета в обход данного порядка. А можно организовать процедуру непосредственного контроля самой операции закрытия счетов, где проверять выполнение указанного требования.

Как обычно бывает в жизни, в каждом конкретном случае приходится применять смешанную стратегию. Поэтому оптимальным вариантом представляется организация внутреннего контроля с учетом специфических особенностей каждой бизнес-операции, основанная на разумном сочетании первого и второго подходов. Далее под системой внутреннего контроля мы будем понимать совокупность контрольных процедур и принципов организации биз-

нес-процессов, направленных на снижение рисков, а под службой внутреннего контроля - структурное подразделение банка, осуществляющее организацию системы внутреннего контроля и одновременно реализующего контрольную функцию. Контролером мы будем называть, в зависимости от принятых в банке правил проведения той или иной операции, либо сотрудника подразделения, выполняющего операцию, на которого возложена контрольная функция, либо сотрудника службы внутреннего контроля, непосредственно контролирующего данную операцию. В первом случае контролер оказывается включен в технологический процесс выполнения операции, во втором случае на контролера возлагается только контрольная функция и включение его в технологический процесс недопустимо.

В мировом банковском сообществе вопросы внутреннего контроля стоят на повестке дня давно. Для того чтобы быть уверенными в том, что банк-партнер надлежащим образом обеспечивает проведение операций и минимизирует риски, страны, имеющие наиболее развитые банковские системы, организовали в 1975 году в Базеле Комитет органов банковского надзора. Комитет был создан из представителей органов банковского надзора Бельгии, Канады, Франции, Германии, Голландии, Швеции, Швейцарии, Англии и США. Базельский комитет по банковскому надзору, в настоящее время организация весьма влиятельная и авторитетная, разработал принципы оценки механизмов внутреннего контроля, которые, несмотря на то, что Россия в комитет не входит, являются и для нас весьма полезными, так как содержат обобщение многолетнего банковского опыта.

Система надежных механизмов внутреннего контроля содействует выполнению текущих задач банка, достижению банком долгосрочных целей по прибыли и ведению надежной финансовой и управленческой отчетности.

По мнению Базельского комитета система эффективных механизмов внутреннего контроля является критически важным компонентом управления банком и основой существования надежных банковских учреждений. Это мнение основано на том, что анализ значительных убытков, понесенных рядом банковских организаций, а также проблем, связанных с этими убытками, указывает на то, что многих неприятностей можно было бы избежать, если бы банки имели эффективные системы внутреннего контроля.

Само по себе наличие системы внутреннего контроля в банке еще не является гарантией того, что все операции проводятся правильно и банк защищен от неприятностей. Система внутреннего контроля должна подвергаться постоянной оценке и кор-

ректировке, адекватно соответствующей характеру и масштабам проводимых банком операций

Принципы оценки систем внутреннего контроля, предложенные Базельским комитетом, могут быть использованы любым банком для оценки своих собственных надзорных методов и процедур, для мониторинга и для разработки своих систем внутреннего контроля и контрольных процедур. Вот эти принципы.

РЕЖИМ НАДЗОРА СО СТОРОНЫ РУКОВОДСТВА Принцип 1.

Высший орган банка отвечает за:

• утверждение стратегий и политики банка по всем направлениям ведущегося в банке бизнеса;

• понимание рисков высшим руководством банка;

• обеспечение принятия высшим руководством мер по снижению рисков, их мониторингу и контролю;

• утверждение организационной структуры службы внутреннего контроля;

• обеспечение мониторинга высшим руководством банка эффективности службы внутреннего контроля.

В некоторых банках, понесших крупные убытки, отсутствие мониторинга начиналось с того, что руководство не анализировало оперативную информацию, указывающую на необычный характер деятельности, такой как превышение лимитов риска, использование клиентских счетов в собственных операциях банка, отсутствие текущей финансовой отчетности от заемщика, или не реагировало на такую информацию, предоставляемую контрольными службами. В одном банке убытки от торговых операций были скрыты в фиктивном клиентском счете. Если бы там была установлена процедура внутреннего контроля, состоящая в ежемесячной рассылке клиентам выписок по счетам, и если бы остатки на клиентских счетах периодически подтверждались, скрытые убытки были бы обнаружены задолго до того, как они приобрели такие размеры, что привели к банкротству банка.

В нескольких других случаях удаленное от головного банка подразделение, ответственное за крупные убытки, имело множество признаков повышенного уровня риска и быстрого роста нового вида деятельности. Однако, из-за неадекватной оценки риска руководством, организация не выделила достаточных ресурсов для контроля за рискованной деятельностью. Наоборот, в ряде случаев за высокорискованной деятельностью осуществлялся менее тщательный контроль, чем за деятельностью, связанной с меньшей степенью риска. Высокая прибыль от деятельности подразделения при-

тупляла осторожность. При этом руководство банка не реагировало на неоднократные предупреждения внутренних и внешних аудиторов относительно деятельности данного подразделения.

Для проведения принципа мониторинга в жизнь многие банки создают комитет по аудиту и внутреннему контролю. Создание такого комитета делает возможным детальное и регулярное рассмотрение и обсуждение проблем, связанных с внутренним контролем и позволяет уделить им необходимое внимание. Рекомендуется включать в состав комитета, наряду с сотрудниками банка, отвечающими за ключевые направления бизнеса, не работающих в банке специалистов, разбирающихся в вопросах финансовой отчетности и внутреннего контроля.

Принцип 2.

Высшее руководство банка отвечает за:

• реализацию стратегий и политик, утвержденных высшим органом банка;

• установление соответствующих политик по внутреннему контролю и мониторинг эффективности системы внутреннего контроля. Если сотрудники службы внутреннего контроля

не ощущают на себе постоянного внимания руководства банка и не видят заинтересованности в своей работе, эффективность их работы падает. Это относится к сотруднику любого подразделения банка, но особенно важно для сотрудников службы внутреннего контроля, поскольку в силу специфики своей деятельности им часто приходится быть в оппозиции к сотрудникам других подразделений.

Высшему руководству банка важно иметь уверенность в том, что на основании стратегий и политики, утвержденных высшим органом банка созданы и функционируют контрольные методы и процедуры на уровне конкретного подразделения. Соблюдение установленной системы внутреннего контроля в значительной степени зависит от хорошо документированной и доведенной до сведения всех сотрудников банка организационной структуры, в которой четко прослеживается подчинение и подотчетность в рамках всего банка. При распределении обязанностей и функций не должно остаться пробелов, а эффективный контроль со стороны руководства должен распространяться на все уровни банка и на все виды его деятельности. Высшее руководство банка должно создать политики по компенсации и продвижению по службе, стимулирующие должный характер поведения и повышающие заинтересованность сотрудников в соблюдении требований внутреннего контроля.

Принцип 3.

Высший орган банка и высшее руководство отвечают за:

• внедрение высоких этических стандартов и единства системы внутреннего контроля и за установление в банке режима, который демонстрировал бы значение механизмов внутреннего контроля всем сотрудникам банка;

• понимание всеми сотрудниками банка своей роли в процессе внутреннего контроля.

