Організація внутрішнього контролю: версія Центрального банку

Законодавча та нормативна база

У банківському законодавстві про внутрішній контроль в комерційних банках йдеться вкрай скупо. Точніше, в Законі про банки ця проблема згадується два рази:

З Закону про банки

Ст. 10. Статут КО

<...>

Статут КО повинен містити:

<...>

6) відомості про систему органів управління, в тому числі виконавчих, і органів внутрішнього контролю, про порядок їх утворення та їх повноважень;

<...>

Ст. 24. Забезпечення фінансової надійності КО

<...>

КО зобов'язана організовувати внутрішній контроль, що забезпечує належний рівень надійності, що відповідає характеру і масштабам проведених операцій.

Головний нормативний акт Банку Росії, присвячений даного питання, також фактично один - Положення ЦБ РФ від 16.12.2003 № 242-П "Про організацію внутрішнього контролю в кредитних організаціях і банківських групах" (далі - Положення ЦБ РФ № 242) (до цього діяло положення ЦБ РФ від 28.08.1997 № 509 "Про організацію внутрішнього контролю в банках", до якості якого у фахівців було багато претензій).

Положення ЦБ РФ № 242: основні норми і коментарі

В даному Положенні визначено загальний для всіх вітчизняних банків порядок організації внутрішнього контролю, який зобов'язує їх мати системи внутрішнього контролю та спеціальні служби внутрішнього контролю, а відомості про таку службу, порядок її утворення та повноваження - відобразити в своїх статутах.

Цілі внутрішнього контролю

Документ виходить з того, що внутрішній контроль в банку необхідний для того, щоб забезпечувати:

  • • ефективність фінансово-господарської діяльності при здійсненні банківських операцій та інших угод, ефективність управління активами і пасивами, ризиками. В останньому випадку маються на увазі:
    • - Виявлення, вимір і визначення прийнятного для банку рівня ризиків;
    • - Постійне спостереження за ризиками;
    • - Прийняття необхідних заходів для підтримки ризиків на рівні, що не загрозливому фінансової стійкості банку, інтересам його кредиторів і вкладників;
  • • достовірність, повноту, об'єктивність і своєчасність складання та подання фінансової, бухгалтерської, статистичної та іншої звітності, одержуваної і використовуваної внутрішніми і зовнішніми користувачами, а також інформаційну безпеку банку;
  • • дотримання нормативних правових актів, стандартів СРО (якщо банк є членом таких організацій), норм статуту та внутрішніх документів банку;
  • • недопущення залучення банку і його службовців у протиправну діяльність.

Такий перелік цілей є свідченням того, що внутрішній контроль охоплює майже всі напрямки життєдіяльності банку. У той же час до цього переліку чомусь не увійшли цілі, пов'язані, наприклад, з організацією і критеріями результативності управління в банку, розвитком внутрішньобанківських (в тому числі трудових і соціальних) і міжбанківських відносин, відносин з клієнтурою і деякі інші, що мають першорядне значення.

Учасники (система органів) внутрішнього контролю

У Положенні ЦБ РФ № 242 зазначається, що відповідно до повноважень, визначених в документах банку, внутрішній контроль в ньому повинні вести:

