Концепция ориентированного на риск внутреннего контроля - идеал, к которому нужно стремиться
"Внутренний контроль в кредитной организации", 2014, N 4
Как выглядит концепция ориентированного на риск внутреннего контроля и при каких условиях система может быть признана эффективной? Как распределить обязанности и полномочия между подразделениями банка - владельцами рисков, внутренними аудиторами, риск-менеджментом? Как при этом не допустить формального подхода к организации внутреннего контроля и аудита?
"До сих пор в организации надзора есть проблема некоторого формализма: банк соответствует всем формальным требованиям, притом что в реальности там может быть сложная ситуация... И то, что в надзоре мы видим проблемы постфактум, когда уже все случилось, а не опережающим образом. Поэтому надзор нужно усиливать и укреплять" <1>.
<1> Председатель Банка России Э.С. Набиуллина.Регулятор потребовал изменить организационную структуру внутреннего контроля
Указанием от 24.04.2014 N 3241-У "О внесении изменений в Положение Банка России от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" Банк России потребовал от банков не только пересмотреть методические подходы к оценке системы управления рисками и внутреннего контроля, но и изменить его организационную структуру. Банки, которые проигнорируют внесенные в июне и вступившие в силу 1 октября 2014 г. правила о внутреннем аудите и контроле, ждут штрафы (до 0,1% минимального уставного капитала) и ограничение операций на срок до шести месяцев.
Насколько банки смогут обеспечить подобного рода преобразования при текущей непростой экономической ситуации и серьезных проблемах, на решение которых в настоящее время брошены основные силы, покажет время. Давайте вспомним, какую же новацию потребовал ввести регулятор, обсудим, с какой проблематикой столкнулись банки в рамках реализации этой задачи и как можно подойти к ее решению в целом. Изменения в Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П) коснулись системы внутреннего контроля, порядка оценки регулятором качества систем внутреннего контроля, а также особенностей осуществления Банком России надзора за соблюдением указанных требований. Так, в банках с активами свыше 50 млрд руб. и вкладами физических лиц свыше 10 млрд руб. в 2014 г. должны были появиться уполномоченные представители регулятора и создана служба внутреннего аудита, которая, в свою очередь, обязана минимум раз в три года проводить проверки структурных подразделений и сделок. Головная организация банковской группы должна нести ответственность за соблюдение норм внутреннего аудита всеми ее участниками, обеспечивая единство их подходов к организации внутреннего контроля.
Вводя данные изменения, регулятор планомерно движется к поставленной цели - реализации подходов, декларированных Базельским комитетом по банковскому надзору (БКБН). Предполагается, что служба внутреннего аудита, являющаяся важной частью корпоративного управления, станет как для регулятора, так и для совета директоров отдельно взятого банка, а также для них обоих в рамках взаимодействия в ходе надзорных проверок ориентиром и источником информации о качестве системы внутреннего контроля. В целях реализации вышеуказанного тезиса особое значение имеют квалификация аудиторов и используемые ими принципы и методы аудита, направленные на выявление проблем в корпоративном управлении, риск-менеджменте и внутреннем контроле. В этом смысле совет директоров банка заинтересован, чтобы аудиторы использовали самые современные профессиональные стандарты, кроме того, БКБН рекомендует совету директоров всячески способствовать этому, укрепляя тем самым функции внутреннего аудита.
Не превратить контроль в самоцель!
По словам вице-президента Ассоциации региональных банков России Алины Ветровой, соблюдение новых требований повлечет за собой увеличение численности персонала в этой сфере, которое банки будут вынуждены компенсировать снижением стоимости, а следовательно - снижением квалификации сотрудников. Полноценно обе службы - внутреннего контроля и внутреннего аудита - смогут заработать только при условии существенного увеличения расходов на персонал, который не приносит доходов, что в текущей экономической ситуации для ряда банков может оказаться непосильной ношей. В итоге можно получить обратный эффект - переход к формальному соблюдению требований: составлению многочисленных отчетов и записок, что негативно отразится на качестве работы в обоих направлениях, считает А. Ветрова. При этом, если внимательно изучить новую редакцию Положения N 242-П, станет очевидно, что для того, чтобы выполнять заложенный в нем функционал, сотрудники должны обладать очень высоким профессиональным уровнем в разных аспектах банковской деятельности и обширными правовыми знаниями <1>.