То обстоятельство, что каждый сотрудник службы внутреннего контроля оказывается в процессе своей работы в оппозиции к сотрудникам проверяемых служб, несет в себе зародыш конфликта, который может вылиться в неприязнь и отторжение коллективом банка сотрудников контролирующих подразделений, что в свою очередь может сильно затруднить проведение контрольных мероприятий и снизить эффективность системы внутреннего контроля в целом. Особенно остро это проявляется при организации контрольных служб в филиалах и на удаленных площадках. Чтобы этого не произошло, необходимо создание в коллективе банка климата, объединяющего всех, в том числе и сотрудников контрольных служб, вокруг единой цели.

Высшее руководство обязано подчеркивать своими действиями и словами значение внутреннего контроля. Это оказывает сильное влияние на этическое содержание внутреннего контроля в банке.

Важным элементом сильной системы внутреннего контроля является признание каждым сотрудником банка необходимости эффективно выполнять свои обязанности. Этого можно достичь наилучшим образом, когда операционные процедуры содержатся в четко составленных документах, предоставленных в распоряжение всех сотрудников, задействованных в процедуре.

Банкам следует избегать политики и методов, непреднамеренно мотивирующих сотрудников к совершению ненадлежащих действий. Пример такой политики - придание слишком большого значения целевым показателям, особенно краткосрочным, высокое вознаграждение по финансовым результатам работы без учета факторов, влияющих на последующую значимость проведенных операций. Пример: установление вознаграждения сотруднику торгового подразделения в зависимости от объема получаемой прибыли может привести к неоправданному росту объемов рисковых сделок.

ОЦЕНКА РИСКА

Принцип 4.

Высшее руководство обеспечивает выявление и оценку всех внутренних и внешних факторов,

которые могут отрицательно повлиять на достижение целей банка.

Сотрудники службы внутреннего контроля не всегда могут адекватно представлять себе степень риска той или иной банковской операции. Мало того, они не всегда имеют сведения о проведении тех или иных операций в банке, особенно это касается операций, не отражаемых в балансе банка. Обязанность высшего руководства состоит в своевременном ориентировании службы внутреннего контроля на включение таких операций в сферу своего внимания.

Принцип 5.

Высшее руководство обеспечивает пересмотр механизмов внутреннего контроля при возникновении рисков, которые ранее не контролировались.

МЕРОПРИЯТИЯ ПО ОСУЩЕСТВЛЕНИЮ КОНТРОЛЯ

Принцип 6.

Мероприятия по осуществлению контроля являются неотъемлемой частью повседневной деятельности банка. Эффективность этих мероприятий максимальна, когда они рассматриваются руководством банка как составная часть каждодневной деятельности банка, а не как дополнение к этой деятельности.

Недопустима ситуация снижения уровня контроля при отсутствии нарушений. В одном из крупнейших банков Германии контрольная служба одного из подразделений, обслуживающих операции с ценными бумагами, не обнаружила ни одного нарушения за последние 15 лет, что не мешает ей проводить ежедневный мониторинг всех операций подразделения.

Мероприятия по осуществлению контроля включают в себя три этапа: создание политики, осуществление процедур в соответствии с этими политиками, проверка соблюдения политики. Пример. Правление банка принимает решение об обязательном документировании алгоритмов всех бизнес - операций. Это элемент политики в области внутреннего контроля. Работы по документированию осуществляются в структурных подразделениях банка. Проверка выполнения решения возлагается на службу внутреннего контроля, в обязанности которой вменяется недопущение совершения операций, не имеющих документированного описания.

Контрольные мероприятия, проводимые в рамках проверки соблюдения политики, обычно сводятся к следующим типам: • контроль за деятельностью; анализ периодических отчетов о совершенных операциях, со-

ставленных в форматах, необходимых для получения полного и адекватного представления о совершенных операциях и о возможном отступлении от политики;

• физический контроль; ограничение доступа к физическим активам, документам, информационным носителям;

• контроль соблюдения лимитов риска; контроль установленных лимитов, обеспечивающих приемлемый уровень риска. Установление лимитов выходит за рамки компетенции системы внутреннего контроля;

• утверждение и разрешение; обязательность утверждений для сверхлимитных сделок. Соблюдение установленного в банке порядка согласования и разрешения рисковых операций;

• проверки и сверки; проверки деталей сделок и сверка с балансом и с финансовыми результатами;

• контроль полномочий; контролируется полно-мочность сотрудников Банка при проведении операций и заключении сделок.

Принцип 7

Высшее руководство банка обеспечивает надлежащее разграничение обязанностей сотрудников банка и не допускает конфликта интересов. Области потенциального конфликта интересов должны быть выявлены. Должен осуществляться их тщательный мониторинг.

Практика показывает, что чрезвычайно опасно допускать принятие решений лицами, которые потом эти решения будут контролировать. И наоборот, недопустимо поручать контрольные функции лицу, ответственному за принятие решений в контролируемой сфере. Например, если кредитный инспектор переходит в контролирующее подразделение, недопустимо поручать ему проверку правильности выдачи кредитов в подразделении, где он раньше работал. Конфликт интересов может проявляться и не так ярко. Например, при заключении опционной сделки премия по опциону может быть учтена в финансовых результатах подразделения на дату заключения сделки, а не на дату расчетов по ней, что может заставить сотрудника заключить заведомо невыгодную для банка сделку для получения дополнительного личного дохода. Налицо скрытый конфликт интересов.

Наиболее часто встречающиеся нарушения в области разграничения обязанностей, которые могут привести к потерям из-за недобросовестности персонала и в силу этого требуют постоянного пристального внимания, таковы:

• одно лицо одновременно управляет фронт-офисом и бэк-офисом, то есть санкционирует сдел-

ки и имеет возможность манипулировать финансовой информацией по ним;

• одно лицо утверждает выделение средств и фактически их выделяет;

• одно лицо отвечает за оценку адекватности кредитной документации и за мониторинг клиента после выдачи кредита.

Для предотвращения потенциального конфликта интересов высший орган банка должен инициировать периодические проверки обязанностей и функций ключевых фигур, чтобы убедиться в том, что они не имеют возможности скрывать нарушения. Это правило должно касаться всех ключевых фигур независимо от степени доверия к ним со стороны высшего руководства банка.

ИНФОРМАЦИЯ и связь Принцип 8.

Высшее руководство имеет всестороннюю внутреннюю финансовую и операционную информацию. Информация должна быть надежной, своевременной, доступной, предоставляться в логичес-ки-последовательной форме.

Полнота и достоверность информации должны быть объектом постоянного внимания службы внутреннего контроля. Неполная или недостоверная информация является фактором риска. Ненаблюдаемый процесс неуправляем. Требование полноты информации в полной мере относится и к информации, поступающей от службы внутреннего контроля.

Принцип 9.

Высшее руководство имеет эффективные каналы связи для полного ознакомления всех сотрудников с политиками банка и другой необходимой информацией.

Без эффективной связи информация бесполезна.

Принцип 10.

Высшее руководство обеспечивает установку информационных систем, охватывающих всю деятельность банка. Системы надежны и периодически проверяются.

Использование информационных технологий в банке связано с рисками, которые банк должен эффективно контролировать. Механизмы контроля информационных систем должны включать как общие, так и прикладные механизмы.

Пример. Общие механизмы - это политика информационной безопасности, политика в области разработки и приобретения программного обес-

печения, процедуры разграничения доступа к данным. Прикладные механизмы - процедуры контролирующие обработку сделок, процедуры контроля полноты баз данных, процедуры создания резервных копий баз данных.

