СОДЕРЖАНИЕ ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ ПИСЬМО от 10 июля 2001 г. N 87-Т О РЕКОМЕНДАЦИЯХ БАЗЕЛЬСКОГО КОМИТЕТА ПО БАНКОВСКОМУ НАДЗОРУ Банк России направляет для использования в работе неофициальный перевод рекомендаций Базельского комитета по банковскому надзору "Система внутреннего контроля в банках: основы организации". Просьба довести до сведения кредитных организаций. Заместитель председателя Банка России О.В.МОЖАЙСКОВ Приложение СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ В БАНКАХ: ОСНОВЫ ОРГАНИЗАЦИИ (Базельский комитет по банковскому надзору, Базель, сентябрь 1998 года) ПОДГРУППА ПО УПРАВЛЕНИЮ РИСКАМИ БАЗЕЛЬСКОГО КОМИТЕТА ПО БАНКОВСКОМУ НАДЗОРУ Сопредседатели: Г-н Роджер Коул - Совет Федеральной Резервной Системы, Вашингтон, О.К. Г-жа Кристин Камминг - Федеральный Резервный Банк Нью - Йорка Национальный Банк Бельгии, Брюссель г-н Филип Лефевр Банковская и финансовая комиссия, Брюссель г-н Джос Меулмэн Офис Директора Финансовых Институтов, Оттава г-жа Аина Лепин Банковская комиссия, Париж г-жа Бриджит Деклерси Дойче Бундесбанк, Франкфурт - на - Майне г-жа Магдалена Хейд Банк Италии, Рим г-н Паоло Паска Банк Японии, Токио г-н Нориюки Томиока Финансовое надзорное агентство, Токио г-н Козо Ишимура Центральный Банк Люксембурга г-жа Изабелла Губин Банк Нидерландов, Амстердам г-н Джоб Сванк Банк Нидерландов, Амстердам г-н Паул Бенсшоп Финансовая инспекция, Стокгольм г-н Ян Хедквист Айдгеноссих Банкенкомиссион, Берн г-жа Рената Лишер Управление финансовых служб, Лондон г-н Стан Береза Федеральная Корпорация Страхования Депозитов, Вашингтон, О.К. г-н Марк Шмидт Офис Валютного Контролера, Вашингтон, О.К. г-н Курт Вильгельм Европейская Комиссия, Брюссель г-н Николас Кук Секретариат Базельского комитета по банковскому надзору, Банк Международных Расчетов г-жа Бетси Робертс ОСНОВЫ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ В БАНКАХ Введение 1. Настоящий документ "Система внутреннего контроля в банках: основы организации" был издан Базельским комитетом по банковскому надзору <*> в рамках постоянно ведущейся работы по вопросам банковского надзора и его совершенствованию путем рекомендаций, стимулирующих эффективное управление рисками. Эффективная система внутреннего контроля является критически важным компонентом управления банком и основой для обеспечения безопасности и устойчивости банковских операций. Эффективная система внутреннего контроля призвана обеспечивать реализацию целей и задач банковских учреждений, с тем чтобы банки могли достигать долгосрочных целей в области рентабельности и поддерживать надежную систему финансовой и управленческой отчетности. Помимо этого, такая система будет способствовать соблюдению законов и регулятивных норм, а также политики банка в разных областях деятельности, принятых планов, внутренних правил и процедур и снижать риск непредвиденных убытков или подрыва репутации банка. В настоящем документе содержится описание основных элементов действенной системы внутреннего контроля, опирающейся на опыт стран - членов Комитета, и принципов, изложенных в предыдущих изданиях Комитета. Настоящий документ был составлен с целью изложения ряда принципов, рекомендуемых для применения банковскими органами надзора при оценке систем внутреннего контроля банков. -------------------------------- <*> Базельский комитет по банковскому надзору является комитетом органов банковского надзора, который был создан управляющими центральных банков стран "большой десятки" в 1975 году. Он состоит из представителей высших должностных лиц органов банковского надзора и центральных банков Бельгии, Канады, Франции, Германии, Италии, Японии, Люксембурга, Нидерландов, Швеции, Швейцарии, Великобритании и США. Как правило, заседания Комитета проходят в Банке Международных Расчетов в Базеле, где расположена штаб - квартира постоянного Секретариата Комитета. 2. Базельский комитет и банковские органы надзора во всем мире все большее внимание уделяют надежности систем внутреннего контроля. Отчасти такой повышенный интерес к внутреннему контролю объясняется существенными убытками, понесенными рядом банковских учреждений. Анализ проблем, вызвавших эти убытки, показывает, что их можно было избежать, если бы банки имели эффективные системы внутреннего контроля. Такие системы помогли бы предотвратить или своевременно выявить проблемы, которые привели к убыткам, тем самым уменьшая ущерб, понесенный банковскими организациями. При разработке данных принципов Комитет опирался на уроки, извлеченные из анализа проблемных ситуаций в банковской сфере в некоторых странах - членах Комитета. 3. Предполагается, что общий характер этих принципов позволит банковским органам надзора применять их при оценке собственных методов и процедур надзора, используемых для мониторинга организации внутреннего контроля в банках. Несмотря на то что конкретные методы, применяемые отдельными надзорными органами, будут зависеть от целого ряда факторов, включая технику проведения инспекции на местах и дистанционного надзора и степень использования внешних аудиторов в целях надзора, все члены Базельского комитета считают, что при оценке банковских систем внутреннего контроля должны применяться принципы, изложенные в настоящем документе. 4. Базельский комитет адресует настоящий документ органам банковского надзора во всем мире, рассчитывая, что изложенные в нем принципы представляют собой основу для эффективного надзора за системами внутреннего контроля. Комитет считает необходимым подчеркнуть, что эффективная система внутреннего контроля является необходимым условием надежного функционирования банков и обеспечения стабильности финансовой системы в целом. Несмотря на то что Комитет признает, что не все банковские учреждения в состоянии полностью применить все аспекты предлагаемых принципов, в целом банки движутся в сторону их применения. 5. Как правило, в предыдущих руководствах, издаваемых Базельским комитетом, рассматривалось, каким образом системы внутреннего контроля влияют на конкретные виды банковской деятельности, например, риск изменения процентных ставок, казначейские операции и сделки с финансовыми производными инструментами. В отличие от этого в данном руководстве излагаются основополагающие принципы, которые Базельский комитет рекомендует применять при оценке организации внутреннего контроля всех операций банков (включая забалансовые) и банковских холдингов. В руководстве не рассматриваются отдельные области или виды деятельности банковского учреждения. Точность применения рекомендаций, изложенных в руководстве, зависит от характера, сложности и рисков банковской деятельности. 6. Комитет дает вводный обзор в разделе I, излагает основополагающие цели и роль внутреннего контроля в разделе II и приводит 13 принципов оценки систем внутреннего контроля, применяемых органами надзора за банками, в разделах III и IV. Помимо этого, в Приложении I содержится список использованной литературы, а в Приложении II излагаются уроки по надзору, извлеченные из сбоев в функционировании систем внутреннего контроля в прошлом. Принципы оценки систем внутреннего контроля Управление и культура контроля Принцип 1: Совет директоров должен нести ответственность за утверждение и периодический пересмотр общей банковской стратегии и документов по различным аспектам политики банка (далее все указанные документы именуются политикой); понимать основные риски, принимаемые на себя банком, устанавливать приемлемые уровни этих рисков и обеспечивать принятие высшим руководством банка мер, необходимых для выявления, измерения, отслеживания и контролирования таких рисков; утверждать организационную структуру банка; обеспечивать, чтобы высшее руководство банка контролировало эффективность системы внутреннего контроля. Совет директоров несет ответственность за создание и функционирование адекватной и действенной системы внутреннего контроля. Принцип 2: Исполнительное руководство банка (далее именуется менеджментом, а отдельные руководители - менеджерами) должно нести ответственность за реализацию стратегии и политики банка, утвержденной советом директоров; развивать процессы, призванные выявлять, измерять, отслеживать и контролировать банковские риски; поддерживать такую организационную структуру, которая четко разграничивает сферы ответственности, полномочий и отчетности; обеспечивать эффективное осуществление делегированных полномочий; разрабатывать соответствующие правила внутреннего контроля; отслеживать адекватность и действенность системы внутреннего контроля. Принцип 3: Совет директоров и менеджмент банка несут ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность внутреннего контроля. Все сотрудники банка должны осознавать, понимать свою роль в процессе внутреннего контроля и принимать полноценное участие в этом процессе. Признание и оценка риска Принцип 4: Эффективная система внутреннего контроля требует, чтобы существенные риски, которые могут оказать отрицательное влияние на достижение целей банка, выявлялись и оценивались на постоянной основе. Данная оценка должна охватывать все риски, принимаемые на себя банками на индивидуальной и консолидированной основе (кредитный риск, страновой риск и риск введения валютных ограничений, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и риск подрыва деловой репутации). Для того чтобы должным образом решать проблемы новых или ранее неконтролируемых рисков, может возникнуть необходимость внесения изменений в систему внутреннего контроля. Деятельность по осуществлению контроля и разделение полномочий Принцип 5: Деятельность по осуществлению контроля должна быть составной частью повседневной деятельности банка. Эффективная система внутреннего контроля требует создания надлежащей структуры контроля, при которой контрольные функции определяются для каждого уровня деятельности банка. Сюда должны входить проверки, осуществляемые менеджментом; система согласований и делегирования прав; надлежащий контроль за различными подразделениями; проверка соблюдения лимитов на риски и последующий контроль устранения выявленных нарушений; система сверки счетов и перекрестной проверки; инвентаризация