Лекция 9. Организация внутрибанковского контроля
В результате изучения материала главы студент должен:
знать
• суть понятий "контроль", "внутренний контроль", "система внутреннего контроля банка"; виды контроля; специализированные контрольные службы банка и их функции; варианты организационного построения контрольных служб банка; нормативно-правовую базу внутреннего контроля и контроля в целях противодействию легализации доходов, полученных преступным путем, и финансированию терроризма;
уметь
• выделять цели и функции внутреннего контроля; уровни системы внутреннего контроля; выявлять проблемы организации нормального внутреннего контроля в банке;
владеть
• теоретическими навыками организации внутрибанковских контрольных процедур, в том числе внутреннего контроля в целях противодействия легализации через банки доходов, полученных преступным путем.
Ключевые термины: внутренний контроль; контрольные службы.
Система внутреннего контроля деятельности банка
Базовые понятия
Банковский внутренний контроль (самоконтроль) – это завершающая часть управленческого процесса в банке, организуемого им самим, имеющая своим объектом деятельность всех органов, подразделений и работников банка и направленная на выяснение меры соответствия указанной деятельности нормам законодательства, банковским правилам, устанавливаемым регулирующими органами, правилам, стандартам и процедурам, принятым в данной организации, требованиям, предъявляемым к сотрудникам.
Контроль – это всегда некие действия (проверки), которые предпринимает не сам контролируемый (проверяемый)[1], а другое лицо (другой орган). С учетом этого можно считать, что в рамках банка могут и должны иметь место:
• "горизонтальный" контроль – когда контролерами выступают другие работники того же подразделения и (или) работники других подразделений банка, стоящие в той же технологической цепочке, т.е. участвующие в той же банковской операции;
• "вертикальный" контроль, при котором контролерами являются лица и органы, вышестоящие по отношению к проверяемому работнику или подразделению (руководство отдела, руководство департамента, высшее исполнительное руководство и органы собственников банка вплоть до общего собрания участников);
• специализированный (профессиональный) контроль, который ведут специально на это "поставленные" сотрудники, нередко организационно выделенные в особые контрольные подразделения (службы), для которых данная работа является главной или даже исключительной (отдельные контролеры по некоторым направлениям деятельности банка, особая служба внутреннего контроля, специализированные службы внутреннего контроля, ревизионная комиссия, внутренние аудиторы).
Существует также контроль внешний, который ведут органы (их представители), сторонние для данного банка, прежде всего центральный банк или иной особо уполномоченный государственный орган. Этот вариант контроля в банковской практике обычно именуется надзором.
Для раскрытия основных требований к системе контроля в банке воспользуемся докладом Базельского комитета 1998 г. "Общие основы функционирования систем внутреннего контроля в кредитных организациях" (ниже приводятся отдельные его фрагменты).
I. Актуальность тематики
1. <...>
Анализ ... подтверждает важность того, чтобы руководство банков, внутренние и внешние аудиторы, а также лица, осуществляющие надзор, уделяли больше внимания укреплению систем внутреннего контроля и оценке их эффективности на постоянной основе. Недостаточность мер внутреннего контроля может привести к значительным потерям для банков.
2. Типичные срывы в сфере контроля, отмечавшиеся в случаях с банками, оказавшимися в затруднительном положении, можно сгруппировать по 5 категориям.
• Недостаточность административного надзора и подотчетности, а также неспособность добиться формирования прочных традиций контроля в банке.
<...>
• Недостаточное понимание и оценка риска некоторых видов банковской деятельности.
<...>
Системы контроля, успешно функционирующие в отношении традиционных или простых продуктов, не способны справляться с проблемами, возникающими при переходе к более утонченным или сложным продуктам.
• Отсутствие или неэффективность ключевых структур и видов деятельности в области контроля, таких, как разграничение обязанностей и полномочий, проверка, сверка и анализ хода выполнения операционной деятельности. В образовании крупных потерь, понесенных банками, особенно заметную роль играла недостаточность разграничения обязанностей.