МОНИТОРИНГ

Принцип 11.

Высшее руководство постоянно отслеживает эффективность системы внутреннего контроля. Периодичность мониторинга различных видов деятельности банка определяется с учетом имеющихся рисков, присущих этой деятельности, и частоты и характера изменений, происходящих в банке в целом и в контролируемом подразделении в частности.

Принцип 12.

Эффективный внутренний аудит системы внутреннего контроля банка является частью самой системы внутреннего контроля. Функция аудита системы внутреннего контроля подотчетна высшему органу банка.

Принцип 13.

Высшее руководство банка своевременно информируется о выявленных недостатках в системе внутреннего контроля и об их устранении.

ОЦЕНКА МЕХАНИЗМОВ ВНУТРЕННЕГО КОНТРОЛЯ НАДЗОРНЫМИ ОРГАНАМИ

Принцип 14.

Органы банковского надзора требуют, чтобы все банки независимо от их размера имели эффективные механизмы внутреннего контроля.

На этом кончаются принципы оценки системы внутреннего контроля, предложенные Базель-ским комитетом.

По данным Базельского комитета, изучающего и анализирующего проблемы, возникающие у банков, все без исключения случаи крупных убытков в банках отражают невнимание высшего руководства банка к мероприятиям по осуществлению контроля, слабость контроля, недостаточно сильное руководство контрольными подразделениями со стороны высшего руководства банка, отсутствие четкого распределения обязанностей. Многие банковские учреждения, понесшие крупные убытки не уделяли должного внимания оценке рисков по новым продуктам и новым видам деятельности. Не принималось во внимание, что системы внутреннего контроля, хорошо и надежно функциониру-

ющие для традиционных и простых продуктов, не могут быть применены для продуктов более сложных. В ряде случаев причиной возникновения крупных убытков являлось отсутствие разграничения обязанностей, приводящее к конфликту интересов, нарушение установленных процедур утверждения решений, отсутствие процедур сверки и анализа операционной деятельности. Неадекватная передача информации в банке как снизу вверх, так и сверху вниз в ряде случаев была причиной возникновения убытков. Сотрудники не знали о принятой политике и процедурах в банке, а информация, которая должна была быть своевременно предоставлена руководству, отсутствовала.

Высшее руководство банка при организации системы внутреннего контроля ставит определенные цели. Эти цели условно делятся на операционные, информационные и цели по соблюдению нормативно-правовой базы.

Операционные цели для системы внутреннего контроля относятся к эффективности и квалифицированному уровню использования банком своих активов и ограждению банка от убытков

Информационные цели предполагают своевременную подготовку достоверной информации, необходимой для принятия решений руководством. Как правило, информационные цели включают в себя подготовку отчетности для руководства и для внешних органов банковского надзора.

Цели по соблюдению нормативно-правовой базы обеспечивают осуществление банковской деятельности в соответствии с действующими законами и нормативными актами, требованиями органов банковского надзора, внутренними политикой и процедурами.

Для эффективной работы службы внутреннего контроля банка необходимо обеспечить особый статус ее сотрудников (контролеров) в банке. Контролер должен иметь безусловную возможность доступа ко всей бухгалтерской и прочей документации банка, к электронным базам данных и к данным на бумажных носителях. При этом режим доступа к информации должен определяться обеспечением следующего требования: контролер должен быть лишен возможности корректировки данных. В первую очередь это требование касается доступа к данным, представленным в электронной форме. Данное требование существенно для снятия возможных обвинений в адрес контролера, связанных с утратой или искажением данных.

Контролер должен быть независим от деятельности, которую он проверяет. Как уже указывалось, недопустима зависимость контролера от проверяемой деятельности, обусловленная тем, что он ранее работал в проверяемом подразделении. Недо-

пустимо также наличие менее очевидных связей: работа в настоящее время или в прошлом в проверяемом подразделении мужа или жены, возможность пользоваться услугами проверяемого подразделения. Пример: контролер регулярно пользуется услугами торгового подразделения для выполнения операции клиентской конверсии средств со своего личного счета. При этом, разумеется, дилер выполняет заявки данного клиента с особой тщательностью. Можно с большой степенью уверенности предположить, что данные о состоянии дел в данном подразделении, представленные контролером, будут достоверными лишь отчасти. Другой пример: контролер берет в банке ссуду. При этом ссуда оформляется в филиале, контроль попадает в сферу его служебных обязанностей. Комментарии излишни. В вопросах назначения контролера на должность, особенно если это связано с переходом внутри банка, веское слово должна сказать кадровая служба, которая в данном случае должна выступать в качестве элемента системы внутреннего контроля.

Независимость контролера должна быть не только от деятельности, которую он контролирует, но и от руководства банка. Этот важнейший принцип, несоблюдение которого часто приводит к созданию абсолютно недееспособной службы внутреннего контроля. Независимость должна быть административной и финансовой. Административная независимость подразумевает, что контролер подчиняется только своему непосредственному начальнику, а руководитель службы внутреннего контроля подчинен только первому лицу банка. Финансовая независимость подразумевает невозможность изменений оплаты труда контролера (как в большую, так и в меньшую сторону) без санкции руководителя службы внутреннего контроля. При этом снятие с должности и изменение условий оплаты труда руководителя службы внутреннего контроля является компетенцией высшего органа управления банка.

Контролер должен обладать полномочиями приостановить операции или сделки в случае обнаружения им грубых нарушений, которые могут привести к возникновению убытков или дополнительных рисков для банка. Это право контролера должно быть подтверждено внутрибанковскими инструкциями, а также положением о службе внутреннего контроля банка.

Роль и место в банке службы внутреннего контроля в большой мере определяется обязанностями сотрудников банка по отношению к службе внутреннего контроля. Сотрудники банка должны оказывать сотрудникам службы внутреннего контроля содействие в осуществлении своих функций,

информировать их о ставших им известных нарушениях законности и правил совершения операций, обращаться к ним для консультации в случае возникновения сомнений в соответствии конкретной операции требованиям действующего законодательства, действующим нормативным актам и стандартам. Порядок взаимоотношений службы внутреннего контроля с прочими сотрудниками банка должен быть закреплен положением о службе внутреннего контроля.

Таким образом, в банке создается служба внутреннего контроля, основной задачей которой является создание и поддержание в рабочем состоянии системы внутреннего контроля. Структура системы внутреннего контроля определяется организационной структурой банка и состоит из контрольных мероприятий и процедур, выполняемых в подразделениях банка, в том числе и в подразделениях самой службы внутреннего контроля. Система внутреннего контроля подразумевает разделение зон ответственности по контролю в разрезе видов рисков.

1.2. Принципы функционирования системы внутреннего контроля

В системе внутреннего контроля выделяются следующие виды внутреннего контроля:

Административный - это комплекс мер и стандартных процедур, обеспечивающих, выполнение положений, регламентирующих непосредственно деятельность коллегиальных органов Банка, его структурных подразделений, сотрудников и проводимых банком операций.

Административный контроль состоит в обеспечении проведения операций только уполномоченными на то должностными лицами и в строгом соответствии с утвержденными внутренними документами полномочиями и процедурами принятия решений по проведению операций.