имущества. Принцип 6: Эффективная система внутреннего контроля предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудника допускает конфликт интересов. Сферы потенциальных конфликтов интересов должны быть выявлены, минимизированы и поставлены под строгий и независимый контроль. Информация и система ее передачи Принцип 7: Эффективная система внутреннего контроля требует наличия адекватной и всеобъемлющей информации финансового, операционного характера и сведений о соблюдении установленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной. Принцип 8: Эффективная система внутреннего контроля требует наличия надежных информационных систем, охватывающих все основные виды деятельности банка. Такие системы, включая электронные, должны находиться под независимым контролем и в отношении них должны быть разработаны соответствующие мероприятия по поддержке при чрезвычайных обстоятельствах. Принцип 9: Эффективная система внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой информации до соответствующих сотрудников. Мониторинг деятельности и исправление недостатков Принцип 10: Общая эффективность внутреннего контроля банка должна отслеживаться на постоянной основе. Мониторинг ключевых рисков и их периодическая оценка, проводимые подразделениями банка и внутренними аудиторами, должны быть частью повседневной деятельности банка. Принцип 11: Необходимо наличие эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля, проводимого независимыми в операционном отношении, адекватно подготовленными и компетентными сотрудниками. Служба внутреннего аудита как часть мониторинга системы внутреннего контроля должна быть подотчетна совету директоров (или его комитету по аудиту) и менеджменту банка. Принцип 12: Недостатки внутреннего контроля, выявленные сотрудниками подразделений банка, службой внутреннего аудита или другими контрольными службами, должны своевременно доводиться до сведения руководителей соответствующего уровня и оперативно устраняться. О существенных недостатках внутреннего контроля необходимо сообщать менеджменту и совету директоров. Оценка систем внутреннего контроля надзорными органами Принцип 13: Органы банковского надзора должны требовать от всех банков независимо от размера наличия эффективной системы внутреннего контроля, которая должна соответствовать характеру и сложности деятельности банка, рискам, принимаемым им в процессе осуществления балансовых и забалансовых операций. Система внутреннего контроля должна также быть способна реагировать на изменения внешней среды и условий осуществления банком своей деятельности. В случаях, когда надзорные органы приходят к выводу, что система внутреннего контроля банка неадекватна или неэффективна применительно к специфическому характеру рисков, принятых на себя данным банком (например, не удовлетворяет всем принципам, содержащимся в настоящем документе), они обязаны предпринять надлежащие меры. I. Общий обзор 1. Для того чтобы выявить основные источники недостатков внутреннего контроля, Базельский комитет изучил проблемы, возникавшие в банках за последнее время. Выявленные проблемы подтвердили, что членам совета директоров и менеджменту банка, внутренним и внешним аудиторам, а также органам банковского надзора следует обращать большее внимание на усиление систем внутреннего контроля и проводить оценку их эффективности на регулярной основе. Ряд примеров из практики последних лет наглядно показывает, что слабый внутренний контроль может привести к существенным убыткам для банков. 2. Недостатки контроля, обычно присущие проблемным банкам, можно разделить на пять категорий: - Отсутствие надлежащего управленческого контроля и системы подотчетности, неумение сформировать высокую культуру контроля в банке. Во всех случаях без исключения крупные убытки отражают невнимание и пренебрежение руководства к вопросам формирования культуры контроля в банке, недостаточного руководства и контроля со стороны совета директоров и менеджмента, отсутствия четкой системы управленческой подотчетности, базирующейся на разграничении круга задач и обязанностей. Такие случаи также отражают отсутствие у руководства банка достаточных стимулов для осуществления надлежащего "линейного" контроля и поддержания на высоком уровне понимания важности контроля в подразделениях банка. - Недостаточно эффективное выявление и оценка риска, связанного с некоторыми видами балансовых и забалансовых операций банка. Многие банковские учреждения, потерпевшие крупные убытки, не выявляли и не оценивали риски, связанные с новыми продуктами или видами операций, или не модернизировали системы оценки риска при значительных изменениях условий ведения банковской деятельности. Многие случаи, происшедшие за последнее время, показывают, что системы контроля, вполне подходящие для традиционных или простых банковских продуктов, неэффективны в отношении нетрадиционных или более сложных продуктов. - Отсутствие или слабость ключевых контрольных структур и видов деятельности, таких как разделение обязанностей, санкционирование операций, выверка счетов, перекрестные проверки, проверки операционной деятельности. Отсутствие разделения полномочий сыграло особенно существенную роль в случаях получения банками значительных убытков. - Неудовлетворительный обмен информацией между различными уровнями руководства в банке, особенно при сообщении о проблемах на верхний уровень. Документы, определяющие политику банка и внутренние процедуры, могут быть эффективными лишь в том случае, если они доведены до всех сотрудников, участвующих в данной деятельности. Некоторые убытки в банках были вызваны тем, что соответствующие сотрудники не знали или не понимали политики, проводимой банком. В некоторых случаях сведения о нарушениях, которые должны были быть переданы вышестоящему руководству, не доводились до сведения совета директоров или менеджмента до тех пор, пока проблемы не вырастали до угрожающих размеров. В других случаях информация, содержащаяся в отчетах для руководства, была неполной или неточной, создавая видимость благополучного положения дел. - Неадекватный или неэффективный аудит (или) мониторинг устранения недостатков. Во многих случаях недостаточно строгие аудиторские проверки не смогли выявить и указать на недостатки внутреннего контроля, обычно присущие проблемным банкам. В других случаях, несмотря на то что аудиторы сообщали о проблемах, отсутствовал механизм, обеспечивающий исправление недостатков силами руководства банка. 3. Основные принципы внутреннего контроля, лежащие в основе настоящего руководства, базируются на практике, существующей в настоящее время во многих крупных банках, фирмах, специализирующихся на операциях с ценными бумагами, нефинансовых компаниях и обслуживающих их аудиторских фирмах. Более того, настоящие принципы были составлены с учетом все большего внимания, уделяемого органами банковского надзора рассмотрению управления банковскими рисками и процессов внутреннего контроля. Важно подчеркнуть, что в обязанности совета директоров и менеджмента банка входит обеспечение наличия адекватного внутреннего контроля и создания благоприятных условий для того, чтобы сотрудники хорошо понимали и исполняли свои обязанности в данной области. В свою очередь, органы банковского надзора обязаны оценивать работу совета директоров и менеджмента банка по организации внутреннего контроля. II. Основополагающие цели и роль внутреннего контроля 4. Внутренний контроль - это процесс, осуществляемый советом директоров <*>, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе. Осуществление внутреннего контроля преследует следующие основные цели <**>: -------------------------------- <*> В настоящем документе рассматривается структура управления, состоящая из совета директоров и менеджмента. Комитет знает о том, что существуют значительные расхождения в нормативно - правовых основах различных стран в отношении функций совета директоров и менеджмента. В некоторых странах основная, а иногда и исключительная функция осуществления контроля за исполнительными органами (высшим руководством, общим руководством) делегируется совету директоров с тем, чтобы обеспечить выполнение последним его задач. По этой причине в некоторых случаях он известен как наблюдательный совет. Это означает, что совет не имеет исполнительных функций. И наоборот, в других странах совет обладает более широкими полномочиями, поскольку он устанавливает общие принципы деятельности руководства банка. В силу этих различий понятия совета директоров и менеджмента используются в настоящем документе не в юридическом смысле, а с тем, чтобы обозначить две структуры, обладающие правом принятия решений в банке. <**> Включая внутренний контроль за сохранностью активов и других ресурсов банка от несанкционированного приобретения, использования, размещения либо потери активов или других ресурсов банка (так в документе. - Прим. перев.). 1) Производственная и финансовая эффективность деятельности (производственно - финансовые цели). 2) Надежность, полнота и своевременность финансовой и управленческой информации (информационные цели). 3) Соблюдение действующих законодательных и нормативных актов (комплаенс - цели). 5. Производственно - финансовые цели внутреннего контроля касаются того, насколько эффективно и продуктивно банк управляет своими активами и другими ресурсами и какова вероятность убытков. Процесс внутреннего контроля направлен на то, чтобы сотрудники организации стремились к эффективному и честному достижению целей, избегая непродуманных или чрезмерных расходов или не ставя другие интересы (например, интересы сотрудника, партнера или клиента) выше интересов банка. 6. Информационные цели затрагивают подготовку своевременных, достоверных и адекватных отчетов, необходимых для принятия решений в банковском учреждении. Они также касаются необходимости составления достоверных годовых отчетов, прочей финансовой отчетности и других финансовых документов для акционеров, надзорных органов и прочих сторонних организаций. Информация, получаемая руководством, советом директоров, акционерами и надзорными органами, должна быть удовлетворительной с точки зрения качества и точности, чтобы получатели информации могли полагаться на нее при принятии решений. Термин "достоверный", применяемый к финансовой отчетности, означает подготовку объективных отчетов, составленных в соответствии с четко определенными и общепринятыми бухгалтерскими принципами. 