В организационном аспекте ведущими целями службы внутреннего контроля по традиции являются обнаружение нарушений регламентов и правил и выявление нарушивших режим, в то же время цель эффективной системы внутреннего контроля — распознавать и адекватно реагировать на риски. В статье излагаются основы методики построения риск-ориентированного внутреннего контроля.

Совершенствование функционирования системы внутреннего контроля, приведение ее в соответствие с характером и масштабом осуществляемых банком операций позволяет повысить уровень управления и эффективность банковской деятельности. Развитие теории и практики риск-менеджмента в банковском деле позволяет минимизировать потери банка в отдельных случаях, но не гарантирует безубыточного «светлого завтра», что подтверждают оглушительные банкротства кредитно-финансовых учреждений на протяжении последних двенадцати месяцев. Печальные примеры этих банкротств не останавливают остальных участников кредитно-финансового рынка в стремлении к максимизации доходов. Основным ограничением такого стремления является внутренний контроль — процесс, осуществляемый руководством и всеми сотрудниками организации и созданный для предоставления собственникам разумных гарантий (разумной уверенности), что кредитной организацией будут достигнуты поставленные ими цели в области:

- результативности и эффективности деятельности (в том числе сохранности активов);

- достоверности и полноты ее отчетности;

- соответствия ее деятельности законодательству и правилам.

Таким образом, функционирование системы внутреннего контроля снижает риски потери активов, способствует обеспечению достоверности финансовой отчетности и соблюдению требований законодательства. В организационном аспекте ведущими целями службы внутреннего контроля по традиции являются обнаружение нарушений регламентов и правил и выявление нарушивших режим, в то же время цель эффективной системы внутреннего контроля (СВК) — распознавать и адекватно реагировать на риски. Цель внутреннего аудита — предоставлять разумные гарантии (уверенность), что внутренний контроль работает эффективно. В целом СВК отвечает не за внутренний контроль, а за его независимую оценку и помощь руководству в его совершенствовании.

При ограниченности ресурсов достижение этой цели возможно только путем применения риск-ориентированного подхода. Концепция риск-ориентированного внутреннего контроля, основанного на определении и мониторинге уровня риска, приемлемого для кредитной организации, предполагает передачу на все уровни управления, во все подразделения ответственности за идентификацию рисков и их оценку. Процессы контроля, ограничивающие риск, должны быть встроены в бизнес-процессы.

На сегодняшний день можно отметить два подхода в работе системы внутреннего контроля.

1. Работа в традиционной модели:

— стандарт — нормативные акты и внутренние регламенты;

— акты проверок СВК — отчеты о проделанной работе и выявленных нарушениях;

— план мероприятий готовит СВК, согласовывает в распоряжении;

— «краткий отчет» для руководства с перечнем наиболее серьезных нарушений;

— нерегулярный контроль исполнения распоряжений.

2. Работа в новой модели:

— стандарт — приемлемость уровня риска, обеспеченного системами внутреннего контроля (в том числе риска несоответствия законодательству);

— по каждому выявленному факту проводится анализ уязвимости системы контроля, информируется руководство (прилагаются перечень фактов, оценка рисков и рекомендации СВК);

— факты и выводы подтверждаются банковским бизнесом, план действий готовит подразделение, заинтересованное в уменьшении риска;

— СВК готовит итоговый отчет с ключевыми проблемами, оценивает адекватность предложенных действий и выпускает согласованное с зампредами распоряжение с планом действий;

— ежемесячный контроль выполнения плана действий.

Работа в традиционной модели

При проведении проверки отдельных операций традиционного внутреннего контроля в кредитной организации, в том числе во внутренних структурных подразделениях кредитной организации, дается оценка:

- соблюдения внутренних методик, программ, правил, порядков и процедур, а также установленных лимитов;

- достоверности, полноты и объективности систем учета и отчетности, сбора, обработки и хранения иных сведений в соответствии с законодательством Российской Федерации;

- надежности установленных и применяемых кредитной организацией отдельных способов контроля в части организации системы внутреннего контроля в кредитной организации в отношении операций и сделок, осуществляемых кредитной организацией.

В вопросах оценки системы внутреннего контроля при традиционном подходе принято ориентироваться на соответствие созданной системы органов внутреннего контроля положениям, предусмотренным уставом, внутренними документами кредитной организации о составе, порядке их образования и полномочиях.

В частности, необходимо установить, имеет ли кредитная организация внутренние документы, определяющие:

- порядок организации системы внутреннего контроля, включая структуру и содержание системы внутреннего контроля;

- порядок и процедуры осуществления внутреннего контроля;

- порядок мониторинга системы внутреннего контроля советом директоров, исполнительными органами кредитной организации.

