Мониторинг системы внутреннего контроля
"Бухгалтерия и банки", 2015, N 1
В настоящей статье мы рассмотрим основные вопросы мониторинга системы внутреннего контроля банка, а также принятые Банком России изменения в Положении от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах". Надеемся, что статья поможет в разработке внутреннего нормативного документа по данному направлению.
Введем основные понятия
К основным понятиям системы внутреннего контроля банка относятся:
- внутренний контроль - деятельность, осуществляемая банком (его органами управления, подразделениями и сотрудниками) и направленная на контроль за всеми аспектами деятельности банка;
- система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, охватывающих вопросы организации деятельности подразделений банка, распределения полномочий и соблюдения ограничений, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством РФ, учредительными и внутренними нормативными и организационно-распорядительными документами банка. Система внутреннего контроля также включает в себя мониторинг внутреннего контроля, процедуры внутреннего контроля, осуществляемые субъектами внутреннего контроля в соответствии с их компетенцией;
- система органов внутреннего контроля - определенная учредительными и внутренними нормативными и организационно-распорядительными документами банка совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля;
- мониторинг внутреннего контроля - осуществляемое на постоянной основе наблюдение за организацией и осуществлением внутреннего контроля с целью оценки соответствия (адекватности) его состояния установленным требованиям, выявления причин несоответствий и принятия мер по совершенствованию внутреннего контроля. Мониторинг помогает банку достигать его целей, оценивая и повышая эффективность управления рисками, процессов контроля и управления в целом.
Мониторинг системы внутреннего контроля осуществляется руководством банка и служащими различных подразделений, включая подразделения, осуществляющие банковские операции и другие сделки, и их отражение в бухгалтерском учете и отчетности, а также службой внутреннего аудита и службой внутреннего контроля. На постоянной основе осуществляется контроль соблюдения служащими банка своих должностных обязанностей, устанавливается текущий контроль за уровнем их квалификации, исключением совершения сделок в своих интересах.
Мониторинг системы внутреннего контроля предусматривает:
- реализацию процедур контроля на всех уровнях управления;
- осуществление периодических проверок обеспечения соответствия операций установленным политикам и процедурам;
- встроенность процессов по обеспечению текущего мониторинга в каждую операцию банка с целью обеспечения выявления нарушений до того, как они смогут породить крупные проблемы для банка;
- проведение на постоянной основе мониторинга наиболее рискованных для банка операций;
- проведение анализа влияния на операции банка каждого вида риска по отдельности и всеобъемлющая оценка риска с учетом существующих методов и мер контроля в банке;
- своевременное доведение информации о выявленных недостатках до руководства банка.
Мониторинг системы внутреннего контроля является компонентом системы внутреннего контроля и заключается:
- в наблюдении за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности банка;
- в выявлении недостатков, разработке предложений и осуществлении контроля реализации решений по совершенствованию системы внутреннего контроля банка.
Наблюдение за функционированием системы внутреннего контроля предусматривает:
- реализацию процедур контроля на всех уровнях управления;
- осуществление периодических проверок обеспечения соответствия операций установленным политикам и процедурам;
- встроенность мероприятий контроля в ежедневные операции;
- проведение анализа влияния на операции банка каждого вида риска по отдельности и всеобъемлющую оценку риска с учетом существующих методов и мер контроля;
- своевременное доведение информации о выявленных недостатках до руководителей банка.
Мониторинг может быть признан эффективным в том случае, если выявление и устранение недостатков системы внутреннего контроля реализуются до наступления последствий, которые негативно влияют на обеспечение:
- эффективности и результативности проведения банковских операций и других сделок;
- достоверности, полноты, объективности и своевременности представления отчетности;
- соблюдения нормативно-правовых актов.
Своевременность выявления неэффективности внутреннего контроля обеспечивается следующим образом:
- недостатки внутреннего контроля доводятся одновременно до сведения сотрудников банка, ответственных за осуществление банковских операций и других сделок, в которых выявлены недостатки, и руководителей таких сотрудников;
- существенные недостатки доводятся до сведения органов управления;
- недостатки устраняются вовремя и в полной мере.