  • • органи управління, передбачені в Законі про банки;
  • • ревізійна комісія (ревізор);
  • • головний бухгалтер (його заступники);
  • • керівник (його заступники) і головний бухгалтер (його заступники) філії;
  • • підрозділи і службовці, що виконують функції внутрішнього контролю відповідно до спеціальними повноваженнями, визначеними у внутрішніх документах банку. В останньому випадку маються на увазі:
  • - Служба внутрішнього контролю (внутрішнього аудиту) як окремий структурний підрозділ банку. Тут важко погодитися з фактичним ототожненням функціонально різних служб - внутрішнього контролю та внутрішнього аудиту;
  • - Відповідальний співробітник (або структурний підрозділ) з протидії легалізації доходів, отриманих злочинним шляхом, і фінансуванню тероризму як окрему посадову особу (структурний підрозділ), відповідальне за розробку і реалізацію правил внутрішнього контролю з метою протидії легалізації доходів, отриманих злочинним шляхом, програм його здійснення та інших внутрішніх організаційних заходів в зазначених цілях, а також за подання до відповідного уповноваженого органу федеральної влади відомостей відповідно до Федерального закону від 07.08.2001 № 115-ФЗ "Про протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, і фінансуванню тероризму" (далі - Закон про протидію легалізації доходів) і нормативними актами Банку Росії (див. далі в цьому ж розділі);
  • - Інші структурні підрозділи та (або) відповідальні співробітники банку, до яких, як вважають укладачі Положення ЦБ РФ № 242, можуть належати:
    • а) контролер професійного учасника ринку цінних паперів (далі - РЦБ) як відповідальна посадова особа і (або) структурний підрозділ, що перевіряє відповідність діяльності банку як професійного учасника РЦБ вимогам законодавства Російської Федерації про цінні папери, нормативних правових актів федерального органу виконавчої влади з РЦБ ( комплаенс-контролер);
    • б) відповідальний співробітник з правових питань як посадова особа і (або) структурний підрозділ, що перевіряє дотримання нормативних правових актів, стандартів СРО, статуту і внутрішніх документів банку. Цей останній пункт можна вважати зовсім вже надуманим, оскільки в будь-якому банку і так є і діє юридична служба [1] .

Документ містить і таку досить м'яку норму: структурні підрозділи (відповідальні співробітники), перераховані вище, за винятком відповідального співробітника (структурного підрозділу) з протидії легалізації доходів, отриманих злочинним шляхом, можуть бути включені до складу СВК. Але в цьому випадку такі співробітники (підрозділу) не мають права здійснювати функції СВК за напрямками своєї безпосередньої діяльності, тобто перевіряти роботу контролера (підрозділи внутрішнього контролю), професійного учасника РЦБ, відповідального співробітника (структурного підрозділу) з правових питань.

Представлений розділ документа змушує зробити також наступні зауваження.

По-перше, правильно, що внутрішній контроль в банку "вершить" не тільки СВК, що учасників цього процесу дійсно багато. Але в обґрунтовано широкому переліку його учасників чомусь не знайшлося місця рядовим співробітникам банку.

По-друге, залишається без задовільної відповіді старе питання - про структурні підрозділи і штатних посадах в банках, які їх в адміністративному порядку зобов'язує вводити, містити і оплачувати Центробанк Росії, хоча він не є для банків "вищестоящою організацією" і не фінансує їх.

По-третє, що ще важливіше, залишається також колишній та болюче питання - про місце і роль СВК в загальній структурі органів, що беруть участь у внутрішньому контролі (див. Далі).

Система внутрішнього контролю

Положення ЦБ РФ № 242 зобов'язує кожен банк і відповідні його органи на постійній основі вести контроль за наступними напрямками:

  • • організація діяльності банку;
  • • функціонування системи управління ризиками банку і оцінка таких ризиків;
  • • розподіл повноважень при здійсненні банківських операцій (угод);
  • • управління інформаційними потоками (отримання і передача інформації) і забезпечення інформаційної безпеки;
  • • моніторинг самої системи внутрішнього контролю (спостереження за функціонуванням зазначеної системи з метою оцінки ступеня її відповідності завданням діяльності банку, виявлення недоліків, розробки пропозицій та контролю за реалізацією рішень про її вдосконалення).

Але чи утворюють перераховані напрями контролю систему, потенційно здатну вберегти банк від будь-яких несподіванок і неприємностей на всіх напрямках його функціонування, для чого, власне, і потрібен внутрішній контроль? Очевидно, що ні.

Служба внутрішнього контролю

Відповідно до розглянутим нормативним актом СВК банку створюється для внутрішнього контролю та сприяння органам управління банку в забезпеченні його ефективного функціонування. Внутрішній документ, який регулює діяльність СВК, - Положення про СВК. Належне утримання останнього в Положенні ЦБ РФ № 242 характеризується загальними словами.