Методами административного контроля являются:

• контроль за соблюдением должностных инструкций и положений, регламентирующих деятельность банка;

• контроль за соблюдением политики банка, раскрывающей основные принципы развития банка

• контроль за выполнением требований по подбору и расстановке кадров (квалификационные и личностные характеристики сотрудников);

• контроль за применением процедур защиты служебной, конфиденциальной коммерческой и банковской информации, а также системы разграничения доступа к ней сотрудников банка;

• контроль за соблюдением сотрудниками банка данных им полномочий в ходе выполнения банковских операций.

Бухгалтерский контроль в банке представляет собой упорядоченную систему методов и процедур бухгалтерского учета, позволяющих правильно отражать результаты финансово-хозяйственной деятельности Банка и своевременно предупреждать возможные нарушения.

Бухгалтерский контроль включает в себя:

• формирование полной и достоверной информации, на основе учета всех финансово-хозяйственных операций банка;

• соответствие проводимых операций учетной политике банка;

• контроль финансовой отчетности банка;

• обеспечение сохранности средств банка;

• контроль выполнения нормативных требований ЦБ и контролирующих государственных органов.

Методы бухгалтерского контроля:

• первичное документальное оформление и отражение хозяйственных операций;

• денежная оценка имущества, обязательств и хозяйственных операций;

• калькуляция себестоимости предоставляемых банковских услуг;

• счетная сверка;

• критерии признания доходов и расходов;

• систематизация и группировка полученной информации;

• инвентаризация в целях обеспечения достоверности бухгалтерских данных;

• комплексные, сплошные и тематические проверки на предмет полноты и достоверности учета и отчетности и их соответствия требованиям законодательства.

ФИНАНСОВЫЙ КОНТРОЛЬ

Финансовый контроль - это комплекс мер, направленных на поддержание ликвидности банка, достаточности капитала, повышения доходности операций, оптимизации расходов. Включает проверку расходования как собственных средств, так и привлеченных средств банка; своевременности и полноты мобилизации ресурсов банка; законности, проводимых расходов и доходов; оценку качества активов банка.

Методами финансового контроля являются:

• бюджетное планирование;

• систематический мониторинг структуры баланса банка;

• адекватная оценка уровня рисков банка;

• контроль соответствия результатов финансо-

во-хозяйственной деятельности банка и экономической эффективности операций планам текущего и перспективного развития;

• определение, совершенствование и соблюдение тарифной политики банка;

• определение, совершенствование и соблюдение финансовой политики банка;

КОНТРОЛЬ ВЛИЯНИЯ НА ДЕЯТЕЛЬНОСТЬ БАНКА ВНЕШНИХ ФАКТОРОВ

Контроль влияния на деятельность банка внешних факторов представляет собой комплекс методов и процедур, направленных на оперативное реагирование банка и принятие адекватных решений, в связи с изменениями макроэкономических условий, изменениями отечественных и зарубежных нормативно-правовых актов, общих и структурных тенденций экономического развития страны, изменениями доходности и емкости отечественных и международных рынков, а также влияния средств массовой информации на имидж банка.

Этот вид контроля включает в себя макроэкономический анализ, комплексный анализ экономики субъектов Российской федерации, отраслевой анализ, анализ емкости и доходности отечественных и международных финансовых рынков, анализ конъюнктуры банковского рынка, анализ имиджа банка и средств массовой информации. Методами контроля являются:

• систематический мониторинг и оперативное информирование руководства банка о состоянии и изменении рынков;

• определение корреляционных зависимостей состояния активов-пассивов банка от ситуации на рынках;

• периодические проверки исполнения задач и прогнозирования ситуаций ответственными работниками и структурными подразделениями банка, а также своевременное доведение выводов и предложений аналитического характера до руководства банка;

• анализ средств массовой информации и имиджа банка.

В последнее время появилась тенденция объединения контроля операций на финансовых рынках под общим названием комнлаенс - контроль. В соответствии с Указанием ЦБ РФ от 07.07.99 № 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях", комплаенс-конт-роль является частью системы внутреннего контроля, объединяющей в себе контроль информаци-

онных потоков, контроль дилерских операций с целью предотвращения манипулирования ценами на организованных рынках, контроль взаимоотношений дилеров банка и клиентов и контроль "отмывания" денег, полученных незаконным путем. Мы не будем отдельно рассматривать вопросы ком-плаенс-контроля, поскольку эти вопросы во многом перекрываются общим подходом к организации процедур внутреннего контроля банка.

Система внутреннего контроля банка опирается на ряд внутренних правил, которым подчинены все операции, проводимые банком. Очевидно, что процесс, законы которого четко не сформулированы, не может быть оценен с точки зрения правильности его протекания. Положения Центрального банка РФ в части проведения операций на рынках и их учета часто достаточно сложны для понимания их всеми сотрудниками и для повседневного использования при проведении операций, а иногда допускают неоднозначное толкование. Кроме того, в ряде документов и нормативных актов содержатся только общие положения, требующие конкретной интерпретации в каждом кредитном учреждении. Многие банки имеют отделения и филиалы, а для успешного взаимодействия при проведении совместного обслуживания клиентов необходимо обеспечить однозначную интерпретацию ключевых понятий и однозначную трактовку данных учета и отчетности. Таким образом, любой банк на определенном этапе развития сталкивается с необходимостью введения стандартных описаний проводимых операций. Стандартизация описания операций банка позволяет решить следующие проблемы:

• стандартным образом описанная операция может легко тиражироваться при образовании новых подразделений и филиалов;

• стандартным образом описанная операция перестает быть достоянием сотрудника, умеющего ее выполнять, и становится достоянием банка, банк утрачивает зависимость от сотрудника;

• стандартным образом описанная операция позволяет при обсуждении и утверждении порядка ее проведения выявить все области неоправданного риска и конфликта интересов, определить зоны ответственности сотрудников и правила документооборота и согласования, что является необходимым элементом внутреннего контроля;

• стандартным образом описанная операция позволяет эффективно контролировать правильность ее выполнения.

Как правило, описание правил проведения банковских операций или инструкций по их про-

ведению вменяется в обязанность наиболее квалифицированному сотруднику или группе сотрудников подразделения, проводящих описанную операцию. Ответственность за написание инструкции возлагается на руководителя соответствующего подразделения. Следует учитывать, что в большинстве случаев сотрудники бизнес-подразделений крайне неохотно выполняют эту работу, рассматривая ее как бесполезную и трудоемкую добавку к своей основной деятельности. Администрация и руководство банка должны переломить такой подход и добиться неукоснительного соблюдения каждым подразделением порядка, предполагающего отражение в инструкциях правил осуществления всех бизнес-операций. Для облегчения работы по созданию полноценных инструкций и в банке должен быть принят стандарт на их составление. Стандарт должен предусматривать перечень основных вопросов, которые должны найти отражение в инструкции, порядок их описания, правила ссылок на другие документы, правила описания используемых терминов. Применение стандарта позволяет легко определить полноту инструкции на этапе ее согласования. Согласование инструкции должно производиться всеми без исключения службами и подразделениями банка, участвующими в выполнении операции, а также в обязательном порядке юридической службой и службой внутреннего контроля. Служба внутреннего контроля при разработке каждой инструкции следит за включением в нее следующих положений:

• положений, отражающих политику банка в области построения системы внутреннего контроля; именно в этом проявляется функция службы внутреннего контроля по организации системы внутреннего контроля, то есть в обеспечении такого порядка проведения операций и такой организации бизнес-процессов, при которых минимизируется риск ошибки или злоупотребления;

• положений, не позволяющих проводить операции без возможности эффективного последующего контроля: каждая банковская операция должна оставлять аудиторский след;

• положений, позволяющих контролеру в случае необходимости, связанной с неоправданным возрастанием риска, влиять на ход выполнения операции;

• положений, определяющих правила разрешения (санкционирования) проведения операций. Данные четыре группы необходимых составляющих стандартного подхода к описанию банковских операций реализуют общие принципы внутреннего контроля. Их тоже четыре.