Рассмотрим, например, процедуру традиционного контроля системы управления информационными технологиями (IT) в кредитной организации. Функционирование указанной системы должно быть регламентировано следующими документами.

1. Политика кредитной организации в области применения и управления IT.

1.1. Распорядительные и нормативно-методические документы в области управления IT.

1.2. Приказ о назначении, а также должностная инструкция и (или) иные распорядительные документы, определяющие круг обязанностей лица, отвечающего за управление IT.

1.3. Положение о подразделении и иные документы, регламентирующие деятельность службы автоматизации.

1.4. Штатное расписание, приказы о назначении, личные дела и должностные инструкции руководителя и сотрудников службы автоматизации.

1.5. Планы работы службы автоматизации, а также отчеты службы автоматизации о проделанной работе.

1.6. Утвержденные руководством планы развития применяемых IT, а также порядок их доработки.

1.7. Протоколы совещаний органов управления кредитной организации, посвященные управлению и перспективам развития применяемых IT.

1.8. Отчеты о выполнении планов развития применяемых IT.

2. Приказы о назначении, распоряжения и должностные инструкции, определяющие обязанности лиц, ответственных за функционирование и использование информационных активов (администраторов аппаратно-программных средств и информационных ресурсов).

3. Внутренние реестры, паспорта, иные документы, отражающие учет информационных ресурсов кредитной организации — аппаратных средств, программных средств (системного и прикладного уровня), установленных на ЭВМ, а также иных информационных ресурсов.

4. Отчеты (на бумажном носителе либо в виде электронных журналов), отражающие результаты контроля нагрузки и режимов функционирования информационных активов.

5. Прогнозы будущих потребностей кредитной организации в аппаратно-программных мощностях.

6. Документы, формируемые на стадиях жизненного цикла автоматизированной банковской системы (АБС).

6.1. Тактико-техническое задание (заявка на разработку АБС).

6.2. Техническое задание на создание АБС.

6.3. Документация на АБС и ее составные части.

6.4. Протоколы предварительных испытаний (тестирования) АБС.

6.5. Протоколы опытной эксплуатации АБС.

6.6. Протоколы приемочных испытаний АБС.

6.7. Внутренние документы (журналы) мониторинга функционирования и настройки АБС.

6.8. Документы по результатам сопровождения АБС со стороны разработчика.

6.9. Документы, обеспечивающие проведение работ по модернизации АБС.

7. Внутренние документы, регламентирующие проведение технического обслуживания оборудования, включая отчеты о проведении регламентных работ по техническому обслуживанию оборудования.

8. Внутренние документы, определяющие порядок реагирования на инциденты (сбои) в процессе эксплуатации аппаратно-программных средств кредитной организации, включая отчеты, составляемые по результатам устранения последствий, а также анализа произошедших инцидентов (сбоев) и нарушения работоспособности аппаратно-программных средств.

9. Документы, определяющие порядок действий пользователей АБС при проведении тех или иных операций, а также при возникновении инцидентов (сбоев) в процессе эксплуатации АБС.

10. Отчеты или иные документы о мероприятиях по подготовке персонала, эксплуатирующего АБС.

11. Документы, свидетельствующие о повышении квалификации, а также проведении проверок уровня подготовленности сотрудников, эксплуатирующих АБС.

12. Лицензионные соглашения и договоры с разработчиками и поставщиками аппаратно-программных средств, используемых кредитной организацией.

13. Внутренние документы, устанавливающие порядок обновления текущих версий программных средств, а также протоколы (отчеты), подтверждающие исполнение установленных данными документами требований.

Соответственно, оценка качества состояния системы управления IT будет строиться в зависимости от полноты ответов на нижеперечисленные вопросы.

1. Наличие разработанного документа (документов) — политики кредитной организации в области управления IT, в которой отражаются:

— цели и задачи деятельности кредитной организации в области IT;

— определение системы управления IT, включающей должностных лиц, ответственных за разработку и реализацию политики управления IT;

— формализация процедур планирования развития применяемых кредитной организацией IT;

— закрепление мер по соблюдению требований действующего законодательства, в том числе по защите интеллектуальной собственности (использование только официально приобретенных программных средств, отказ от использования незаконно полученного программного обеспечения, соблюдение требований лицензионных соглашений и т.п.).