• Недостатки передачи информации между различными уровнями управления в банке, особенно при передаче сообщений о проблемных ситуациях вверх по вертикали управления.
<...>
• Недостаточные или неэффективные программы аудиторских проверок и мониторинга.
<...>
3. Именно на совет банка и старших должностных лиц возлагается ответственность за внедрение достаточных мер внутреннего контроля в банке и создание такой обстановки, при которой сотрудники понимают и выполняют свои обязанности в данной области.
II. Цели и предназначение общих основ внутреннего контроля
4. Внутренний контроль – это процесс, осуществляемый советом, старшими должностными лицами и сотрудниками всех уровней. Это не просто процедура или политика, которая выполняется в определенный момент, а процесс, постоянно осуществляемый на всех уровнях банка. Совет и старшие должностные лица несут ответственность за формирование соответствующих традиций в целях содействия выполнению эффективных мер внутреннего контроля, а также за мониторинг его действенности на непрерывной основе; однако в этом процессе должен участвовать каждый сотрудник организации.
Главные цели внутреннего контроля можно классифицировать так: эффективность и действенность осуществляемых мероприятий; достоверность, полнота и своевременность финансовой и управленческой информации; соблюдение законодательства и нормативных актов.
5. Внутренний контроль должен быть нацелен на обеспечение эффективности и действенности осуществляемых банком операций при использовании своих активов и других ресурсов, а также защиту банка от потерь. Процесс внутреннего контроля должен способствовать тому, чтобы все сотрудники организации действовали эффективно и добросовестно для достижения поставленных ею целей, не допуская непреднамеренных или неоправданных издержек и не ставя прочие интересы (такие, как интересы сослуживцев, партнеров или клиентов) выше интересов банка.
<...>
7. Соблюдение установленных нормативов и процедур направлено на то, чтобы в ходе банковской деятельности обеспечить выполнение требований законодательства и правил регулирования, требований органов надзора, а также политики и процедур самой кредитной организации. Эту задачу необходимо выполнять для защиты законных прав банка и его репутации.
III. Основные элементы внутреннего контроля
8. Процесс внутреннего контроля, который служил механизмом предотвращения ошибок и случаев мошенничества или ненадлежащего использования средств, приобрел всеобъемлющий характер, охватив все риски, с которыми сталкиваются кредитные
организации. Рационально организованный процесс внутреннего контроля имеет критически важное значение для обеспечения способности банка выполнять свои уставные цели и поддерживать свою финансовую устойчивость.
9. Внутренний контроль состоит из 5 взаимосвязанных элементов: административный надзор и традиции контроля; выявление и оценка рисков; контроль и разграничение обязанностей; информация и связь; мониторинг и устранение недостатков[2].
А. Административный надзор и традиции контроля
1. Совет банка (совет директоров)
Принцип 1. Совет несет ответственность за утверждение и периодический пересмотр общей стратегии операционной деятельности и наиболее важных направлений политики банка; изучение основных рисков, с которыми сталкивается банк, установление приемлемых уровней рисков и обеспечение принятия старшими должностными лицами мер, необходимых для того, чтобы идентифицировать, измерять, отслеживать и контролировать риски; за утверждение организационной структуры, а также обеспечение мониторинга эффективности системы внутреннего контроля со стороны старших должностных лиц. Совет в конечном счете несет ответственность за создание и функционирование надлежащей и эффективной системы внутреннего контроля.
<..•>
2. Старшие должностные лица
Принцип 2. Старшие должностные лица несут ответственность за осуществление стратегии и политики, утвержденных советом; разработку методов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком; поддержание организационной структуры, обеспечивающей четкое разграничение ответственности, полномочий и установление отношений подотчетности в целях эффективного выполнения делегируемых обязанностей; определение надлежащей политики внутреннего контроля, а также мониторинг достаточности и эффективности такого контроля.