У деякому роді більше ясності з функціями СВК . Серед таких названі:

  • а) перевірка і оцінка ефективності системи внутрішнього контролю;
  • б) перевірка повноти застосування і ефективності методики оцінки банківських ризиків і процедур управління такими ризиками (методик, програм, правил, порядків і процедур здійснення банківських операцій і угод, управління банківськими ризиками);
  • в) перевірка надійності внутрішнього контролю за використанням автоматизованих інформаційних систем, включаючи контроль цілісності баз даних і їх захисту від несанкціонованого доступу і (або) використання, наявність планів дій на випадок непередбачених обставин;
  • г) перевірка достовірності, повноти, об'єктивності і своєчасності бухгалтерського обліку і звітності та їх тестування, а також надійності і своєчасності збору та подання інформації та звітності;
  • д) перевірка достовірності, повноти, об'єктивності і своєчасності подання інших відомостей відповідно до нормативних правових актів до органів державної влади та Банк Росії;
  • е) перевірка застосовуваних способів (методів) забезпечення збереження майна банку;
  • ж) оцінка економічної доцільності і ефективності проведених банком операцій;
  • з) перевірка відповідності внутрішніх документів банку нормативно-правовим актам, стандартам СРО;

і) перевірка процесів і процедур внутрішнього контролю;

  • к) перевірка систем, створених з метою дотримання правових вимог, професійних кодексів поведінки;
  • л) оцінка роботи служби управління персоналом;
  • м) інші питання, передбачені у внутрішніх документах банку.

Цей список функцій потребує коментарів.

По-перше, він значно ширше, ніж це випливає з того, що раніше було названо "системою внутрішнього контролю", але в той же час узгоджується (з урахуванням функції "ж") з тим, що СВК "зобов'язана здійснювати перевірки в усіх напрямках діяльності кредитної організації. Об'єктом перевірок є будь-який підрозділ і службовець кредитної організації "(подп. 4.10.1 Положення ЦБ РФ № 242). У цьому бачиться певна внутрішня суперечність документа.

По-друге, перераховані функції умовно можна розділити на дві групи: переважно організаційно-методичні (функції "а", частково "б" і "в", "е", "з", "і") і власне контрольні (інші функції ). Але перші - це скоріше прерогатива служби внутрішнього аудиту (контроль інструментарію і технологій контролю). Що стосується другої групи названих функцій, то тут ситуація зовсім інша. Так, відповідно до функцій "г" і "л" СВК повинна постійно перевіряти, чи правильно виконують свої обов'язки бухгалтерія та відділ кадрів банку, функція "ж" передбачає, що співробітники СВК повинні весь час екзаменувати працівників функціональних підрозділів банку на професійну придатність. Уявити собі, як все це могло б виглядати на практиці, складно.

Питання про те, чи потрібна в комерційних банках система внутрішнього контролю, не ставиться під сумнів. Виникає інше питання - що саме слід розуміти під "внутрішнім контролем у банках" і як його будувати.

Актуальність проблеми внутрішнього контролю завжди визнавалася банківським співтовариством. Практика повсякденної роботи, спрямованої на мінімізацію своїх ризиків, привела російські банки до усвідомлення необхідності створення в тій чи іншій формі систем внутрішнього контролю. Законодавчо закріплений контроль з боку власників через загальні збори, раду та ревізійну комісію банку. Виконавче керівництво (правління) зобов'язана постійно вести оперативний контроль за всією діяльністю банку. Є головний бухгалтер і підлеглі йому співробітники. Кожен структурний підрозділ банку відповідно до закону і нормативними актами зобов'язане вести внутрішній контроль за здійснюваними операціями. Такий контроль і його процедури передбачені в посадових інструкціях відповідальних виконавців, керівників підрозділів. Видачу кредитів позичальникам контролює кредитний комітет . Існують, як правило, служба безпеки (перевірки позичальників) та різні аналітичні підрозділи. Існують внутрішній і зовнішній аудит. Нарешті, сам Банк Росії має право перевіряти (контролювати) роботу будь-якого банку.