2. Наличие в организационно-штатной структуре кредитной организации лица, ответственного за управление IT, документарное отражение. Следует обратить внимание:

— на статус указанного лица (рекомендуемый уровень — заместитель лица, исполняющего функции единоличного исполнительного органа кредитной организации);

— подотчетность указанного лица совету директоров (наблюдательному совету), единоличному и коллегиальному органам управления кредитной организации;

— персональную ответственность (на предмет возможного наличия областей применения IT кредитной организации, не входящих в зону его ответственности, а также возможного столкновения/конфликта интересов).

3. Деятельность службы автоматизации кредитной организации, при этом учитываются:

— организационно-штатная структура и персональный состав подразделений службы автоматизации кредитной организации, профессиональный уровень ее сотрудников, формальность и четкость закрепления за ними обязанностей и разделения ответственности, а также текучесть кадров сотрудников службы автоматизации;

— наличие в службе автоматизации кредитной организации сотрудников, отвечающих за взаимодействие с внешними поставщиками информационно-технологических услуг, их статус и формальность закрепления за ними соответствующих обязанностей и ответственности;

— периодичность (наличие графика подготовки) отчетов о своей деятельности службы автоматизации кредитной организации.

4. Планирование деятельности кредитной организации в области IT, при этом учитываются:

— наличие планов развития применяемых кредитной организацией IT;

— периодичность разработки планов в соответствии с политикой управления IT;

— периодичность проведения совещаний с участием высших органов управления кредитной организации, на которых рассматриваются вопросы управления и развития применяемых в кредитной организации IT;

— наличие формализованных процедур внесения изменений (корректировки) в планы развития применяемых в кредитной организации IT;

— регулярное рассмотрение и утверждение со стороны высших органов управления кредитной организации отчетов о выполнении планов развития применяемых IT.

Обобщающая оценка ответов на эти вопросы в рамках процедур по инициативе подразделений банка или по требованию регулятора есть формальная регламентация деятельности, основанная на реакции на события независимо от уровня рисков, а работа службы внутреннего контроля — проверка соответствия нормативным и внутренним регламентам, нацеленная на поиск нарушений.

Объекты управления и контроля в подходе, основанном на оценке рисков

Переход к риск-ориентированному подходу дает быстрый и доказательный результат. В основе перехода от традиционной к риск-ориентированной модели лежат методологические процедуры формирования СВК, в частности, разработка методологии по оценке риска в банке, включающая:

1) определение проверяемых (контролируемых, аудируемых) объектов;

2) определение факторов риска;

3) привязку проверяемых (контролируемых, аудируемых) объектов к бизнес-процессам;

4) методологию присвоенных рейтингов (баллов) факторам риска;

5) методологию определения уровня риска по проверяемым (контролируемым, аудируемым) объектам;

6) разработку программы по оценке риска;

7) обсуждение и координацию методологии оценки рисков с подразделениями банка;

8) разработку внутреннего документа, включающего методологию оценки риска для целей СВК (департамента внутреннего аудита);

9) подготовку инструкции по работе с программой по оценке рисков для сотрудников СВК (департамента внутреннего аудита).

Объекты управления и контроля в коммерческом банке условно можно объединить в две группы: ресурсы и виды деятельности.

Ресурсы банка:

- финансовые и материальные ресурсы — предметы труда, предназначенные для использования в процессе деятельности при помощи средств труда;

- основные фонды — средства труда (машины, оборудование, производственные здания и т.д.), их состояние и использование;

- нематериальные активы — объекты долгосрочного вложения (право пользования землей, стандарты, лицензии и т.д.), их состояние и использование;

- людские ресурсы — персонал, использующий средства труда для осуществления деятельности банка.

Виды деятельности банка:

- продажа банковских продуктов (услуг) — маркетинговые исследования и операции по формированию рынка банковских продуктов (услуг); операции, содействующие росту объема услуг, начиная от рекламы продукта и заканчивая установлением прямых связей с клиентами; контроль качества услуг;

- операционное обслуживание — процессы, обусловленные технологией обслуживания клиентов и состоящие из основных и вспомогательных операций; операции по совершенствованию банковских продуктов (услуг) и разработке новых;

- финансовый менеджмент — управление финансовыми средствами, денежными потоками, обеспечение проектов, а также маркетинговая деятельность, связанная с привлечением и размещением средств;

- обеспечение деятельности — создание организационной структуры кредитной организации, вычленение функциональных отделов и служб; организация информационной системы, отвечающей требованиям внутренних коммуникационных связей между структурными подразделениями, разными уровнями управления, соответствующей функциям планирования, контроля, оценки выполнения плана, стимулирования; операции координирования действий внутренних исполнителей, направленных на выполнение основной цели банка;

- управление филиалами и отделениями — как специализированная форма финансового менеджмента.