<1> http://izvestia.ru/news/577442#ixzz3GK659hQg."Дублирования в работе этих служб нет и не будет, если четко понимать разницу между внутренним контролем и аудитом. А разница существенная и заключается в том, что основной задачей службы внутреннего контроля является проведение работы по минимизации риска применения санкций со стороны надзорных органов. Внутренний же аудит - это инструмент акционера и совета директоров, позволяющий в любой момент получить срез о качестве контрольной среды (системы) в ключевых бизнес-процессах кредитной организации и предпринять необходимые действия в случае выявления существенных рисков и недостатков, чтобы избежать высоких потерь (финансовых, репутационных) в будущем", - считает заместитель руководителя службы внутреннего аудита БИНБАНКа Александр Наборщиков.
Как отмечает директор по рынкам капитала ПАО "Восточный Экспресс банк" Виктор Тимотин, требуется несколько месяцев на создание службы внутреннего аудита: процесс требует найма людей, изменения уставных и учредительных документов, внедрения новых процедур и политик.
Директор по методологии агентства "Рус-Рейтинг" Елена Николаенко предполагает, что на первых порах многие банки будут довольно формально подходить к вопросу организации внутреннего контроля. В любом случае многие банки постараются создать хотя бы видимость функционирования служб внутреннего аудита, приведение которых в соответствие будет проводиться позднее, считает она. Однако формальный подход может повлечь санкции, и они, по словам экспертов, являются довольно серьезными. Например, ограничение операций на полгода может привести к тому, что за это время банк, отрезанный от одного из своих ключевых направлений, может очень быстро кануть в Лету, считает старший аналитик ИГ "Норд-капитал" Сергей Алин.
Проблематика задачи очевидна, но глаза боятся - руки делают. Риск-менеджмент, внутренний контроль и внутренний аудит должны принять форму организованной деятельности, каждая из которых имеет свои цели, принципы, функции и способы взаимодействия, параллельно необходимо изменять и управленческие процессы. При этом очень важно не превратить контроль в самоцель, когда из-за формального подхода и бюрократических процедур теряется сам смысл контроля и управления рисками.
В частности, известен пример компании General Electric, которая в середине XX в. была близка к банкротству: в тот момент порядка 70% из ста тысяч сотрудников компании занимались контролем друг над другом. Сейчас эта корпорация - один из эталонов организации системы внутреннего контроля, корпоративного управления и риск-менеджмента.
Попробуем разобраться, как наиболее рационально построить систему внутреннего контроля и аудита в процессе управления рисками.
Условия создания эффективной системы внутреннего контроля
Существуют взаимосвязи между корпоративным управлением, управлением рисками и внутренним контролем. Эффективное корпоративное управление предполагает, что риск учитывается при определении стратегии. В свою очередь, управление рисками опирается на эффективное корпоративное управление (т.е. поведение высшего руководства, риск-аппетит и допустимые пределы риска, культуру управления рисками и надзор за деятельностью по управлению рисками). Контроль и риск также взаимосвязаны, поскольку контроль определяется как "любые действия руководства, Совета и других сторон по управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач" <1>.
<1> Международные профессиональные стандарты внутреннего аудита.Для создания эффективной системы внутреннего контроля необходимо организовать процесс управления рисками в пределах уровня их допустимости, охватывающий внутренние и внешние риски, присущие деятельности отдельно взятого банка (с учетом его организационной структуры, характера и масштабов банковских операций, свойственных рисков, особенностей внешней среды и других факторов), таким образом, чтобы обеспечить разумные гарантии достижения поставленных целей и задач.
Чтобы запустить процесс изменений, прежде всего необходимы воля и согласованная работа топ-менеджеров и акционеров банка. Тем более что одним из основных постулатов БКБН является прямая ответственность как совета директоров (органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности), так и менеджмента (исполнительного органа банка и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля.
Есть и еще один сопутствующий организации процесса фактор: типичная человеческая реакция персонала банка, выражающаяся в определенном смысле противостоянием на сам факт того, что он находится под постоянным усиленным контролем. Такая реакция способствует формальным отпискам, нежеланию оказывать содействие и просто ощущению персонала, что усиленный контроль является излишним, мешая выполнять их повседневный функционал. В какой-то степени это так. Ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контроля в повседневную деятельность существенно изменяется как сам процесс работы банка, так и критерии оценки персонала <1>.