Целью мониторинга является оценка эффективности функционирования следующих компонентов системы внутреннего контроля:
- контроля со стороны органов управления за организацией деятельности банка;
- контроля за функционированием системы управления банковскими рисками и оценки банковских рисков;
- контроля за распределением полномочий при совершении банковских операций и других сделок;
- контроля за управлением информационными потоками и обеспечением информационной безопасности;
- наблюдения, осуществляемого на постоянной основе, за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности банка, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля банка.
Периодичность мониторинга, ответственные за его осуществление и способы мониторинга
Периодичность мониторинга, ответственные за его осуществление и способы мониторинга приводятся в таблице 1.
Таблица 1
Периодичность мониторинга, ответственные за его осуществление и способы мониторинга
Периодичность | Ответственность | Уровень | Способ |
На постоянной основе | Руководители структурных подразделений головного банка и филиалов | 1-й уровень | В ходе осуществления ежедневной деятельности по организации и управлению деятельностью структурных подразделений |
На основе периодических оценок | Правление | 2-й уровень | В ходе организации деятельности банка и рассмотрения отчетов о его деятельности |
Служба внутреннего аудита | В ходе оценки эффективности системы внутреннего контроля и проведения проверок | ||
Служба внутреннего контроля | В ходе оценки эффективности системы внутреннего контроля и проведения проверок | ||
Ревизионная комиссия | В ходе проведения проверки организации внутреннего контроля в банке | ||
На ежегодной основе | Совет директоров | 3-й уровень | В ходе рассмотрения отчетов о деятельности банка |
Руководитель подразделения банка вправе делегировать свои полномочия по осуществлению мониторинга внутреннего контроля первого и второго уровней своим заместителям или другим должностным лицам, обладающим соответствующими полномочиями. При этом обеспечивается регулярное (а в случае необходимости - незамедлительное) и полное информирование указанными лицами руководителя подразделения банка о состоянии и эффективности внутреннего контроля, а также проведение процедур внутреннего контроля непосредственно руководителем подразделения банка в рамках внутреннего контроля первого и второго уровней.
Мониторинг, осуществляемый на постоянной основе, является наиболее эффективной формой наблюдения за функционированием системы внутреннего контроля.
Мониторинг на постоянной основе осуществляется сотрудниками, которые являются экспертами в своих областях и могут оценить эффективность функционирования внутреннего контроля с учетом специфики операций, а также своевременно устранить выявленные недостатки.
Осуществление мониторинга предполагает сбор и анализ только надежной информации, что позволит сделать заключение об эффективности внутреннего контроля.
Прямая информация однозначно подтверждает функционирование внутреннего контроля. Прямая информация поступает в результате наблюдения за функционированием контроля непосредственно при совершении операций. Например, такая информация поступает в результате непосредственного применения средств внутреннего контроля: распределения обязанностей, предоставления прав доступа к информации, верификации и выверки и т.д. Мониторинг с использованием прямой информации осуществляется руководителями структурных подразделений непосредственно в ходе совершения операций.
Основным методом осуществления мониторинга является суждение руководителя структурного подразделения, что при совершении операций средства внутреннего контроля функционируют эффективно и позволяют быть уверенным, что цели деятельности структурного подразделения могут быть достигнуты.
Косвенная информация позволяет сделать вывод об эффективности внутреннего контроля на основании данных, подтверждающих результативность деятельности банка и структурных подразделений. Достижение поставленных целей свидетельствует об эффективности функционирования системы внутреннего контроля. Например, косвенной информацией являются статистические данные об объемах операций, ключевые индикаторы риска, ключевые показатели деятельности, сравнение результатов деятельности банка с результатами деятельности других банков и т.д.
Мониторинг с использованием косвенной информации осуществляется руководителями структурных подразделений посредством проверки отчетов о работе подчиненных им сотрудников. Перечень, содержание и периодичность представления отчетов определяются руководителями структурных подразделений с учетом целей и задач, а также степени подверженности риску тех или иных функций и направлений деятельности. Порядок представления сведений регулируется внутренними документами банка.
Полученные данные анализируются руководителем структурного подразделения с точки зрения их соответствия поставленным целям и задачам, на основании чего делается вывод об эффективности функционирования системы внутреннего контроля.
Мониторинг на основе периодических оценок осуществляется службой внутреннего аудита, правлением банка и ревизионной комиссией.
Служба внутреннего аудита (СВА) осуществляет мониторинг путем проведения проверок деятельности банка (внутреннего аудита) в соответствии с положением о службе внутреннего аудита, о чем не реже двух раз в год отчитывается перед советом директоров.