7. Цели в сфере комплаенса касаются вопросов соблюдения всеми банковскими учреждениями положений действующего законодательства, требований надзорных органов, а также документов, определяющих внутреннюю политику и процедуры банка. Данная цель должна быть достигнута для защиты имени и репутации банка. III. Основные элементы процесса внутреннего контроля 8. Процесс внутреннего контроля, который исторически служил в качестве механизма для минимизации случаев мошенничества, хищений или ошибок, приобрел более широкий характер, охватив все разнообразные риски, связанные с деятельностью банковских учреждений. В настоящее время признано, что эффективный процесс внутреннего контроля играет важнейшую роль в способности банка выполнять поставленные цели и сохранять финансовую жизнеспособность. 9. Внутренний контроль состоит из пяти взаимосвязанных элементов: 1) управленческий контроль и культура контроля; 2) выявление и оценка риска; 3) осуществление контроля и разделение полномочий; 4) информация и взаимодействие; 5) мониторинг и исправление недостатков. Проблемы, характерные для банков, которые понесли крупные убытки в последнее время, могут быть соотнесены с этими пятью элементами. Надлежащее функционирование этих компонентов является важным условием эффективной деятельности банка, работы информационных систем и соблюдения нормативных требований. А. Управленческий контроль и культура контроля 1. Совет директоров Принцип 1: Совет директоров должен нести ответственность за утверждение и периодический пересмотр общей банковской стратегии и документов по различным аспектам политики банка (далее все указанные документы именуются политикой); понимать основные риски, принимаемые на себя банком, устанавливать приемлемые уровни этих рисков и обеспечивать принятие высшим руководством банка мер, необходимых для выявления, измерения, отслеживания и контролирования таких рисков; утверждать организационную структуру банка; обеспечивать, чтобы высшее руководство банка контролировало эффективность системы внутреннего контроля. Совет директоров несет ответственность за создание и функционирование адекватной и действенной системы внутреннего контроля. 10. Совет директоров обеспечивает руководство, управление и контроль за менеджментом. Он несет ответственность за утверждение и пересмотр общей стратегии банковской деятельности и документов, определяющих политику банка в ключевых областях, а также организационной структуры. Совет директоров в конечном счете несет ответственность за создание и функционирование адекватной и эффективной системы внутреннего контроля. Члены совета директоров должны быть объективными и компетентными, имеющими необходимые знания и опыт в области банковской деятельности и связанных с ней рисков. Кроме того, ожидается, что они должны быть готовы к детальному рассмотрению вопросов, связанных с управлением рисками. В тех странах, где имеется такая возможность, в состав совета директоров должны входить несколько лиц, не занимающихся повседневным управлением банком. Сочетание сильного и активного совета, эффективных информационных каналов, обеспечивающих поступление информации на высший уровень, и компетентных финансовой и юридической служб, а также внутреннего аудита является важным инструментом устранения проблем, мешающих наладить эффективную систему внутреннего контроля. 11. Деятельность совета директоров должна включать: 1) периодические обсуждения с руководством банка эффективности системы внутреннего контроля; 2) своевременное рассмотрение оценок внутреннего контроля, сделанных руководством, внутренними аудиторами и внешними аудиторами; 3) периодические мероприятия, обеспечивающие оперативное выполнение руководством рекомендаций и замечаний, высказанных аудиторами и надзорными органами по поводу недостатков внутреннего контроля; 4) периодическую проверку адекватности стратегии банка и лимитов на риски. 12. Одним из альтернативных решений, применяемых банками во многих странах, является создание независимого комитета по аудиту для оказания помощи совету директоров в выполнении его обязанностей. Создание комитета по аудиту позволяет проводить подробное изучение информации и докладов, не отнимая времени у всех членов совета. Как правило, комитет по аудиту отвечает за общий надзор за подготовкой финансовой отчетности и функционированием системы внутреннего контроля. Комитет по аудиту в качестве одного из направлений своей деятельности обычно контролирует деятельность и непосредственно контактирует с подразделением внутреннего аудита банка, а также вовлечен в контакты с внешним аудитором и выступает по отношению к нему основным контрагентом. В тех странах, в которых имеется такая возможность, комитет по аудиту должен быть сформирован главным образом или полностью из независимых директоров (т.е. членов совета директоров, которые не являются сотрудниками банка или какой-либо его дочерней компании), которые компетентны в вопросах финансовой отчетности и внутреннего контроля. Необходимо подчеркнуть, что создание комитета по аудиту ни в коей мере не должно приводить к урезанию полномочий совета директоров, который один юридически уполномочен принимать решения. 2. Высшее руководство Принцип 2: Исполнительное руководство банка (далее именуется менеджментом, а отдельные руководители - менеджерами) должно нести ответственность за реализацию стратегии и политики банка, утвержденной советом директоров; развивать процессы, призванные выявлять, измерять, отслеживать и контролировать банковские риски; поддерживать такую организационную структуру, которая четко разграничивает сферы ответственности, полномочий и отчетности; обеспечивать эффективное осуществление делегированных полномочий; разрабатывать соответствующие правила внутреннего контроля; отслеживать адекватность и действенность системы внутреннего контроля. 13. Менеджмент несет ответственность за выполнение указаний совета директоров, включая реализацию стратегии и политики и создание эффективной системы внутреннего контроля. Обычно менеджмент делегирует полномочия на разработку конкретных правил и процедур в сфере внутреннего контроля руководителям соответствующего подразделения. Делегирование полномочий и ответственности является важной частью управления; однако высшее руководство должно контролировать менеджеров, которым оно передало данные обязанности с тем, чтобы обеспечить разработку и исполнение надлежащих правил и процедур. 14. Соблюдение правил созданной системы внутреннего контроля во многом зависит от хорошо описанной и понятной организационной структуры с четко очерченными сферами отчетности, полномочий и эффективной системой обмена информацией в рамках всего банка. Разделение полномочий и ответственности должно осуществляться так, чтобы избежать пробелов в системе подотчетности и охватить все уровни банка и его структур эффективными мерами управленческого контроля. 15. Важно, чтобы высшее руководство принимало меры, обеспечивающие выполнение работы по внутреннему контролю высококвалифицированными сотрудниками, обладающими необходимым опытом и техническими возможностями. Сотрудники отделов контроля должны получать справедливое вознаграждение. Необходимо постоянно повышать квалификацию персонала. Высшее руководство должно проводить политику поощрения, вознаграждения и продвижения по службе отличившихся сотрудников и сводить к минимуму поощрение сотрудников, игнорирующих или нарушающих механизмы внутреннего контроля. 3. Культура контроля Принцип 3: Совет директоров и менеджмент банка несут ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность внутреннего контроля. Все сотрудники банка должны осознавать, понимать свою роль в процессе внутреннего контроля и принимать полноценное участие в этом процессе. 16. Важным элементом эффективной системы внутреннего контроля является развитая культура контроля. В обязанности совета директоров и менеджмента входит привлечение внимания к значению внутреннего контроля своими действиями и заявлениями. Это включает этические ценности, которые руководители демонстрируют при ведении дел как внутри, так и за пределами самой организации. Высказывания, позиции и действия членов совета директоров и менеджмента влияют на профессиональные, этические и другие аспекты культуры банковского контроля. 17. Внутренний контроль является делом всех сотрудников, работающих в банке, хотя и в разной степени. Почти все сотрудники генерируют информацию, которая используется в системе внутреннего контроля, или совершают другие действия, необходимые для осуществления контроля. Существенным элементом сильной системы внутреннего контроля является признание всеми сотрудниками необходимости эффективного выполнения своих обязанностей и доведения до сведения руководства надлежащего уровня любых операционных проблем, случаев несоблюдения кодекса профессиональной этики или других нарушений правил или злоупотреблений. Лучше всего этого можно достичь, когда операционные процедуры описаны в четко составленных документах, доступных всем заинтересованным сотрудникам банка. Важно, чтобы все сотрудники банка понимали значимость внутреннего контроля и активно участвовали в процессе его осуществления. 18. Укрепляя этические принципы, банковские учреждения должны избегать правил и практики, которые могут неумышленно создавать стимулы или соблазн для совершения неправомерных действий. К таким правилам и практике относятся чрезмерный акцент на достижение показателей или других операционных результатов, особенно имеющих краткосрочный характер и игнорирующих более долговременные риски, схемы вознаграждения сотрудников, чрезмерно ориентированные на краткосрочные показатели, неэффективное распределение обязанностей или контроля, которое создает возможности для неправильного использования ресурсов или для сокрытия отрицательных показателей, и слишком незначительные или, наоборот, непомерно строгие наказания за нарушения и злоупотребления. 