Первый принцип. Система внутреннего контроля является необходимой составляющей каждой банковской операции. К числу наиболее популярных в банковской практике методов реализации данного принципа относятся следующие.

Метод "Четыре глаза". Каждая операция должна проводиться не менее чем двумя сотрудниками, при этом один - контролер. В мелких подразделениях, где число сотрудников ограничено, роль контролера может брать на себя просто другой сотрудник подразделения.

Метод нумерации документов: отчетные документы брошюруются и нумеруются по порядку.

Метод ограничения физического доступа посторонних к документам и ценностям.

Метод периодической сверки вычислений, полученных независимым путем.

Приведенный перечень является далеко не полным и может быть дополнен позициями, характерными для каждой отдельной банковской операции. Примеры положений, которые могут быть включены в инструкции будут рассмотрены ниже в разделе "Анкета оценки риска".

Второй принцип. Каждая операция должна оставлять аудиторский след. Несмотря на жестко регламентированные правила бухгалтерского учета, часто при проведении проверок оказывается недостаточно данных для воспроизведения полной картины движения средств в ходе реализации банковской операции. Для дополнения данных учета необходимо иметь расшифровки операций (аналитический учет), содержащие дополнительную информацию. Например, правила учета срочных депозитов юридических лиц, принятые в России, когда начисленные проценты перечисляются непосредственно со счета уплаты процентов на расчетный счет клиента, минуя его депозитный счет, не позволяют на основе рассмотрения лишь одних проводок оценить правильность начисления процентов по каждому вкладу. Другой пример. Правила внебалансового учета документарных аккредитивов по импортным и экспортным операциям допускают учет всех аккредитивов на одном внебалансовом счете, что позволяет оценивать только отражение текущих изменений позиции банка и не позволяет без соответствующей расшифровки определить правильность отражения отдельной операции. При большом количестве проводимых банком однотипных операций трудности их идентификации еще более усугубляются. При отражении в инструкции по выполнению операции принципа формирования аудиторского следа необходимо иметь в виду, что не любая информация о ходе выполнения операции значима с точки зрения обеспечения возможности проведения последующей

проверки. Интерес представляет только та информация, которая позволяет:

• определить адекватность отражения операции в балансе банка;

• определить правильность учета финансовых результатов проведения операции;

• определить место, время проведения операции и лицо, ответственное за ее проведение;

• позволить автоматически формировать отчетность как внутрибанковскую, так и в органы банковского надзора.

Инструкция по проведению банковской операции не должна быть перегружена требованиями по обеспечению аудиторского следа. В данном случае должен соблюдаться принцип разумной достаточности. Пример. При проведении операции по кредитованию юридического лица требования по обеспечению последующих проверок и предоставлению отчетности приводят к необходимости отражать в информационной системе десятки позиций по каждому кредиту. Все они в этом случае являются необходимыми. При проведении операции межбанковского кредитования в рамках одного заключенного генерального соглашения о сотрудничестве между банками нет необходимости фиксировать данные о заемщике при описании каждой сделки и вполне достаточно данных бухгалтерского учета и данных о сроках и процентных ставках выданного кредита из дилинговой учетной системы.

Отражение в инструкциях правил формирования расшифровок и другой необходимой информации, дополняющей данные бухгалтерского учета, а также правил контроля за полнотой и достоверностью этой информации и есть последовательное проведение в жизнь требования наличия аудиторского следа, Данные правила должны определять необходимость одновременного появления расшифровок и проводок. Не допускается откладывание ввода дополнительной информации, поскольку это увеличивает вероятность ошибок в учете. Дополнительная информация должна быть структурирована и предоставляться в оговоренном инструкцией формате, позволяющей вести ее автоматическую обработку. В инструкции должен быть оговорен также порядок хранения и создания резервных электронных и твердых копий, подробнее об этом речь пойдет в разделе, посвященном информационной безопасности.

Третий принцип. Возможность влияния на ход выполнения операции со стороны контролера. Данный принцип должен использоваться крайне осторожно, поскольку только лицо, выполняющее операцию и несущее персональную ответственность за результат ее проведения, вправе принимать ре-

шения по ходу ее выполнения, однако практика показывает, что в каждой инструкции должен быть предусмотрен порядок, определяющий действие контролера при обнаружении недопустимых отклонений. Этот порядок может определять возможность приостановки операции или определять правила информирования руководства об обнаруженных нарушениях. Особенно это касается операций, для которых используется метод предварительного контроля, о котором речь пойдет ниже.

Четвертый принцип. Санкционирование. Для каждой операции (может быть, за исключением операций по продаже стандартных розничных продуктов) определяется порядок ее санкционирования. Особенно это касается активных операций, в выполнении которых задействованы различные подразделения. Пример. Предоставление кредита юридическому лицу свыше определенной суммы санкционируется в следующем порядке: получение разрешения кредитного комитета банка, получение одобрения кредитного договора юридической службой, получение одобрения договора залога залоговой службой, получение одобрения службой, отвечающей за выделение средств. Соответствующий порядок отражается наличием соответствующих виз на кредитном договоре и обязательно отражается в инструкции о кредитовании юридических лиц. Контроль за соблюдением данного порядка согласования возлагается на службу внутреннего контроля и обязательно отражается в той же инструкции.

1.3. Анализ факторов риска и планирование проверок

Как отмечалось выше, основная задача системы внутреннего контроля банка состоит в разумном снижении коммерческих рисков и в минимизации технологических рисков. Важнейшей обязанностью службы внутреннего контроля является осуществление регулярных проверок деятельности подразделений банка. При наличии большого числа подразделений банка и филиалов остро встает вопрос оптимального распределения ресурсов при проведении внутренних аудиторских проверок.

Внутренние проверки могут быть эффективным источником независимых оценок и информации для руководства, однако во многих проблемных банковских учреждениях этот источник информации оказался неэффективным. Проблемы возникали под воздействием сочетания трех факторов: нерегулярное проведение проверок, отсутствие глубокого понимания проверяемого процесса со стороны проверяющих и неадекватность мер, пред-

принимаемых руководством банка по устранению обнаруженных проблем. Фрагментарный характер проверок объяснялся в первую очередь тем, что программы проверок составлялись как разрозненные проверки отдельных видов деятельности в одном и том же подразделении. Из-за фрагментарного характера проверок сотрудники службы внутреннего контроля не могли хорошо разобраться в процессах основной деятельности.