Цій складній сукупності контрольних органів не вистачає тільки одного - якості контролю. А низька якість контролю, в свою чергу, обумовлено низькою якістю управління діяльністю банків.

На думку Банку Росії, проявився ще в Положенні ЦБ РФ від 1997 № 509, проблема полягала в тому, що банки не мали чітких формалізованих орієнтирів при формуванні систем внутрішнього контролю, а інспектори ЦБ РФ, перевіряючи той чи інший банк, не мали нормативно закріпленими критеріями оцінки ефективності внутрішньобанківського контролю. Це і послужило поштовхом до прийняття Положення ЦБ РФ № 509. Зазначений документ був свідченням того, що проблема слабкого банківського менеджменту досягла такого високого рівня розуміння усіма зацікавленими сторонами, що Центробанк Росії зробив неординарну спробу Росії поліпшити його за допомогою введення нового механізму контролю. Однак спроба виявилася недостатньо продуманою.

Банк Росії фактично спробував створити як би додаткову, щодо автономну контрольну службу, "вписавши" її, як міг, в уже діяли банківські структури, в яких функція контролю формально визначена і повинна і може здійснюватися. Поклавши на цю окрему службу рішення всіх завдань внутрішнього контролю, Банк Росії спочатку допустив концептуальні помилки: по-перше, підійшов до проблеми якості внутрішнього контролю автономно, тобто без належної її ув'язки з більш загальною проблемою внутрішньобанківського управління; по-друге, поставив перед банками не дійсно важливе завдання доведення формально існуючих систем внутрішнього контролю до працездатного стану, а завдання зовсім іншого роду - сформувати СВК, яка своєю появою тільки заплутувала все.

У зв'язку з цим нагадаємо, що в наданих раніше документі Базельського комітету йдеться саме і тільки про систему внутрішнього контролю, багаторазово підкреслюється, що в даній роботі повинні брати участь всі підрозділи і служби, керівництво і всі інші співробітники банків. Тим часом варіант Банку Росії фактично ототожнював всю систему такого контролю зі службою контролю, яка дублює функції відповідальних виконавців і тим самим заважає їм виконувати свої функції, знижує відповідальність, ініціативність та оперативність роботи інших підрозділів і їх співробітників, оскільки вони повинні узгоджувати свої дії з СВК , що не тільки забирає дорогий час, але суперечить основоположним принципам науки управління, яка передбачає чіткий розподіл повноважень і відповідальності між посадовими особами, які працюють на різних рівнях управління, і, нарешті, фактично виключає з внутрішнього контролю рядових працівників банків.

Контроль - лише елемент, частина управління; він повинен органічно вписуватися в систему управління, а не виступати в якості самоцілі і доповнення до неї. Коли таке відбувається, страждає якість управління. Штучне "вбудовування" СВК, що стоїть окремо від поточної діяльності і відповідальності банку, здатне зруйнувати природну систему управління і внутрішнього контролю. Конфліктність ситуації тут просто запрограмована.

Отже, без явної користі для справи створюється цілий штат "контролерів". Мало того, в запропонованій Банком Росії схемі не була передбачена ніяка відповідальність ні СВК в цілому, ні окремих її співробітників за свої дії або бездіяльність. Таким чином, помилкою Банку Росії виявилося покладання на СВК надмірно великого обсягу операційних функцій на шкоду її аналітичної та методичної ролям.

Положення ЦБ РФ № 242 не копіює норми колишнього Положення № 509 (в ряді моментів про це можна тільки шкодувати). Проте в ньому значною мірою збережена основна ідеологія останнього, що виявляється саме в дорогому дублювання контрольних функцій, в контролі над контрольними органами, в тому числі вищими для даної організації. Ця ключова проблема, як видається, не знайшла прийнятного рішення.

Відповідно до Положення ЦБ РФ № 242 банк зобов'язаний забезпечити сталість діяльності, незалежність і неупередженість СВК, професійну компетентність її керівника і службовців, створити умови для безперешкодного і ефективного здійснення службою внутрішнього контролю своїх функцій.