19. Несмотря на то что высокая культура внутреннего контроля не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для совершения ошибок или их необнаружения. Б. Признание и оценка риска Принцип 4: Эффективная система внутреннего контроля требует, чтобы существенные риски, которые могут оказать отрицательное влияние на достижение целей банка, выявлялись и оценивались на постоянной основе. Данная оценка должна охватывать все риски, принимаемые на себя банками на индивидуальной и консолидированной основе (кредитный риск, страновой риск и риск введения валютных ограничений, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и риск подрыва деловой репутации). Для того чтобы должным образом решать проблемы новых или ранее неконтролируемых рисков, может возникнуть необходимость внесения изменений в систему внутреннего контроля. 20. Банковский бизнес по своей природе связан с принятием рисков. Следовательно, крайне важно, чтобы элементом системы внутреннего контроля были выявление и оценка рисков на постоянной основе. С точки зрения внутреннего контроля эта работа призвана выявлять и оценивать внутренние и внешние факторы, которые могут оказать отрицательное влияние на достижение системой внутреннего контроля производственных, финансовых, информационных и комплаенс - целей. Данный процесс должен включать все риски, принимаемые на себя банками, и действовать на всех уровнях внутри организации. Внутренний контроль отличается от процесса управления рисками, который обычно больше сосредоточен на проверке соблюдения стратегий развития бизнеса, разрабатываемых для максимизации соотношения риск / отдача в различных областях банковской деятельности. 21. Эффективная оценка риска выявляет и рассматривает внутренние факторы (такие, как сложность организационной структуры, характер банковской деятельности, уровень квалификации сотрудников, организационные изменения и текучесть кадров) и внешние факторы (такие, как изменения экономических условий и ситуации в банковской сфере, технологические новшества), которые могут оказать отрицательное воздействие на достижение банком поставленных целей. Такая оценка риска должна проводиться как на уровне банка (соло - база), так и на консолидированной основе, т.е. включая все дочерние и зависимые структуры банка. Оценка может производиться различными методами. Эффективная оценка риска касается как измеримых, так и неизмеримых аспектов риска и сопоставляет расходы на контроль с приобретаемыми от этого выгодами. 22. Процесс оценки риска также включает в себя анализ рисков на предмет того, чтобы определить, какие из них могут контролироваться банком, а какие - нет. В отношении контролируемых рисков банк должен решить, принимать ли ему эти риски в полном объеме или определить, в какой мере он хочет уменьшить их путем применения процедур контроля. В отношении неконтролируемых рисков банк должен решить: принимать эти риски, отказаться от связанной с ними деятельности или сократить ее масштабы. 23. Для того чтобы обеспечить эффективную оценку риска и соответственно систему внутреннего контроля, менеджмент должен постоянно оценивать риски, влияющие на достижение поставленных целей, и реагировать на меняющиеся обстоятельства и условия. Для эффективного отслеживания новых или до этого неконтролируемых рисков может понадобиться пересмотр системы внутреннего контроля. Например, при появлении новшеств на финансовом рынке банк должен оценить новые финансовые инструменты и рыночные операции и проанализировать риски, связанные с такой деятельностью. Зачастую такие риски лучше всего поддаются анализу при рассмотрении того, как различные сценарии (экономические и прочие) могут повлиять на движение денежных средств и доходы от финансовых инструментов и операций. Тщательное рассмотрение всего диапазона возможных проблем, начиная от непонимания со стороны клиента и кончая операционным сбоем, поможет обратить внимание на наиболее важные аспекты контроля. В. Осуществление контроля и разделение полномочий Принцип 5: Деятельность по осуществлению контроля должна быть составной частью повседневной деятельности банка. Эффективная система внутреннего контроля требует создания надлежащей структуры контроля, при которой контрольные функции определяются для каждого уровня деятельности банка. Сюда должны входить: проверки, осуществляемые менеджментом; система согласований и делегирования прав; надлежащий контроль за различными подразделениями; проверка соблюдения лимитов на риски и последующий контроль устранения выявленных нарушений; система сверки счетов и перекрестной проверки; инвентаризация имущества. 24. Контрольная деятельность задумана и осуществляется для предотвращения рисков, выявленных банком в результате описанного выше процесса оценки риска. Проведение контроля включает две стадии: 1) разработку правил и процедур контроля; 2) проверку исполнения таких правил и процедур. Осуществление контроля распространяется на всех сотрудников банка, включая менеджмент и сотрудников, работающих с клиентами. Ниже приводятся примеры осуществления контроля: - Проверки на высшем уровне - Совет директоров и менеджмент часто запрашивают информацию и отчеты о результатах деятельности, которые дают возможность проверки хода достижения банком поставленных целей и задач. Например, менеджмент может рассматривать отчеты, в которых действительные финансовые результаты сопоставляются с запланированными (бюджетными). Вопросы, возникающие у менеджмента в результате такой проверки, и последующие разъяснения руководства низшего звена представляют собой контрольную деятельность, которая может помочь выявить такие проблемы, как недостатки контроля, ошибки в финансовой отчетности или мошенничество. - Контроль за деятельностью - Руководители подразделений (департаментов, управлений, отделов) получают и проверяют стандартные отчеты о работе и отклонениях от поставленных целей на ежедневной, еженедельной или ежемесячной основе. Такие (функциональные) проверки проводятся более часто, чем проверки на высшем уровне, и обычно являются более подробными. Например, руководитель отдела коммерческого кредитования может проверять еженедельные отчеты по просроченной задолженности, погашению кредитов и получению процентных доходов по кредитному портфелю, тогда как топ - менеджер, ответственный за кредитование, может рассматривать аналогичные отчеты на ежемесячной основе и в более сжатом виде, включающие все области кредитования. Как и в случае проверки на высшем уровне, вопросы, которые возникают в результате анализа отчетов и получения соответствующих разъяснений, представляют собой контрольную деятельность. - Материальный (физический) контроль - Фактические проверки производятся с целью контроля за ограничением доступа к материальным активам, включая кассовую наличность и ценные бумаги. Контрольная деятельность включает физические ограничения доступа к материальным ценностям, дублирование систем охраны и периодические инвентаризации. - Проверка соблюдения установленных лимитов риска - Установление разумных лимитов на риски является важным аспектом управления рисками. Например, соблюдение лимитов на заемщиков и других участников сделок снижает концентрацию банковских кредитных рисков и помогает диверсифицировать виды риска. Следовательно, важным аспектом внутреннего контроля является процесс проверки соблюдения таких лимитов и последующих действий в случае их несоблюдения. - Система согласований и делегирования прав (утверждение и предоставление полномочий) - Требования по утверждению и предоставлению специальных полномочий на совершение сделок, превышающих определенные лимиты, являются залогом того, что руководство соответствующего уровня знает о сделках или ситуации и обеспечивает систему отчетности по таким сделкам. - Проверки и подтверждение счетов - Проверки деталей сделок и операций и результатов использования моделей управления банковскими рисками являются важными видами контроля. Периодические подтверждения счетов, например, сравнения денежных потоков с учетными записями и отчетами, помогают обратить внимание на операции и записи, нуждающиеся в корректировке. В случаях выявления существующих или потенциальных проблем результаты таких сверок должны сообщаться руководителям соответствующего уровня. 25. Осуществление контроля является наиболее эффективным, когда руководство и все другие сотрудники банка считают его неотъемлемой частью ежедневной деятельности банка, а не дополнением к ней. Когда мероприятия по контролю воспринимаются в качестве дополнения к текущей деятельности, они часто недооцениваются или даже не выполняются в ситуациях, когда сотрудники вынуждены работать в спешке. Помимо этого, мероприятия по контролю, встроенные в ежедневные банковские операции, помогают оперативно реагировать на изменение условий и избегать неоправданных затрат. В целях совершенствования культуры контроля в банке менеджмент обязан следить за тем, чтобы адекватные мероприятия по контролю осуществлялись как составная часть соответствующих ежедневных обязанностей всех сотрудников банка. 26. Менеджмент не должен ограничиваться простым введением документов о политике и процедурах, регулирующих соответствующие сферы деятельности и работу подразделений банка. Он обязан на регулярной основе получать подтверждение того, что все аспекты деятельности банка соответствуют указанным документам и что содержание документов продолжает оставаться адекватным. Как правило, установление фактов является основной обязанностью службы внутреннего аудита. Принцип 6: Эффективная система внутреннего контроля предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудника допускает конфликт интересов. Сферы потенциальных конфликтов интересов должны быть выявлены, минимизированы и поставлены под строгий и независимый контроль. 