Для выполнения определенных обязанностей и функций в кредитной организации создается управленческая структура, то есть аппарат управления. Под структурой управления понимается состав звеньев и уровней (ступеней) управления, их взаимосвязь и подчиненность.

Каждый сотрудник банка должен понимать, что ожидается от него, какими полномочиями он обладает, какими должны быть его взаимоотношения с другими служащими. Этого можно достичь с помощью представленной в виде схемы управленческой структуры кредитной организации, дополненной положениями, соответствующими справочниками (инструкциями), технологическими картами и должностными обязанностями.

При рационализации системы управления, в том числе и при внедрении риск-ориентированной системы контроля, рекомендуется построить схему структуры кредитной организации с системой внутренних взаимосвязей. При построении таких схем необходимо учитывать следующее:

- схема дает лишь общие контуры структуры организации;

- она должна быть доступна для понимания, содержать минимальное количество деталей;

- не существует стандартных построений организационной структуры, каждый банк имеет свои особенности. Схема должна отражать реальную структуру банка и не являться своего рода теоретическим стандартом. Как правило, если схему структуры трудно составить, то причина может заключаться в том, что сама организация дефектна, то есть с течением времени ее структура стала неэффективной, громоздкой, а линии взаимоотношений исказились.

Позитивная сторона построения схемы кредитной организации заключается в том, что существующая и якобы устоявшаяся структура организации подвергается тщательному анализу на предмет обнаружения накладок полномочий, недостаточно управляемых звеньев банковского процесса и т.п. Кроме того, схема позволяет выделить линии взаимозависимости и отношений внутри кредитной организации.

Недостатком использования схематичных построений является их статичность. Схема строения кредитной организации быстро устаревает. Она отражает организацию в определенный момент времени, в этом смысле она статична. Но так как бизнес динамичен, то, несмотря на то что основная структура кредитной организации остается неизменной в течение длительного времени, в рамках этой структуры возникает много изменений (например, кадровых), что, естественно, требует внесения определенных замен и дополнений.

Также в схеме не отражаются неформальные отношения, что снижает ее практическую значимость. Излишнее увлечение схемами приводит к бюрократизму, так как они по существу негибки и отражают устойчивые каналы взаимоотношений, не указывая на наиболее рациональные, короткие связи, которые нередко возникают в процессе деятельности кредитной организации.

Наконец, довольно часто возникают сложности в представлении об уровнях значимости. Неправильное впечатление может возникнуть в результате чтения схемы, где на одной горизонтальной линии показаны несколько менеджеров, что якобы подразумевает их одинаковый статус. Поэтому иногда довольно затруднительно с требуемой точностью обозначить реальные отношения, разную значимость должностей и положений. Для упорядочения этого процесса в банке необходимо иметь общее руководство (справочник) по организационному построению банка или отдельные справочники (инструкции), которые содержат перечень должностей с их подробным описанием (часто в форме описания служебных обязанностей, взаимоотношений, полномочий, соответствующих принципов и практики).

Распределение обязанностей означает определение масштаба полномочий и меры ответственности по каждой должности, обозначенной на схеме. В документе «Распределение обязанностей» должны содержаться следующие положения: название должности; департамент, управление, отдел, в котором имеется эта должность; уровень положения; описание выполняемых функций, обязанностей и прав; взаимоотношения с руководством, коллегами и подчиненными; число подчиненных, их особенности; должность непосредственного руководителя; особые полномочия (обязанности); ограничения в полномочиях (например, возможность действовать по своему усмотрению, определение величины размещаемых самостоятельно денежных средств).

Выбор организационных структур, отличающихся степенью централизации, зависит от размеров и финансовой устойчивости банка, а также от внешних условий. Выбор рациональной степени централизации деятельности для каждого банка свой. Каждая из структур, отличающаяся степенью централизации, имеет свои преимущества и недостатки, которые необходимо учитывать при делегировании полномочий нижестоящим звеньям управления. Нижестоящие звенья банка всегда (и вполне справедливо) стремятся к большей степени децентрализации, поскольку снизу, в непосредственном контакте с клиентами, лучше видны все недостатки и наиболее перспективные направления менеджмента.

Четкое разграничение функций центра и низовых элементов управления наилучшим образом уравновешивает интересы структурных подразделений и банка в целом. Децентрализация управления банком зависит от компьютеризации, включения в сети глобальных информационных систем и др., развития системы контроля кредитных рисков, квалификации банковских работников и т.д. Наиболее рациональным способом диверсификации банковского обслуживания является создание банком конгломерата дочерних структур.