Чтобы избежать указанных недостатков, необходимо в ходе проверки изучить процессы и функции проверяемого подразделения от начала до конца, то есть проследить банковскую операцию от момента ее начала до этапа финансовой отчетности. Это позволит контролеру достичь лучшего понимания самой операции, а кроме того, это даст возможность проверить и протестировать адекватность механизмов внутреннего контроля на каждом этапе проверяемого процесса. В ряде случаев недостаточная квалификация и подготовка сотрудников, работающих в области контроля торговых операций и рынков, электронных информационных систем или других сложных областях банковского бизнеса, также способствует возникновению проблем, связанных с внутренним контролем. Если сотрудники не обладают необходимыми профессиональными знаниями, они часто не решаются задавать вопросы, когда подозревают наличие проблем, а когда такие вопросы все же задаются, они с готовностью принимают любой ответ и не спорят.

Проверки должны планироваться и проводиться таким образом, чтобы, во-первых, не создавать неудобств сотрудникам проверяемых подразделений (предельный случай - контролер сидит в проверяемом подразделении постоянно), а во-вторых, не допускать выпадения деятельности подразделения из сферы внимания службы внутреннего контроля (предельный случай - контролер никогда не появляется в проверяемом подразделении). Одним из часто практикуемых подходов к планированию проверок является установление сроков проверки в зависимости от частоты и количества нарушений, выявленных в ходе предыдущих проверок. Однако такой подход к планированию проверок не вполне оправдан, т.к. при этом подразделение, в течение какого-то времени не допускающее нарушений, выпадает из сферы внимания контролеров. Кроме того, такой подход к планированию проверок ведет к нарушению одного из принципов функционирования системы внутреннего контроля, сформулированного Базельским комитетом (шестого). Другим возможным подходом в планировании проверок, более оправданным с точки зрения обеспечения постоянного мониторинга всех

операций вне зависимости от имеющих место нарушений, является подход, учитывающий состояние системы внутреннего контроля в подразделении, определяющее степень риска, и данные, полученные в ходе предыдущих проверок. При хорошем состоянии внутреннего контроля и при отсутствии выявленных в ходе предыдущих проверок нарушений частоту проверок можно снизить. Для оценки риска, возникающего при выполнении банковской операции в подразделении используют анкету риска. Анкета риска это перечень вопросов относительно порядка проведения операции, которые имеют определенный вес. Ответы на вопросы имеют знак: положительные - плюс, отрицательные - минус. Положительные ответы увеличивают общую сумму баллов, отрицательные - уменьшают. При кажущейся простоте подхода разумно продуманные вопросы позволяют не только эффективно оценить состояние системы внутреннего контроля по каждому направлению, но и получить перечень позиций, исправление которых позволит изменить к лучшему состояние дел, то есть разработать рекомендации и указания по устранению выявленных нарушений. Степень детализации вопросов анкеты определяется сложностью анализируемой операции и потребностью системы внутреннего контроля. Присваиваемый каждому вопросу анкеты вес является результатом экспертной оценки важности этого вопроса и может быть различным для различных банков и различных операций. Вес, равный 1, присваивается важным позициям, отмеченным в анкете, вес, равный 2, означает исключительную важность позиции, а вес, равный 3, присваивается позициям, критическим с точки зрения влияния на риски, которые могут привести к неоправданным потерям для банка. Сумма баллов, Вшах, соответствует положительному

ответу на все вопросы анкеты риска. Состояние внутреннего контроля в рассматриваемой области деятельности оценивается по пяти категориям. Для отнесения подразделения к одной из категорий, полученное количество баллов В сравнивается с максимальным значением (Вшах) и решение принимается по правилу, описываемому приведенной ниже табл. 1.

Все вопросы каждой анкеты делятся на 6 разделов:

Раздел I. Политика банка в области данного типа операций.

Раздел II. Процедуры принятия решений по данному типу операций.

Раздел III. Наличие нормативных документов, определяющих правила проведения операций данного типа.

Раздел IV. Содержание нормативных документов в части обеспечения внутреннего контроля.

Раздел V. Отражение проводимых операций в информационных системах.

Раздел VI. Функции службы внутреннего контроля по обеспечению контрольных процедур.

Необходимо отметить, что данное деление весьма условно, поскольку часто один вопрос может быть отнесен одновременно к разным разделам, но в целом анкета составленная с учетом предложенной структуры оказывается достаточно информативной.

В приложении приведен пример анкеты оценки рисков, возникающих при проведении операций по привлечению депозитов. Столбцы, "контрольная позиция" и "вес" являются данными анкеты, а столбцы "оценка" и "балл" заполнены в качестве примера, характеризующего вымышленный банк. В данной анкете Вмах = 54, В=24, что соответствует в принятой классификации состоя-

Таблица 1

Оценка системы внутреннего контроля

Категория Сумма баллов Комментарий

5 категория В<0,2 Вшах Внутренний контроль является неудовлетворительным, уровень несоответствия политике и контролируемым процессам настолько высок, что представляет риск для банка

4 категория 0,2Bmax<B<0,4Bmax Внутренний контроль минимальный, имеется несоответствие политике и контролируемым процессам, которое может представлять серьезную опасность

3 категория 0,4Bmax<B<0,6Bmax Внутренний контроль содержит ошибки или отсутствует во многих случаях, хотя в целом эти ошибки не представляют серьезной угрозы

2 категория 0,6Bmax<B<0,8Bmax Удовлетворительная организация внутреннего контроля, наблюдаются отдельные моменты несоответствия политике и контролируемым процессам

1 категория B>0,8Bmax Хорошая организация внутреннего контроля

нию когда внутренний контроль содержит ошибки или отсутствует во многих случаях. Позиции, отмеченные оценкой -1, определяют направление улучшения системы внутреннего контроля. Например, можно ввести порядок, в соответствии с которым бухгалтерия не производит начисление процентов по депозиту при отсутствии информации в базах данных (аудиторский след). Можно начать проводить учет каждого депозита и депозитного сертификата на отдельном лицевом счете и определить процедуру контроля счетов, для которых установлен особый режим ведения. Проведением таких мероприятий можно повысить балл до 34, что позволит оценить систему внутреннего контроля, как удовлетворительную.

Оценка системы внутреннего контроля в подразделении позволяет планировать проведение текущих проверок данного подразделения. Чем лучше организована система внутреннего контроля, тем менее нуждается в проверке сама деятельность подразделения. При хорошей организации оказывается достаточным лишь мониторинг самой системы внутреннего контроля.

Планирование проверок производится как по времени (когда и где проверку проводить), так и по глубине проверки (период, за который проверяется деятельность подразделения) и по перечню охватываемых вопросов. Правильное планирование глубины проверки и перечня охватываемых вопросов позволяет проверяющему не отвлекаться на проведение сторонних исследований и в то же время обеспечить необходимую полноту сведений (табл. 2).

При этом, если данные оперативного контроля свидетельствуют о необъяснимом увеличении или уменьшении прибыли подразделения или об увеличении количества проводимых операций, должна быть назначена внеочередная проверка или периодичность проверок должна бьггь уменьшена. Если результаты предыдущей проверки показали наличие нарушений, должны быть установлены сроки повторной проверки, связанной с анализом устранения отмеченных нарушений.