27. При проведении анализа крупных убытков банков, происшедших вследствие плохого внутреннего контроля, надзорные органы обычно приходят к выводу, что одной из главных причин таких убытков является отсутствие надлежащего разделения полномочий. Наделение сотрудника полномочиями, порождающими конфликт интересов, например, возложение на него обязанности руководить одновременно подразделением "фронт" и "бэк" офиса по торговле ценными бумагами, дает ему доступ к имуществу и возможность подтасовывать финансовую информацию в корыстных целях или с тем, чтобы скрыть понесенные убытки. Для снижения риска манипулирования финансовой информацией и риска хищения имущества, некоторые полномочия должны в максимально возможной степени быть разделены между несколькими сотрудниками банка. 28. Важность разделения полномочий не ограничивается областью наделения одного сотрудника одновременно функциями контроля над "фронт" и "бэк" офисом. Серьезные проблемы могут возникнуть в ситуации, когда один и тот же сотрудник отвечает за: - санкционирование выплаты денежных средств и их фактическую выплату; - ведение счетов, на которых отражаются операции клиентов, и счетов, отражающих собственные операции банка; - ведение операций, относящихся как к "банковскому", так и к "дилерскому" портфелю; - неформальное предоставление информации клиентам об их позициях при одновременном совершении маркетинговых операций с теми же клиентами; - оценку адекватности кредитной документации при выдаче кредита и мониторинг заемщика после выдачи кредита; - любые другие области, где может возникнуть существенный конфликт интересов, не смягченный другими факторами. 29. Области потенциального конфликта интересов должны быть выявлены, минимизированы, и их постоянный мониторинг должен быть поручен независимому третьему лицу. Также необходимо проводить периодические проверки обязанностей и функций сотрудников, занимающих ключевые посты, с тем чтобы они не имели возможности скрывать совершение неправомерных действий. Г. Информация и процесс ее передачи Принцип 7: Эффективная система внутреннего контроля требует наличия адекватной и всеобъемлющей информации финансового, операционного характера и сведений о соблюдении установленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной. 30. Адекватная информация и ее эффективная передача играют важную роль в надлежащем функционировании системы внутреннего контроля. С позиции банка, чтобы быть полезной, информация должна обладать следующими качествами: быть относящейся к делу, надежной, своевременной, доступной и должным образом оформленной. Информация включает в себя внутренние финансовые и операционные данные, данные о соблюдении установленных требований законодательства и нормативных актов, а также сведения, поступающие с внешнего рынка, о событиях и условиях, имеющих отношение к принятию решений. Внутренняя информация является частью процесса учета, который должен опираться на установленный порядок хранения учетных записей. Принцип 8: Эффективная система внутреннего контроля требует наличия надежных информационных систем, охватывающих все основные виды деятельности банка. Такие системы, включая электронные, должны находиться под независимым контролем, и в отношении них должны быть разработаны соответствующие мероприятия по поддержке при чрезвычайных обстоятельствах. 31. Важным компонентом банковской деятельности являются создание и поддержание систем управленческой информации, охватывающих полный спектр деятельности банка. Такая информация обычно предоставляется как на электронных, так и бумажных (неэлектронных, в оригинале - non - electronic) носителях. Банки должны уделять особое внимание организации обработки информации в электронном виде и требованиям к ней со стороны внутреннего контроля, а также необходимости осуществлять аудит данного процесса. На принятии управленческих решений может отрицательно сказаться ненадежная или искаженная информация, полученная от плохо разработанных и плохо организованных систем. 32. Электронные информационные системы и использование информационных технологий связи сопряжены с рисками, которые банки должны эффективно контролировать для того, чтобы избегать потенциальных убытков и сбоев в ходе практической деятельности. Поскольку обработка транзакций и бизнес - приложений вышла за пределы применения мощных централизованных (главных) компьютеров (mainframe computers), доступ к которым осуществлялся через присоединение рабочих станций, и перешла к распределенным системам, осуществляющим программное обеспечение ключевых банковских операций, возрос и масштаб рисков. Средства контроля за автоматизированными информационными системами и техническими средствами должны включать общий и программный контроль. Общий контроль - это контроль компьютерных систем (например, контроль за главным компьютером, системой клиент / сервер и рабочими местами конечных пользователей), проводимый с целью обеспечения их бесперебойной и непрерывной работы. Общие виды контроля включают внутренние резервные процедуры и процедуры восстановления функций, правила разработки и приобретения программ, процедуры сопровождения (изменения контроля) и контроль за безопасностью физического / логического доступа. Контроль за программным обеспечением представляет собой компьютерные шаги в программных приложениях и другие ручные процедуры, контролирующие обработку операций и другие виды банковской деятельности. Например, контроль за программным обеспечением включает контроль результатов редактирования (контрольное редактирование) и конкретные виды контроля логического доступа, уникальные для каждой системы банковской деятельности. Без адекватного контроля информационных систем и технических средств, включая системы, находящиеся в стадии разработки, банки будут сталкиваться с потерей данных и программ, возникающей из-за неадекватных мер обеспечения физической и электронной безопасности, неполадок оборудования или системных сбоев, а также из-за неадекватных внутренних резервных процедур и процедур восстановления функций. 33. Помимо вышеупомянутых рисков и видов контроля, банкам органически присущи риски, связанные с полным прекращением или продолжительным перерывом в предоставлении услуг в результате действия факторов, лежащих вне сферы контроля банков. В крайних случаях, поскольку оказание услуг юридическим и физическим лицам является ключевым вопросом для деятельности, стратегии и репутации банка, такие проблемы могут вызвать серьезные трудности для банков и даже поставить под удар их способность осуществлять основные виды операций. Такая ситуация требует, чтобы банк разработал планы действий на случай непредвиденных обстоятельств с использованием дублирующих устройств, находящихся вне банка, включая восстановление критических для деятельности банка систем, поддерживаемых внешним провайдером услуг. Угроза убытков или масштабного прекращения основных банковских операций требует институциональных усилий по планированию непредвиденных ситуаций, включая восстановление управления всем банком, а не только центральной компьютерной системой. Программа восстановления банковских операций должна периодически тестироваться на предмет ее выполнимости в случаях возникновения непредвиденных обстоятельств. Принцип 9: Эффективная система внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой информации до соответствующих сотрудников. 34. Без эффективной системы передачи данных информация бесполезна. Руководство высшего звена банков должно создавать эффективные системы передачи информации, чтобы необходимая информация достигала нужного адресата. Это относится как к документам, определяющим операционную политику и процедуры деятельности банка, так и к фактической операционной деятельности организации. 35. Организационная структура банка должна обеспечивать адекватный поток информации - вверх, вниз и по горизонтали. При этом информация, поступающая снизу вверх, должна обеспечивать совет директоров и менеджмент необходимыми сведениями о принятых в ходе деятельности рисках и о текущем состоянии банка. Информация, которая направляется вниз, должна обеспечивать доведение целей банка, его стратегии, установленных порядков и процедур до руководства среднего и низшего звена и рядовых сотрудников. Такая структура передачи информации необходима для того, чтобы достичь слаженной работы всех сотрудников банка по выполнению его целей и задач. И, наконец, передача информации по горизонтали необходима, чтобы информация, которой владеет одно подразделение банка, была доступна другим его заинтересованным подразделениям. Д. Мониторинг и исправление недостатков Принцип 10: Общая эффективность внутреннего контроля банка должна отслеживаться на постоянной основе. Мониторинг ключевых рисков и их периодическая оценка, проводимые подразделениями банка и внутренними аудиторами, должны быть частью повседневной деятельности банка. 36. Поскольку банковское дело - это динамичный и стремительно развивающийся вид деятельности, банки должны проводить постоянный мониторинг и оценку систем внутреннего контроля с учетом меняющихся внутренних и внешних обстоятельств и укреплять эти системы по мере необходимости для обеспечения их эффективной работы. В сложных, многонациональных организациях задачей высшего руководства являются четкое построение и правильное структурирование мониторинга. 37. Мониторинг эффективности внутреннего контроля может осуществляться сотрудниками различных подразделений, включая отделы, осуществляющие банковские операции, финансовый контроль и внутренний аудит. По этой причине важно, чтобы руководство высшего звена четко распределяло обязанности сотрудников, отвечающих за конкретные аспекты мониторинга. Мониторинг должен быть не только частью повседневной деятельности банка, но и включать также периодическое проведение оценки всего процесса внутреннего контроля. Периодичность мониторинга различных видов операций банка должна определяться исходя из связанных с ними рисков, периодичности и характера изменений, происходящих в условиях деятельности банка. 38. Преимущество постоянного мониторинга заключается в быстром обнаружении и исправлении недостатков системы внутреннего контроля. Мониторинг наиболее эффективен, когда система внутреннего контроля интегрирована в операционную среду и предоставляет регулярные отчеты о ситуации. Примеры постоянного мониторинга включают проверку и подтверждение бухгалтерских записей, рассмотрение и утверждение руководством отчетов об отклонениях. 