СВК повинна складатися із службовців, що входять в штат банку (в документі не уточнено, чи можуть керівник і співробітники СВК займатися в банку будь-якої іншою роботою, крім контролю). При цьому не допускається передавати функції СВК банку сторонньої організації. Тільки банк, що входить в банківську групу, при певних умовах може передати окремі функції своєї СВК (але не відповідальність за їх реалізацію) службу внутрішнього контролю іншого банку, що входить в ту ж групу.

Незалежність СВК означає, зокрема, що вона діє під безпосереднім контролем ради директорів (наглядової ради), не веде ніякої діяльності, що підлягає перевіркам (крім перевірок з боку аудиторської організації або ради директорів), за власною ініціативою доповідає раді директорів про питання, що виникають в Під час виконання СВК своїх функцій, і пропозиції щодо їх вирішення, а також розкриває цю інформацію одноосібного і колегіального виконавчого органу КО.

Керівник і службовці СВК не має права брати участь в проведенні банківських операцій та інших угод, підписувати від імені банку платіжні (розрахункові) і бухгалтерські документи, а також інші документи, відповідно до яких банк приймає ризики, або візувати такі документи.

Як уже зазначалося, в Положенні № 242 записано, що СВК зобов'язана перевіряти будь-який підрозділ і будь-якого співробітника в усіх напрямках діяльності банку, включаючи перевірки ефективності заходів, прийнятих підрозділами і органами управління за результатами первинних перевірок заходів, що забезпечують зниження рівня виявлених ризиків, або документування прийняття керівництвом підрозділу і (або) органами управління рішення про прийнятність виявлених ризиків для банку. Якщо, на думку керівника СВК, керівництво підрозділу і (або) органи управління взяли на себе ризик, який є неприйнятним для банку, або прийняті ними заходи неадекватні рівню ризику, то керівник СВК зобов'язаний проінформувати про це рада директорів банку.

Не рідше одного разу на півроку СВК представляє інформацію про вжиті заходи щодо виконання рекомендацій СВК і усунення виявлених нею порушень раді директорів, одноосібного виконавчому органу (його заступникам) і (або) колегіальному виконавчому органу банку.

До Положення № 242 є додатки. Зокрема, в додатку 3 названі такі способи (методи) перевірок, які може застосовувати СВК:

  • • фінансова перевірка (мета - оцінка надійності обліку та звітності);
  • • перевірка дотримання законодавства РФ (банківського, про ЦБ РФ, з питань протидії легалізації доходів, отриманих злочинним шляхом, про податки і збори і ін.) Та інших актів регулюючих і наглядових органів, внутрішніх документів банку і встановлених їм методик, програм, правил, порядків і процедур (мета - оцінка якості та відповідності створених в банку систем забезпечення дотримання вимог законодавства РФ та інших актів);
  • • операційна перевірка (мета - оцінка якості та відповідності систем, процесів і процедур, аналіз організаційних структур і їх достатності для виконання покладених функцій);
  • • перевірка якості управління (мета - оцінка якості підходів органів управління, підрозділів та співробітників банку до ризиків і методам контролю за ними в рамках поставлених цілей діяльності банку).

Нарешті, не можна не відзначити, що в даному Положенні ЦБ РФ № 242:

  • • не прописані принципи організації внутрішнього контролю (в Положенні № 509 1997 р називалися певні принципи, хоча деякі з них були спірними);
  • • не виділені окремо цілі і завдання внутрішнього контролю (в Положенні № 509 вони поділялися, хоча зроблено це було не кращим чином);
  • • зникли поняття фінансового та адміністративного контролю, контролю попереднього, поточного і наступного, а також контролю на трьох рівнях - індивідуальному (рівень співробітника), мікро- та макрорівні.

  • [1] В інших своїх документах Банк Росії рекомендував комерційним банкам подумати про створення підрозділів (призначення спеціальних службовців), які б відповідали за управління так званими правовим ризиком, ризиком втрати ділової репутації банку і операційним ризиком (насправді це не ризики, а чинники ризиків).
 
< Попер   ЗМІСТ   Наст >