Практически все организационные изменения должны быть направлены на повышение качества обслуживания клиентуры, расширение рынка, увеличение объемов совершаемых операций и введение новых, более совершенных технологий и методов работы, а это, в свою очередь, требует соответствующей переподготовки персонала.

Изменения в структуре банка, связанные с расширением сферы деятельности и предложением новых продуктов, сопровождаются, как правило, введением в штат новых специалистов по отдельным отраслям банковской и других видов деятельности. Однако любое изменение в штате банка способно нарушить устоявшийся процесс коммуникаций и координацию деятельности отдельных служб. Интенсивное освоение все новых видов банковских продуктов и услуг сопровождается значительным увеличением штата сотрудников банка и проблемами в координации и управлении деятельностью многочисленных подразделений банка.

С другой стороны, изменения ситуации на рынке финансовых услуг, активность конкурентов приводит к необходимости новых структурных перестроек, что может быть связано с необходимостью сокращения штата. В этих условиях любая структурная перестройка будет ассоциироваться у банковских служащих с возможным сокращением штата. Из-за отсутствия заинтересованности служащих в структурных изменениях организационная структура может потерять свое важнейшее свойство — гибкость.

Базисными принципами формирования системы внутреннего контроля являются:

1) разделение обязанностей. Ответственность между служащими распределяется таким образом, чтобы ни один человек не отвечал за операцию в целом. Главная идея здесь заключается в том, что тот, кто разрешает операцию, не должен быть также ответственен за участвующие в ней денежные средства банка;

2) разрешение и одобрение. Эти процедуры должны обеспечить одобрение всех операций ответственными официальными лицами в пределах тех объемов средств, на которые каждое из официальных лиц имеет полномочия. Суть в данном случае состоит в том, что работа каждого лица настолько, насколько это возможно, проверяется другим лицом без какого бы то ни было дублирования;

3) физический контроль — контроль доступа к активам и документам. Эта система контроля может оказаться сложной. Для того чтобы управлять ею, правление банка должно иметь план функционирования и схему организации (с выделением обязанностей различных официальных лиц). Схема должна исключать любые неопределенности, которые могут привести к разночтениям. Без такой ясности результатом может оказаться либо отсутствие контроля, либо бесполезное дублирование. Кроме того, закрепив ответственность за индивидуальными лицами, можно выявить пути делегирования полномочий сверху вниз через все уровни иерархии управления банка и соответствующие пути обратного движения информации.

Коммерческий банк представляется как трехуровневая организационная система1 (рис. 1).

1.jpg

Рис. 1. Иерархия внутренней отчетности

При принятии решения на высшем уровне управления анализируется текущая информация — внутренняя и внешняя2, тенденции, выявленные в результате анализа информации текущего периода, последствия, которые могут возникнуть в результате принятия решений государственных органов. На этом же уровне управления разрабатываются и корректируются концепции, планы перспективного развития банка, контролируется их реализация. Все разрабатываемые концепции и планы должны быть увязаны между собой по целям и срокам, ресурсам и исполнителям (рис. 2).

Информационное обеспечение СВК

2.jpg

Примечание: информационное обеспечение: вверх - информация о состоянии контроля, вниз - о целях и их выполнении.


Рис. 2. Информационное обеспечение СВК

Для того чтобы контрольная информация могла оказывать влияние на решения пользователей, необходимо ее соответствие определенным характеристикам или желаемым качествам. В частности, информация должна быть уместной, доступной для понимания, своевременной, надежной и постоянной.

 


1 - Высший уровень управления: собрание акционеров, совет банка, правление, председатель правления и его заместители. Второй уровень (средний уровень управления): департаменты и управления головной конторы банка, руководство филиалов и отделений. На этом уровне управления обеспечивается текущая (операционная) деятельность банка. Третий уровень — уровень непосредственных исполнителей управленческих решений: сотрудники банка. Этот уровень условно можно назвать «уровнем предоставления услуг», который является чисто производственным и в организации управления не участвует, но сильно зависит от старших уровней.

2 - Внешняя информация по отношению к банку включает: новые законодательные и нормативные документы, регламентирующие хозяйственную деятельность, экономику и финансы в государстве; тенденции развития народного хозяйства и отдельных его отраслей; перспективы экономики в регионах; общее состояние банковского дела; решения руководства государства во внутренней и внешней политике. Внутренняя банковская информация включает информацию о реализации решений по стратегическим направлениям развития банка, о финансовом и хозяйственном положении банка и его подразделений, о состоянии кадровой работы.

Ю.Н. Юденков, главный редактор журнала «Внутренний контроль в кредитной организации»

Окончание следует.