Зависимость периодичности проверки от

1.4. Документирование проверок

При проведении проверок контролер обязан тщательно документировать все результаты и сохранять промежуточные рабочие материалы. Документирование результатов проверок является необходимым требованием к службе внутреннего контроля, изложенным в нормативных документах Банка России, и должно быть отражено в Положении о службе внутреннего контроля. Необходимость документирования не только результатов, но и промежуточных материалов проверок связана с тем, что последующая проверка, возможно, будет проводиться другим лицом и отсутствие материалов по предыдущей проверке может сильно затруднить его работу. Кроме того, иногда, и не так уж редко, возникает необходимость возврата к результатам проверки из-за возникновения новых обстоятельств или новых вопросов. Служба внутреннего контроля должна разработать методики проведения однотипных проверок подразделения с учетом специфических особенностей работы каждого проверяемого подразделения и банка в целом. Типовые формы итоговых актов проверки и формы документирования промежуточных результатов должны быть описаны в данных методиках.

Пример. Проверка полноты и достоверности баз данных кредитных договоров и полноты уплаты процентов по кредиту. При достаточно длительном кредитном договоре несколько промежуточных проверок могут проводиться в процессе его действия и, чтобы проверяющему не начинать каждый раз проверку сначала, вводится порядок, при котором в качестве промежуточного результата хранится таблица, отражающая соответствие базы данных и документов на момент проверки, и таблица начисления и уплаты процентов и штрафов по дням с необходимыми комментариями. Примерная форма таблиц приводится ниже.

Таблица 2

оценки системы внутреннего контроля

Категория оценки системы внутреннего контроля в подразделении Периодичность проверки

1 категория Ежегодная проверка

2 категория 6 месяцев

3 категория 3 месяца

4 категория 2 месяца

5 категория ежемесячно

Таблица 3

Соответствие базы данных и документов

по документам по базе данных

наименование заемщика АО Инвестиционные Технологии АО ИТ

номер ссудного счета 45201-840-2-0001-0000007 «

код отрасли 12345 «

сумма кредита по договору 3 750 000 3 800 000

% ставка (штрафная ставка) 19(38) 19(30)

дата начала договора 01.04.97 01.04.97

дата окончания договора 28.02.98 01.03.98

тип уплаты процентов ежемесячно до 25 числа «

количество пролонгации 0 0

количество доп. соглашений 0 0

дата начала 1-й пролонгации

дата окончания 1-й пролонгации

%ставка 1-й пролонгации (штрафная)

сумма 1-й пролонгации

дата начала 2-й пролонгации

дата окончания 2-й пролонгации

Таблица 4

Начисление и уплата процентов и штрафов по дням

С даты По дату Остаток с. счета Начислено % Начислено штрафов Уплачено Комментарий

01.04 01.05 3 000 000 47 500 251 0

04.05 47 751 Задержка валютирования

Разумеется, в каждом банке может быть принята своя форма документирования промежуточных результатов. Важно, чтобы она была стандартной для всего банка, понятной и удобной в использовании всеми проверяющими.

Итоговый документ проверки - акт. Акт проверки содержит следующую информацию.

Заголовок:

Номер акта и дата его составления.

Проверяющее подразделение. Сотрудники, проводившие проверку.

Проверяемое подразделение.

Цель проверки.

Глубина проверки.

Перечень проверяемых вопросов.

Дата предыдущей проверки. Ссылка на акт.

Содержательная часть:

1) Данные об объеме проверяемых операций в подразделении. Например: кредитный

портфель филиала "Иногородний" состоит из 18 кредитных договоров, объем ссудной задолженности 150 млн руб. и 25 млн дол. США.

2) Перечень проверенных позиций, характеризующий объем проверки. Например: было проверено 12 кредитных договоров со сроком окончания после 01.01.98.

3) По каждой позиции, по которой было обнаружено нарушение, предоставляется полная информация, позволяющая при чтении акта увидеть суть обнаруженного нарушения, оперативно воспроизвести результаты расследования и определить лицо, ответственное за выполнение данной опера-щи.

Например, п. 2 акта: по следующим кредитным договорам имеется недоплата штрафов за несвоевременную уплату процентов.

Номер договора Даты возникновения недоплаты Сумма недоплаты по договору Кредитный инспектор

П-04-97-003 25.04.97 25.05.97 502 USD Иванов И.И.

П-01-96-001 25.02.97 800 USD Петров П.П.

Выводы по каждой проверенной позиции. Например: имеет место недоплата штрафов за несвоевременную уплату процентов в сумме, эквивалентной 1 302 USD.

Заключительная часть.

Общие выводы по результатам проверки. Например: Обнаружено недополучение дохода по кредитному портфелю в сумме 3 156 USD и 22 897 руб., обнаружены факты неполноты и недостоверности отражения кредитной документации в базах данных и т.п.

Контрольные сроки устранения недостатков, если таковое возможно.

Подписи сторон:

от проверяющего подразделения (исполнители проверки);

от проверяемого подразделения (ответственные за проведение проверяемых операций).

Если акт проверки содержит много позиций, ответственность по которым возложена на разных сотрудников, допускается визирование обеими сторонами отдельных позиций акта. Как правило, это делается в рабочем экземпляре документа.

Каждый акт проверки является результатом совместной работы проверяющего и проверяемого подразделений и поэтому он должен быть согласован и подписан обеими сторонами. В случае несогласия проверяемой стороны с замечаниями и выводами, содержащимися в акте, ею составляется протокол разногласий, в котором по каждой спорной позиции акта излагается свое видение проблемы. В этом случае акт подписывается с пометкой "с учетом протокола разногласий". После подписания акта сторонами он передается на утверждения руководителю проверяемого подразделения и руководителю службы внутреннего контроля банка, утверждающие визы которых означают информированность руководства о результатах проведенной проверки.

Необходимо помнить, что проверяющая сторона несет ответственность за качество проведенной проверки, а поскольку охватить все аспекты деятельности проверяемого подразделения даже по одной операции, как правило, невозможно, в акте должны быть четко очерчены границы проверки (глубина проверки по времени и перечень проверяемых вопросов). Если границы проверки обозначены в описании контрольной процедуры, необ-

ходимо в итоговом документе сделать ссылку на это описание. Иногда полезно оговорить, какие вопросы остались за рамками проверки и в силу каких причин (например, проверяемой стороной не предоставлены материалы и т.д.).

Изложенный выше механизм документирования применим к проверкам, проводимым в рамках плана периодических проверок, и к тематическим внеочередным проверкам. Проверки, осуществляемые при реализации контрольных процедур могут документироваться по упрощенной схеме и, возможно, в электронной форме. Правила документирования промежуточных и итоговых результатов проверок в электронной форме и требования, предъявляемые к составу информации, в основном те же, что описаны выше, однако существуют некоторые особенности. Как правило, по текущим проверкам ведутся учетный журнал или электронная база данных. Иногда используются обе формы одновременно. В последнем случае порядком проведения проверки должен быть определен регламент создания резервной копии базы данных и сроки ее сохранения. Результаты проверки по составу содержащейся в них информации должны удовлетворять требованиям, изложенным выше. Учетный журнал должен содержать пронумерованные страницы, и каждая запись должна иметь последовательный номер. П р и м е р. В банке осуществляется автоматический контроль за возникновением отрицательного остатка на клиентских счетах депо, предназначенных для учета ценных бумаг клиента. По каждому факту обнаружения отрицательного остатка ответственный сотрудник службы внутреннего контроля делает запрос и выясняет причины его возникновения, допустимость в соответствии с клиентским договором и перспективы погашения. Контрольная процедура предусматривает получение текстового файла с указанием 1) даты проверки; 2) номеров счетов; 3) величин остатков; 4) даты возникновения дебетового остатка; 5) подразделений, ответственных за ведение операций по данному счету; 6) примечания (объяснения по факту нарушения). На основании полученных объяснений ответственный сотрудник вносит в полученный файл необходимые примечания и сохраняет под уникальным именем, соответствующим дате проверки. Для оперативного использования файл распечатывается, листинг под-

писывается ответственным сотрудником и сохраняется в специальной папке. Файлы результатов ежедневно копируются на резервный сервер или на две дискеты (при копировании на дискеты всегда необходимо делать две копии, поскольку информация на дискете может быть легко утрачена) и сохраняются в течение месяца, следующего за текущим.