<...>
3. Традиции контроля
Принцип 3. Совет и старшие должностные лица несут ответственность за содействие формированию высоких этических стандартов добросовестного выполнения обязанностей и установление таких традиций в рамках организации, которые подчеркивают и демонстрируют сотрудникам всех уровней важность мер внутреннего контроля. Всем сотрудникам необходимо понимать свою роль в процессе внутреннего контроля и участвовать в этом процессе.
<...>
17. В той или иной степени внутренний контроль является предметом ответственности каждого сотрудника банка. Почти все служащие выступают источником информации, используемой в системе внутреннего контроля, или предпринимают другие действия, необходимые для осуществления контроля. Существенным элементом надежной системы внутреннего контроля служит признание всеми сотрудниками необходимости эффективно выполнять свои обязанности и сообщать на соответствующий уровень управления о любых проблемах в операционной деятельности, о случаях несоблюдения кодекса поведения, о других нарушениях установленных норм или о каких-либо замеченных противозаконных действиях. <...> Важно добиться того, чтобы все сотрудники банка понимали значение внутреннего контроля и активно участвовали в этом процессе.
Б. Выявление и оценка рисков
Принцип 4. Эффективная система внутреннего контроля предполагает выявление и оценку на постоянной основе тех рисков, которые могут негативно отразиться на достижении банком поставленных целей. Такая оценка должна охватывать все риски, с которыми сталкивается банк. При этом может возникать необходимость в пересмотре мер внутреннего контроля, чтобы должным образом учитывать любые новые или ранее не контролировавшиеся риски. В. Контроль и разграничение обязанностей Принцип 5. Контроль должен быть составной частью повседневной деятельности банка. Для эффективной системы внутреннего контроля требуется установление надлежащей структуры контроля в сочетании с определением соответствующих мер на каждом уровне операционной деятельности.
<...>
24. Меры контроля должны воздействовать на те риски, которые банк идентифицировал в ходе оценки рисков. Контроль охватывает 2 стадии: 1) разработку основных направлений и методов контроля; 2) проверку того, что контроль осуществляется в соответствии с этими направлениями и методами. В контрольную деятельность вовлекаются сотрудники всех уровней банка...
Принцип 6. Для эффективной системы внутреннего контроля требуется надлежащее разделение обязанностей и обеспечение того, чтобы на сотрудников не возлагалась ответственность, сопряженная с конфликтами интересов.
<...>
IV. Оценка систем внутреннего контроля органами надзора Принцип 13. Органы надзора должны требовать, чтобы все банки поддерживали эффективную систему мер внутреннего контроля в соответствии с характером, сложностью и степенью рисков, присущих банковской деятельности, а также с учетом изменений в банковской среде и условиях функционирования банков. В случаях, когда органы надзора приходят к заключению, что система внутреннего контроля в банке не является достаточной или эффективной, если принять во внимание конкретный диапазон рисков, принимаемых данным банком, они должны предпринять надлежащие действия.
Внутренний контроль играет особую и весьма важную роль в жизнедеятельности банка. При этом:
• внутренний контроль – это постоянно действующий системный процесс или механизм, изменяющийся сообразно изменениям в деятельности банка;
• механизм внутреннего контроля направлен на минимизацию рисков деятельности банка, предотвращение конфликтов интересов, защиту интересов участвующих в банковском бизнесе субъектов (в том числе предотвращение мошенничества);
• внутренний контроль обеспечивает (повышает) эффективность деятельности организации;
• механизм внутреннего контроля основан на прямых и обратных связях субъекта и объекта контроля.
В целом рассматриваемое явление можно определить следующим образом: система внутреннего контроля банка – это комплекс механизмов банка, выполняющий защитную функцию – функцию минимизации различных рисков, которые он вынужден принимать на себя, и призван обеспечить такой порядок проведения банковских операций (сделок), который способствует достижению поставленных ориентиров и целей при соблюдении требований законодательства, нормативных актов Банка России, а также внутренних процедур, стандартов и правил, установленных для себя самим банком.