39. Дискретные оценки, напротив, обычно выявляют проблемы только постфактум, однако они позволяют организации по-новому взглянуть на эффективность системы внутреннего контроля и особенно на эффективность проводимого мониторинга. Такие оценки могут проводиться сотрудниками различных подразделений, включая как само подразделение, непосредственно осуществляющее соответствующие операции, так и подразделения финансового контроля и внутреннего аудита. Периодические оценки системы внутреннего контроля часто проводятся в форме самооценок, когда руководители функциональных (линейных) подразделений определяют эффективность контроля за деятельностью этих подразделений. Затем материалы и результаты оценок рассматриваются менеджментом (высшим руководством). Результаты любого рассмотрения должны документироваться должным образом и своевременно доводиться до сведения руководства соответствующего уровня. Принцип 11: Необходимо наличие эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля, проводимого независимыми в операционном отношении, адекватно подготовленными и компетентными сотрудниками. Служба внутреннего аудита как часть мониторинга системы внутреннего контроля должна быть подотчетна совету директоров (или его комитету по аудиту) и менеджменту банка. 40. Служба внутреннего аудита является важной частью постоянного мониторинга системы внутреннего контроля, поскольку она обеспечивает независимую оценку адекватности установленных правил и процедур, а также их соблюдения. Важно, чтобы служба внутреннего аудита была независимой от ежедневной работы банка и имела доступ ко всем видам операций, проводимых банком, включая его филиалы и дочерние структуры. 41. Внутренние аудиторы предоставляют объективную информацию о деятельности банка благодаря прямой подотчетности совету директоров или аудиторскому комитету и менеджменту. Поскольку служба внутреннего аудита играет очень важную роль, она должна быть укомплектована компетентными, высококвалифицированными сотрудниками, хорошо понимающими свою роль и обязанности. Периодичность и глубина проверок, проводимых службой внутреннего аудита, должна соответствовать характеру, сложности и рискам деятельности банка. 42. Важно, чтобы служба внутреннего аудита была подотчетна высшему уровню руководства банка, как правило, совету директоров (или его комитету по аудиту) и менеджменту. Такой порядок обеспечивает правильное функционирование корпоративного управления, поскольку совет директоров получает информацию, не искаженную руководителями, упоминаемыми в отчете. Совет директоров должен поддерживать независимость внутренних аудиторов также и тем, чтобы определение их вознаграждения или выделения им ресурсов из бюджета банка находилось в компетенции совета директоров или высшего руководства, а не менеджеров, которые зависят от работы внутренних аудиторов. Принцип 12: Недостатки внутреннего контроля, выявленные сотрудниками подразделений банка, службой внутреннего аудита или другими контрольными службами, должны своевременно доводиться до сведения руководителей соответствующего уровня и оперативно устраняться. О существенных недостатках внутреннего контроля необходимо сообщать менеджменту и совету директоров. 43. Информация о недостатках в системе внутреннего контроля и о неэффективно контролируемых рисках должна доводиться до сведения соответствующего лица (лиц) незамедлительно по мере выявления, причем серьезные вопросы должны докладываться менеджменту или совету директоров. Важно, чтобы после получения информации соответствующие руководители обеспечивали своевременное исправление недостатков. Внутренние аудиторы должны проводить последующие проверки или осуществлять другие виды мониторинга и немедленно информировать менеджмент или совет директоров обо всех неисправленных недостатках. Для того чтобы обеспечить своевременное реагирование на все выявленные недостатки, в задачи менеджмента должно входить создание системы отслеживания недостатков внутреннего контроля и мер, принятых для их устранения. 44. Совет директоров и менеджмент должны периодически получать отчеты, суммирующие все проблемы, выявленные системой внутреннего контроля. Вопросы, которые кажутся незначительными, когда отдельные процессы контроля рассматриваются изолированно, при рассмотрении их наряду с другими аспектами могут указать на отрицательные тенденции, грозящие перерасти в крупные недостатки системы контроля, если они не будут своевременно устранены. IV. Оценка систем внутреннего контроля органами банковского надзора Принцип 13: Органы банковского надзора должны требовать от всех банков независимо от размера наличия эффективной системы внутреннего контроля, которая должна соответствовать характеру и сложности деятельности банка, рискам, принимаемым им в процессе осуществления балансовых и забалансовых операций. Система внутреннего контроля должна также быть способна реагировать на изменения внешней среды и условий осуществления банком своей деятельности. В случаях, когда надзорные органы приходят к выводу, что система внутреннего контроля банка неадекватна или неэффективна применительно к специфическому характеру рисков, принятых на себя данным банком (например, не удовлетворяет всем принципам, содержащимся в настоящем документе), они обязаны предпринять надлежащие меры. 45. Несмотря на то что ответственность за эффективную систему внутреннего контроля несут в конечном счете совет директоров и менеджмент, органы банковского надзора должны в рамках текущего надзора проводить оценку систем внутреннего контроля каждого конкретного банка. Помимо этого, органы надзора обязаны устанавливать, реагируют ли оперативно руководители конкретного банка на все проблемы, выявляемые в ходе осуществления внутреннего контроля. 46. Органы банковского надзора должны требовать от проверяемых банков высокой культуры внутреннего контроля и должны использовать в своей деятельности подход, ориентированный на оценку рисков (risk focus approach). Важно, чтобы органы банковского надзора не только оценивали адекватность и эффективность общей системы внутреннего контроля, но и проводили оценку контроля в зонах повышенного риска (т.е. сегментах бизнеса, характеризующихся более высокой, чем обычно, рентабельностью, быстрым ростом активов, внедрением новых банковских продуктов или географической удаленностью от головного офиса). В случаях, когда органы банковского надзора приходят к выводу, что система внутреннего контроля банка неадекватно или неэффективно оценивает специфические для данного банка виды риска, они должны предпринять соответствующие меры. Эти меры включают доведение выявленных проблем до сведения менеджмента и мониторинг действий, предпринимаемых банком для улучшения системы внутреннего контроля. 47. При проведении оценки систем внутреннего контроля банков органы банковского надзора могут уделять особое внимание деятельности или ситуациям, которые исторически ассоциировались со сбоем в системах внутреннего контроля, приводившим к значительным убыткам. Некоторые изменения в условиях деятельности банка должны анализироваться особенно внимательно, с тем чтобы решить, имеется ли необходимость в сопутствующих изменениях системы внутреннего контроля. В число этих изменений условий деятельности могут входить: 1) меняющиеся условия осуществления банковской деятельности; 2) новые сотрудники; 3) новые или модернизированные информационные системы; 4) быстро развивающиеся виды деятельности; 5) новые технические средства; 6) новые услуги, продукты, виды деятельности (особенно сложные); 7) корпоративная реструктуризация, слияния и поглощения; 8) расширение или приобретение бизнеса за рубежом (включая влияние изменений в соответствующей экономической или правовой среде). 48. Для проведения оценки внутреннего контроля органы банковского надзора могут применять различные методы и подходы. Органы надзора могут проанализировать работу отдела внутреннего аудита банка путем проверки рабочих документов, включая методологию, применяемую для выявления, оценки, мониторинга и контроля риска. В случае, если качество работы службы внутреннего аудита признано удовлетворительным, органы надзора могут использовать отчеты внутренних аудиторов в качестве первичного материала для выявления проблем, связанных с контролем в банке, или для выявления областей потенциального риска, не проверявшихся в последнее время аудиторами. Некоторые органы надзора могут использовать процесс самооценки, при котором руководство банка проверяет внутренний контроль поэтапно по видам деятельности и подтверждает органам надзора, что его контроль является адекватным для ведения данного вида банковской деятельности. Другие надзорные органы могут потребовать проведения периодических внешних аудиторских проверок в ключевых областях деятельности банка, при котором сфера проверки определяется органами надзора. И, наконец, органы надзора могут сочетать один или более из вышеупомянутых методов с собственными инспекциями на местах или проверкой внутреннего контроля. 49. Надзорные органы во многих странах проводят инспекции на местах и проверку внутреннего контроля в качестве неотъемлемой части таких проверок. Для того чтобы получить объективную картину внутреннего контроля в банке, инспекция на местах может включать как проверку самого процесса внутреннего контроля, так и определенный уровень тестирования отдельных операций. 50. Тестирование операций должно осуществляться таким образом, чтобы проверить: - адекватность и соблюдение внутренних правил, процедур и лимитов; - достоверность и полноту отчетов для руководства и финансовых отчетов; - надежность (т.е. функционирование в соответствии с руководящими установками) отдельных методов контроля, играющих ключевую роль в проверяемой области системы контроля. 