По результатам оперативных проверок, проводимых службой внутреннего контроля, удобно вести общую базу данных, в которой отражаются сами факты проведения проверок по подразделениям банка, по продуктам, количество выявленных нарушений и другая необходимая информация. Ведение такой базы позволяет руководству банка получать оперативную информацию о количестве и результатах проводимых проверок и формировать достоверную отчетность о состоянии внутреннего контроля органам банковского надзора.

При проведении текущих (оперативных) проверок важным моментом является документирование обращения к сотрудникам проверяемых подразделений за объяснениями обнаруженных фактов ошибок и несоответствий. Это необходимо для предотвращения конфликтных ситуаций между контролером и сотрудниками контролируемых подразделений при исправлении ошибок: контролер может быть необоснованно обвинен в некомпетентности или излишней придирчивости.

Последним этапом любой проверки является контроль за действиями проверяемого подразделения по устранению выявленных недостатков. Без такого контроля теряется смысл проведения проверок и снижается исполнительская дисциплина и проверяемых и проверяющих. Материалы этого этапа должны быть зафиксированы документально и храниться вместе с материалами проверок.

Приложение

Анкета внутреннего контроля для оценки депозитной активности

№ КОНТРОЛЬНАЯ ПОЗИЦИЯ ВЕС ОЦЕНКА БАЛЛ

пп

Раздел I. Политика банка в области привлечения средств

1 В банке определена политика в области привлечения средств, которая

доведена до персонала 1 1 1

2 В банке существует коллегиальный орган, определяющий текущую политику в области привлечения средств, процентных ставок, сроков

и форм привлечения 1 1 1

3 Политика в области привлечения средств учитывает процентный риск 2 1 2

4 Учетная политика по привлеченным средствам предполагает возможность

соотнесения процентных расходов с депозитными счетами 1 -1 -1

Раздел II. Процедуры нринягия решений

5 В банке установлена процедура принятия решения о взятии депозита

сверх установленного лимита 2 1 2

6 В банке установлена процедура принятия решения о взятии депозита

на льготных для клиента условиях 2 12

7 Отступление от политики в области привлечения средств не может быть

санкционировано отдельным менеджером банка 1 -1 -1

8 Руководство банка регулярно информируется о процентной и временной

структуре пассивов 2 1 2

9 В банке определен порядок, в соответствии с которым ограничен объем

ресурсов, привлекаемых одним лицом 1 -1 -1

Раздел III. Нормативные документы

10 Имеются инструкции по работе со всеми видами привлеченных средств,

определяющие все этапы операций для каждого типа счетов 11 1

11 Имеются инструкции, определяющие процедуру начисления процентов 1 1 1

12 Имеются инструкции, в которых определен порядок взыскания

комиссий за услуги 1 1 1

13 Определена процедура учета бланков депозитных сертификатов

(включая испорченные) 2 1 2

14 Определен порядок оповещения руководства при нарушении режима

ведения депозитных счетов 1 -1 -1

№ КОНТРОЛЬНАЯ ПОЗИЦИЯ ВЕС ОЦЕНКА БАЛЛ

пп

Раздел IV. Содержание нормативных документов, контрольные процедуры

15 Ведение депозитных счетов и заключение договоров осуществляется

разными лицами 2 1 2

16 Бухгалтерия не производит начисление процентов по депозиту или ДС

при отсутствии информации в базах данных 2 -1 -2

17 Начисление процентов по остаткам на расчетных и текущих счетах произ-

водится программным методом 1 1 1

18 Учет каждого депозита и депозитного сертификата производится на отдель-

ном лицевом счете 2 -1 -2

19 Операционист не имеет права работать со своим личным депозитным

счетом 1 -1 -1

20 Кассир не имеет доступа к обработанным расходным ордерам 1 1 1

21 На каждого клиента имеется карточка с образцом его подписи 2 1 2

22 По всем новым счетам сотрудник банка направляет клиенту подтвержде-

ние открытия счета 1 -1 -1

23 Операции по закрытию счета санкционирует в момент закрытия сотруд-

ник, не являющийся кассиром 1 1 1

24 Определен внутренний порядок ( недоступный влиянию клиента)

передачи в кассу и из кассы приходных и расходных документов 2 1 2

25 Выполнение проводок по уплате процентов по депозитам и заключе-

ние договоров осуществляется разными людьми 2 1 2

26 Производится периодическая сверка остатка чистых бланков с журналом

учета выданных сертификатов или с базой данных 1 1 1

27 Карточки с образцами подписи находятся под охраной 1 1 1

28 Запас чистых карточек для образцов подписей находится в охраняемом

помещении 1 1 1

29 Запас чистых бланков депозитных сертификатов находится в охраняемом

помещении 1 1 1

Раздел V. Отражение бизнес-операций в информационных системах

30 В банке ведутся базы данных по всем видам привлеченных средств 1 -1 -1

31 Инструкции определяют правила ведения баз данных по всем видам привлеченных средств с указанием сроков внесения информации и опреде-

лением лиц, ответственных за полноту и достоверность данных 1 -1 -1

32 Проводки по начислению процентов, выполненные вручную, могут быть

отделены от проводок, выполненных программным методом 1 1 1

33 По каждому виду привлеченных средств информация, содержащаяся в базе данных, достаточна для расчета сумм и сроков поступления

и возврата депозита, расчета процентов и проверки факта уплаты 1 1 1

Раздел VI. Функции службы внутреннего контроля

34 Определена процедура контроля счетов, для которых установлен особый режим ведения (неснижаемый остаток, условия на размер

оборота и пр.) 1 -1 -1

35 В банке внедрена система ограничения доступа сотрудников различных

подразделений к просмотру депозитных счетов 1 1 1

36 В банке внедрена система разграничения доступа, исключающая возможность несанкционированного редактирования данных депозитного счета

(как на электронных, так и на бумажных носителях) 2 1 2

37 В банке внедрена система ограничения доступа сотрудников к просмотру баз данных депозитных договоров (как на электронных, так и на бумажных

носителях) 1 1 1

38 В банке внедрена система разграничения доступа, исключающая возможность несанкционированного редактирования данных депозитного дого-

вора в базе данных сотрудником, не ведущим данный договор 2 -1 -2

39 Взятие депозита на льготных для клиента условиях является предметом

внимания службы внутреннего контроля 1 1 1

40 Служба внутреннего контроля следит за соответствием информации

в базах данных данным операционного дня 1 1 1

41 Служба внутреннего контроля следит за соответствием процентных рас-

ходов процентной политике банка 1 1 1

Вшах = 54 В = 24

( Продолжение следует)