Внутренний контроль выполняет функцию защиты от всех рисков, угрожающих банку, а именно:
• предопределяемых внешними по отношению к банку макроэкономическими, финансовыми, нормативно-правовыми, социальными условиями деятельности банковского сектора и иными общими причинами;
• вызываемых более частными внешними факторами (причинами):
– неблагоприятными конъюнктурными изменениями на рынках, где действует банк, и на рынках, где действуют его клиенты;
– неблагоприятными изменениями потребностей и предпочтений клиентуры; действиями сил конкуренции и отдельных конкурентов;
– факторами неэкономического характера (например, давление криминального мира, факты мошенничества сторонних лиц и т.п.);
• являющихся следствием факторов (причин) внутреннего порядка, в частности:
– отсутствия в банке продуманной стратегии развития, нормального планирования, обоснованных политик в отношении развития отдельных направлений его деятельности на предстоящий период, в том числе на случаи "плохих сценариев" развития событий;
– нехватки капитала, свободных средств для проведения операций, в которых нуждаются клиенты; несоблюдения платежной и отчетной дисциплины;
– отсутствия полноценного и непротиворечивого комплекта внутренней регламентирующей и методической документации или его формального наличия;
– несоответствия организационной структуры и структур управления банка характеру его реальной деятельности;
– отсутствия должного распределения и закрепления полномочий и ответственности на разных уровнях управления;
– неэффективной организации систем защиты экономической и информационной безопасности банка;
– неправомерных или некомпетентных решений руководства банка;
– неэффективной организации информационных потоков, несогласованности действий между разными подразделениями банка;
– некомпетентных или безответственных действий сотрудников, несоблюдения ими принятых в банке правил и процедур; отставания банка от конкурентов в плане предлагаемых клиентам видов банковских операций, условий и качества их выполнения, используемых при этом технико-технологических средств;
– сбоев в работе операционного технологического оборудования банка; фактов мошенничества со стороны сотрудников банка.
Целесообразность создания и устойчивого функционирования системы внутреннего контроля в банке обусловлена рядом причин, в том числе:
• необходимостью оценивания используемых им средств выявления рисков (риск-менеджмента), их минимизации (исключения) и (или) смягчения последствий от их реализации, а также содействия разработке таких средств;
• возможностью повышения эффективности деятельности банка;
• влиянием международного экономического сообщества;
• требованиями нормативных документов и санкциями за ее отсутствие.
Важно также отметить, что внутренний контроль в банке должен состоять из двух основных составляющих:
• комплаенс-контроль[3], основная функция которого – следить за тем, чтобы соответствующие внутрибанковские правила, порядки и процедуры не входили в противоречие с требованиями законодательства и нормативных актов регулирующих банковскую деятельность органов, а действия сотрудников организации не отклонялись от установленных правил, порядков и процедур;
• аналитический контроль, призванный выявлять причины отклонения фактических параметров деятельности банка от заранее определенных, запланированных.
Итак, система надежных механизмов внутреннего контроля содействует выполнению текущих задач банка, достижению им своих долгосрочных целей, связанных, в частности, с получением прибыли, и ведению надежной управленческой отчетности. В то же время наличие системы внутреннего контроля в банке само по себе еще не является гарантией того, что все операции проводятся правильно и банк защищен от рисков. Это означает, в частности, что саму систему внутреннего контроля, если уж она создана и действует, следует периодически подвергать беспристрастной оценке и вносить в нее необходимые коррективы с тем, чтобы она постоянно соответствовала характеру и масштабам проводимых банком операций, а также изменениям условий внешней среды.
Руководство банка при организации системы внутреннего контроля обычно ставит определенные цели. Эти цели можно условно разделить на операционные, информационные и цели соблюдения нормативно-правовой базы.
Операционные цели ориентируют систему внутреннего контроля на проблемы эффективности и квалифицированного использования банком своих активов и ограждения его от убытков. Информационные цели – это цели своевременной подготовки для руководства информации, необходимой для принятия решений. Как правило, здесь же имеется в виду подготовка отчетности для органов надзора. Смысл целей соблюдения нормативно-правовой базы ясен из их названия.