<1> Тихомиров А. Ориентируясь на риски, или Как оценивать внутренний контроль (http://www.iia-ru.ru/inner_auditor/publication/member_articles/tihomirov/).Разумеется, концепция ориентированного на риск внутреннего контроля - это идеал, к которому нужно стремиться банкам. Для достижения этой цели необходимо разработать эффективные стратегию и политику внутреннего контроля банка, в которых должны быть учтены и на постоянной основе актуализироваться все существенные аспекты, такие как:
- основные виды деятельности банка и связанные с ними риски;
- оптимальные уровни рисков, которые принимает на себя банк в разрезе его подразделений, и методы их контроля.
Реализация стратегии и политики внутреннего контроля банка должна быть направлена на создание необходимой инфраструктуры, позволяющей обеспечить эффективность контроля <1>:
- процедуры контроля реализуются на всех уровнях управления;
- осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам;
- обеспечивается встроенность мероприятий контроля в ежедневные операции банка;
- обеспечены разделение функционала и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей;
- учтены степень адекватности, полноты и достоверности внешних рыночных данных о событиях, которые могут повлиять на принятие решений;
- учтена адекватность, полнота и достоверность финансовой и управленческой отчетности;
- обеспечены соответствие операций действующему законодательству;
- обеспечены адресация и оперативность доведения необходимой информации до соответствующего персонала;
- обеспечено соответствие уровня и безопасность информационных систем, баз данных всем видам деятельности;
- проводится ежедневный мониторинг наиболее рискованных операций;
- проводится оценка влияния на операции каждого вида риска по отдельности и в целом с учетом существующих методов и мер контроля;
- проводится независимый всеобъемлющий внутренний аудит системы внутреннего контроля адекватно подготовленными и компетентными сотрудниками;
- обеспечены своевременное доведение до менеджмента и совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.
Распределение обязанностей и полномочий между подразделениями банка
При разработке функциональных требований к подразделениям банка нужно исходить из поставленных перед ними целей. Если подразделение относится к бизнесу, то есть генерирует риск, то его цель - осуществлять мониторинг рисков и выполнять мероприятия по их минимизации. Если подразделение оценивает риски, то его цель - объективно оценить и минимизировать риски и управлять ими. Целью внутреннего аудита являются независимая объективная оценка системы управления рисками и адекватности процедур внутреннего контроля, выявление причин, приведших к реализации риска. Разграничивая функции между службами внутреннего аудита и внутреннего контроля, Банк России указал, что служба внутреннего аудита будет проверять весь банк, все его подразделения на предмет того, каким образом они выполняют установленные внутренние процедуры. Служба же внутреннего контроля будет вести отдельную от внутреннего аудита работу, отслеживая риски несоблюдения банком законодательства, требований регулятора и иные регуляторные риски. Фактически это эквивалент того, что в международной практике называется службой комплаенса <1>.
<1> http://www.cbr.ru/publ/MoneyAndCredit/pozdishev_05_14.pdf.А вот в остальном ясности нет, и существует точка зрения, что функции службы риск-менеджмента и внутренних аудиторов дублируются. Общим между риск-менеджментом и внутренним аудитом является деятельность по оценке рисков, но внутренний аудит по требованию регулятора должен быть независим от менеджмента компании, а риск-менеджмент, несмотря на декларируемую независимость, все же является частью операционного бизнеса банка. Поэтому каждый из них будет использовать различные подходы.
Типовой функционал и полномочия должны быть не просто закреплены в нормативных документах банка - в них должны быть четко прописаны методы и конкретные действия подразделений, в том числе при взаимодействии друг с другом, иначе процедуры будут формальными. Безусловно, это большая системная работа по эффективной организации и укреплению систем управления рисками и внутреннего контроля и в целом корпоративного управления. Рекомендации и примеры вариантов принципов и методов работы каждого подразделения банка в зависимости от масштаба его деятельности - тема не одной статьи. Кроме того, есть еще и прочие нюансы, которые даже при наличии в банке подробной методологии могут привести к формальному подходу, например такие существующие практики, как типовой объем работ, жесткая привязка к цикличным аудитам, статичный план проверок, планирование на основе запросов заинтересованных лиц в ущерб независимой оценке рисков, объекты аудита, не связанные со стратегическими целями банка и пр. <2>.
<2> По данным исследований PwC.Я.Ю.Янова
Эксперт
в области риск-менеджмента
и корпоративного управления