51. Для того чтобы оценить эффективность пяти элементов внутреннего контроля банковского учреждения (или подразделения / вида деятельности), органы надзора должны: - определить цели внутреннего контроля, относящиеся к проверяемому учреждению, подразделению или виду деятельности (например, кредитование, инвестирование, бухгалтерский учет); - оценить эффективность элементов внутреннего контроля не только путем рассмотрения правил и процедур, но и путем проверки документации, обсуждения операций с сотрудниками банка различного уровня, наблюдения за операционной средой и тестирования операций; - своевременно довести мнение надзорных органов о внутреннем контроле и рекомендации по его совершенствованию до сведения совета директоров и руководства; - проследить за своевременным принятием мер по исправлению выявленных недостатков. 52. Органы банковского надзора, которые имеют юридические или другие основания определять рамки деятельности внешних аудиторов и пользоваться результатами их работы, часто или всегда делают это вместо проведения инспекций на местах. В таких случаях внешние аудиторы проводят упоминавшиеся выше проверки процесса контроля и тестирование операций на основе специальных соглашений об оказании услуг. В свою очередь, органы надзора должны оценивать качество работы аудиторов. 53. Во всех случаях органы надзора должны учитывать наблюдения и рекомендации внешних аудиторов в отношении эффективности внутреннего контроля и следить за тем, чтобы менеджмент и совет директоров принимали к сведению и выполняли замечания и рекомендации внешних аудиторов. Уровень и характер проблем в области контроля, выявленных аудиторами, должны учитываться при оценке эффективности внутреннего контроля банка надзорными органами. 54. Органы надзора должны также способствовать тому, чтобы внешние аудиторы банка планировали и проводили аудиторские проверки с учетом возможности существенных искажений финансовой отчетности банка в результате мошенничества. Любое мошенничество, обнаруженное внешними аудиторами, независимо от размеров должно быть доведено до сведения руководства соответствующего звена. Случаи мошенничества, в которых замешаны руководители высшего звена и имеющие существенное значение для организации, должны доводиться внешними аудиторами до сведения совета директоров и / или комитета по аудиту. В некоторых случаях от внешних аудиторов ожидается, что они сообщат о мошенничестве соответствующим надзорным органам или прочим сторонним организациям (в зависимости от положений законодательства данной страны). 55. При проверке адекватности процесса внутреннего контроля отдельных банковских учреждений национальные органы надзора должны следить за тем, чтобы этот процесс был эффективным во всех подразделениях, филиалах и зарубежных дочерних структурах <*>. Важно, чтобы органы надзора оценивали процесс внутреннего контроля не только на уровне видов бизнеса или отдельных юридических лиц, но и по всему спектру операций различных структур, действующих в рамках банковского холдинга. По этой причине органы надзора должны поощрять банковские группы, насколько это возможно, пользоваться услугами одних аудиторов и использовать единые сроки предоставления бухгалтерской отчетности для всех участников группы. -------------------------------- <*> Объединенный форум по вопросам Финансовых Конгломератов (The Joint Forum on Financial Conglomerates) опубликовал документ под названием "Основополагающие принципы обмена информацией между надзорными органами". В данном документе рассматривается вопрос обмена информацией между органами надзора различных юрисдикций. V. Обязанности и роль внешних аудиторов 56. Несмотря на то что внешние аудиторы по определению не являются частью банковского учреждения и поэтому не входят в его систему внутреннего контроля, их деятельность, в процессе которой с руководством обсуждаются рекомендации по улучшению внутреннего контроля, оказывает важное влияние на качество внутреннего контроля. К тому же внешние аудиторы обеспечивают обратную связь, помогающую следить за эффективностью системы внутреннего контроля. 57. Поскольку главной целью внешнего аудита является предоставление заключения о годовой финансовой отчетности банка, внешние аудиторы должны оценить эффективность службы внутреннего контроля банка, чтобы по возможности опираться на ее выводы в своей работе. По этой причине внешние аудиторы должны хорошо понимать систему внутреннего контроля банка для того, чтобы оценить, в какой степени они могут полагаться на нее при определении характера, сроков и сфер аудиторской проверки. 58. Специфическая роль внешних аудиторов и методы, которые они используют в своей работе, зависят от конкретной страны. Согласно профессиональным стандартам аудита, принятым во многих странах, аудиторские проверки должны проводиться на основе плана и осуществляться с целью получения достаточной уверенности, что финансовые отчеты свободны от существенных искажений. Также на выборочной основе аудиторы проверяют документальные подтверждения операций и учетных записей, являющихся основанием для финансовой (бухгалтерской) и публикуемой отчетности. Аудитор оценивает используемые принципы и правила бухгалтерского учета и существенные допущения, сделанные руководством, а также общее представление финансовой отчетности. В некоторых странах надзорные органы требуют, чтобы внешние аудиторы представляли конкретную оценку круга вопросов, адекватности и эффективности системы внутреннего контроля банка, включая систему внутреннего аудита. 59. При всем разнообразии общим для всех стран является предположение, что внешний аудитор сможет оценить качество системы внутреннего контроля в той степени, которая необходима для суждения о состоянии отчетности банка. Степень внимания, уделяемая системе внутреннего контроля, зависит от конкретного аудитора и банка; однако обычно предполагается, что существенные недостатки, выявленные аудиторами, должны доводиться до сведения руководства в конфиденциальных письмах по результатам аудита и во многих странах - до сведения органов банковского надзора. Более того, во многих странах к внешним аудиторам могут предъявляться специальные надзорные требования, предписывающие способ проведения оценки внутреннего контроля и составления отчета о его состоянии. Приложение I СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ Банк Англии. "Внутренний контроль в банках и процесс, изложенный в Разделе 39", февраль 1997 года. Канадская Корпорация Страхования Депозитов. "Стандарты надлежащего ведения бизнеса и финансовой деятельности: внутренний контроль", август 1993 года. Канадский Институт Дипломированных Бухгалтеров. "Руководство по контролю", ноябрь 1995 года. Комитет спонсорских организаций Комиссии Тредвей. "Внутренний контроль - свод основополагающих принципов", июль 1994 года. Европейский Валютный Институт. "Системы внутреннего контроля кредитных учреждений", июль 1997 года. Приложение II УРОКИ В ОБЛАСТИ НАДЗОРА, ИЗВЛЕЧЕННЫЕ ИЗ ОШИБОК ВНУТРЕННЕГО КОНТРОЛЯ А. Управленческий контроль и культура контроля 1. Многие сбои в системе внутреннего контроля, которые обернулись существенными убытками для банков, можно было бы минимизировать или даже избежать их, если бы совет директоров и менеджмент этих банков позаботились о создании соответствующей культуры контроля. Как правило, низкая культура контроля имела две общие составляющие. Во-первых, менеджменту не удавалось показать на словах и на деле значение сильной системы внутреннего контроля и, что самое важное, использовать для этого способы, применяемые для поощрения и продвижения сотрудников по службе. Во-вторых, менеджмент не смог создать четкую организационную структуру и систему подотчетности руководителей различного уровня. Например, не удалось своевременно наладить адекватный надзор за сотрудниками, принимающими ключевые решения, и за предоставлением отчетности о характере банковских операций и ходе их проведения. 2. Менеджмент может ослабить культуру контроля, если будет поощрять и продвигать по службе руководителей подразделений, успешных с точки зрения получения прибыли, невзирая на то что они не выполняют правил внутреннего контроля и не решают проблем, выявляемых сотрудниками службы внутреннего аудита. В глазах других сотрудников такие действия означают, что внутренний контроль занимает второстепенное место по сравнению с другими целями организации, что ослабляет желание сотрудников поддерживать на должном уровне культуру контроля. 3. Организационные структуры некоторых банков, где возникли проблемы с контролем, не имели строго очерченного порядка подотчетности. В результате подразделение банка не подчинялось никому конкретно из числа руководителей высшего звена. Это означало, что ни один из менеджеров не следил за деятельностью данного подразделения достаточно внимательно, чтобы заметить необычную финансовую или иную деятельность, и ни один из менеджеров не понимал полностью характера операций и способа получения прибыли. Если бы руководство понимало, чем занимается подразделение, то оно могло бы заметить соответствующие признаки (такие, как необычное соотношение прибыли и уровня риска), расследовать операции и принять меры по минимизации конечных убытков. Этих проблем можно было бы избежать, если бы руководство проверяло операции и управленческие отчеты и проводило обсуждение характера заключаемых сделок с соответствующими сотрудниками. Такой подход дает менеджменту возможность объективно взглянуть на процесс принятия решений и гарантирует, что сотрудники, занимающие ключевые посты, будут действовать в рамках параметров, установленных банком, и в соответствии с принципами внутреннего контроля. Б. Выявление и оценка риска 4. В недалеком прошлом одной из причин, создающих проблемы в области внутреннего контроля и связанные с ними убытки в некоторых банках, были неадекватное выявление и оценка риска. В ряде случаев возможность получения высоких доходов от некоторых видов кредитов, инвестиций и производных инструментов отвлекала менеджмент от необходимости тщательно оценивать риски, связанные с этими операциями, и выделять значительные ресурсы на текущий мониторинг и анализ рисков. Также убытки происходили по причине того, что менеджмент не модернизировал процесса оценки риска при изменении операционной среды, в которой действует банк. Например, несмотря на появление более сложных банковских продуктов, ничего не делалось для расширения внутреннего контроля, чтобы эти продукты стали предметом его внимания. В других случаях банки осваивали новый вид деятельности без полной и объективной оценки связанных с нею рисков. Без такой оценки система внутреннего контроля не может адекватно справляться с рисками, сопутствующими новым видам деятельности. 5. Как уже говорилось, банки должны ставить перед собой цели достижения эффективности операций, достоверности и полноты финансовой и управленческой информации, а также соблюдения законодательных и нормативных актов. Оценка риска включает выявление и анализ рисков, связанных с достижением этих целей. Данный процесс позволяет обеспечить соответствие системы внутреннего контроля банка характеру, сложности и рискам его балансовых и забалансовых операций. В. Осуществление контроля и разделение полномочий 6. При проведении анализа крупных убытков банков, происшедших вследствие плохо налаженного внутреннего контроля, надзорные органы обычно приходят к выводу, что банки не соблюдали некоторых ключевых принципов внутреннего контроля. Чаще всего банки, потерпевшие серьезные убытки из-за проблем с внутренним контролем, игнорировали принцип разделения полномочий - один из столпов надежной системы внутреннего контроля. Зачастую менеджмент вменял в обязанности хорошо зарекомендовавшему себя сотруднику контролировать два или более видов деятельности, между которыми имеется конфликт интересов. Например, в некоторых случаях один и тот же сотрудник контролировал одновременно подразделение совершения сделок и подразделение их учета. Это позволяло ему контролировать начальную стадию заключения сделок (т.е. куплю / продажу ценных бумаг или производных инструментов) и соответствующие учетные операции по документированию сделок. Наделяя одного сотрудника такими противоречивыми полномочиями, банк давал ему возможность манипулировать финансовой информацией в корыстных целях или в целях сокрытия убытков. 7. Разделение полномочий не ограничивается ситуациями, когда один и тот же сотрудник получает возможность одновременного контроля за совершением операций и учетом сделок. Совмещение полномочий может привести к возникновению серьезных проблем, когда сотрудник отвечает за: - санкционирование выплаты денежных средств и их фактическую выплату; - ведение счетов, на которых отражаются операции клиентов, и счетов, отражающих собственные операции банка; - ведение операций, относящихся как к "банковскому", так и к "дилерскому" портфелю; - неформальное предоставление информации клиентам об их позициях в ходе проведения для них маркетинга; - оценку адекватности кредитной документации при выдаче кредита и мониторинг заемщика после выдачи кредита; - любые другие области, где может возникнуть существенный конфликт интересов, не смягченный другими факторами <*>. -------------------------------- <*> Примером того, как воздействие потенциального конфликта интересов может быть снижено с помощью других видов контроля, является независимая группа проверки кредитов, которая путем проведения мониторинга системы классификации банковских кредитов может предотвратить потенциальный конфликт интересов, возникающий, когда сотрудник, ответственный за оценку адекватности кредитной документации, одновременно проводит мониторинг платежеспособности заемщика после выдачи кредита. 8. Помимо этого, недостатки, выявленные в области внутреннего контроля, отражают неудачу попыток обеспечить осуществление банковской деятельности предсказуемым образом, начиная от проверок на высшем уровне и кончая соблюдением определенной системы "сдержек и противовесов" при ведении бизнеса. Например, в некоторых случаях руководство адекватно не реагировало на получаемую информацию. Эта информация подавалась в форме периодических отчетов по результатам операций всех подразделений. Отчеты информировали руководство о ходе выполнения каждым подразделением поставленных целей и позволяли требовать разъяснений, если полученные результаты не соответствовали ожидаемым. Как правило, подразделения, которые позднее потерпели существенные убытки, сообщали о прибыли, значительно превосходящей ожидаемую по сравнению с декларируемым уровнем риска, что должно было бы встревожить руководство. Если бы высшее руководство провело соответствующую проверку, можно было бы изучить причины отклонений и найти решение, тем самым сведя риск к минимуму или предотвратив убытки. Однако, поскольку отклонения от ожидаемых результатов были положительными, руководство не требовало разъяснений и не проводило расследований до тех пор, пока проблемы не вырастали до неуправляемых масштабов. Г. Информация и процесс ее передачи 9. Некоторые банки потерпели убытки потому, что информация, используемая в рамках организации, была ненадежной или неполной, или потому, что была плохо налажена система связи. Сотрудники банка могли предоставлять неправильную финансовую информацию; для оценки финансового положения могли использоваться недостоверные данные из внешних источников, а незначительные по объемам, но виды деятельности с высокой долей риска могли не отражаться в отчетах для руководства. В некоторых случаях банки не смогли адекватно довести до сотрудников информацию, касающуюся их обязанностей и функций в области контроля, или передавали информацию по таким каналам, как, например, электронная почта, которые не могли обеспечить ознакомление с нею, ее понимание и реализацию на практике. В результате в течение долгого времени основные документы о политике банка в соответствующих областях, разработанные руководителями высшего звена, не реализовывались. В других случаях отсутствовали адекватные каналы передачи информации о случаях подозрительного поведения некоторых сотрудников. Если бы были созданы сквозные каналы для передачи информации наверх, руководство смогло бы выявлять и исправлять злоупотребления гораздо более оперативно. Д. Мониторинг и исправление недостатков 10. Многие банки, потерпевшие убытки в результате недостатков внутреннего контроля, не проводили эффективного мониторинга своих систем внутреннего контроля. Зачастую в эти системы не были встроены необходимые механизмы по регулярному проведению мониторинга, а отдельные проводившиеся проверки были неудовлетворительными или же руководство не принимало по ним надлежащих мер. 11. В некоторых случаях отсутствие мониторинга началось с того, что менеджмент и другие сотрудники не реагировали на ежедневную информацию о необычной деятельности, например, превышении лимитов риска, использовании клиентских счетов при проведении собственных операций банка или отсутствии текущей финансовой отчетности заемщиков. В одном банке убытки, связанные с дилерской деятельностью, скрывались на фиктивном клиентском счете. Если бы в этой организации был введен порядок, согласно которому выписки по счетам ежемесячно отправлялись клиентам по почте, а остатки на счетах клиентов периодически подтверждались, то скрываемые убытки были бы замечены раньше, чем они переросли в крупные проблемы для банка. 12. В некоторых случаях подразделение банка или вид деятельности, в котором имели место крупные убытки, характеризовалось многочисленными признаками повышенного риска, например, более высокой, чем обычно, рентабельностью по сравнению с уровнем принятого риска или быстрым ростом нового бизнеса в условиях географической удаленности от головной организации. Однако из-за неправильной оценки риска банки не выделяли достаточных дополнительных ресурсов для проведения контроля или мониторинга деятельности, связанной с повышенным риском. Фактически в некоторых случаях деятельность, связанная с повышенным риском, контролировалась слабее, чем деятельность, носящая менее рискованный характер, а многочисленные предупреждения внутренних и внешних аудиторов в отношении деятельности данного подразделения игнорировались руководством банка. 13. Несмотря на то что внутренний аудит может быть действенным средством проведения отдельных проверок, он оказался неэффективным во многих проблемных банках. Такое положение объясняется сочетанием трех факторов - фрагментарностью аудиторских проверок, отсутствием глубокого понимания банковской деятельности и бездействием в отношении выявленных проблем. Фрагментарный характер аудиторских проверок объяснялся тем, что программы внутреннего аудита были составлены в виде серии разрозненных проверок отдельных видов операций в рамках одного и того же подразделения, региона или юридического лица. Поскольку аудиторские проверки проводились фрагментарно, сотрудники службы внутреннего аудита были лишены возможности глубоко вникнуть в суть банковских операций. Если бы в ходе проверок аудиторы могли отслеживать весь процесс банковских операций с начала до конца (например, прослеживать отдельную операцию, начиная с ее возникновения и кончая этапом ее отражения в финансовой отчетности), то это позволило бы им лучше понимать данный процесс. Более того, это дало бы им возможность проверки и тестирования качества контроля на каждом этапе процесса. 14. В некоторых случаях проблемы внутреннего аудита усугублялись в результате некомпетентности и недостаточной подготовки сотрудников службы внутреннего аудита в области финансовых инструментов и рынков, систем электронной информации и других сложных областях. Поскольку сотрудники не имели необходимого опыта, они часто не решались задавать вопросы, когда подозревали наличие проблем, а если и задавали соответствующие вопросы, то удовлетворялись полученным разъяснением, не ставя его под сомнение. 15. Внутренний аудит не дает ожидаемых результатов в случаях, когда руководство своевременно не предпринимает мер по исправлению выявленных недостатков. Такие задержки могут происходить в силу того, что руководство не признает роли и значения внутреннего аудита. Помимо этого, эффективность внутреннего аудита страдает в случаях, когда менеджмент и члены совета директоров (комитет по аудиту) не получают своевременных и регулярных контрольных отчетов, в которых указываются недостатки и меры по их исправлению, принятые руководством. Такой вид периодических отчетов может помочь менеджменту оперативно и своевременно решать важные вопросы. ------------------------------------------------------------------
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510