Служба внутреннего контроля (СВК) осуществляет мониторинг путем проведения проверок деятельности банка на предмет предотвращения регуляторного риска в соответствии с положением о службе внутреннего контроля, о чем не реже двух раз в год отчитывается перед правлением, председателем правления.
Мониторинг системы внутреннего контроля советом директоров банка
В периоды между заседаниями (очередными и внеочередными) общего собрания акционеров (участников) банка общее руководство деятельностью банка осуществляет совет директоров, за исключением решения вопросов, отнесенных к исключительной компетенции общего собрания акционеров банка.
Совет директоров осуществляет на постоянной основе наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности банка, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля, а именно:
- рассматривает вопросы согласования кандидатур для назначения на должность начальника службы внутреннего аудита, а также освобождения начальника службы внутреннего аудита от должности;
- регулярно рассматривает на своих заседаниях эффективность системы внутреннего контроля и обсуждает с исполнительными органами банка (единоличным (его заместителями) и коллегиальным) вопросы организации внутреннего контроля и меры по повышению его эффективности;
- рассматривает документы по организации системы внутреннего контроля, подготовленные исполнительными органами банка, службой внутреннего аудита, должностным лицом (ответственным сотрудником по ПОД/ФТ - контролером) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, иными структурными подразделениями банка, аудиторской организацией, проводящей (проводившей) аудит;
- принимает меры, обеспечивающие оперативное выполнение исполнительными органами банка рекомендаций и замечаний службы внутреннего аудита, аудиторской организации, проводящей (проводившей) аудит, и надзорных органов;
- своевременно осуществляет проверки соответствия внутреннего контроля характеру и масштабу осуществляемых операций, уровню и сочетанию принимаемых рисков;
- осуществляет непосредственный контроль деятельности службы внутреннего аудита;
- рассматривает не реже одного раза в полугодие отчеты службы внутреннего аудита о результатах проведенных проверок и выполнение службой внутреннего аудита иных функций, а также принимаемые руководителями структурных подразделений банка меры по устранению ранее выявленных в деятельности подразделений нарушений и недостатков.
Совет директоров осуществляет контроль за работой председателя правления и правления банка, устанавливает требования к порядку осуществления ими своих полномочий, а именно:
- не принимать на себя обязательств и не совершать действий, которые могут привести к возникновению конфликта интересов исполнительного органа и участников, кредиторов и вкладчиков, иных клиентов банка;
- обеспечить проведение банковских операций и других сделок в соответствии с законодательством РФ, уставом банка, внутренними документами банка;
- распределять обязанности между руководителями структурных подразделений, контролировать их выполнение и своевременно корректировать в соответствии с изменениями условий деятельности банка;
- организовывать систему сбора, обработки и представления финансовых и операционных данных о деятельности банка, необходимых совету директоров, правлению для принятия обоснованных управленческих решений, включая информацию обо всех значимых для банка банковских рисках.
К заседаниям совета директоров следует представлять его членам информационные отчеты о деятельности банка по следующим вопросам:
- финансовые показатели деятельности банка;
- достаточность собственных средств (капитала) для покрытия принятых банком рисков и предполагаемых расходов;
- качество ссуд, ссудной и приравненной к ней задолженности;
- фактические размеры и достаточность резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности, а также резервов на возможные потери по прочим активам, обязательствам и сделкам;
- концентрация кредитов (займов) и инвестиций в разрезе отраслей экономики, категорий заемщиков и т.д., а также планируемые выдачи кредитов (предоставления займов) и инвестиции;
- потери и доходы от продажи, погашения и передачи активов с баланса банка, а также замены активов одного вида на активы другого вида;
- показатели привлеченных средств (в том числе депозитов), планируемые банком мероприятия по привлечению средств и оценка качества управления банковскими рисками;
- сравнительный анализ вышеперечисленных показателей деятельности банка по отношению к показателям за предыдущие периоды и (по возможности) показателям банков-конкурентов;
- банковские операции и другие сделки банка, в которых могут быть заинтересованы участники, члены совета директоров, правления и служащие банка (их перечень, суммы, оценка риска);
- меры, принимаемые председателем правления и правлением по соблюдению в банке законодательства РФ, устава банка, внутренних документов, норм профессиональной этики и наиболее значительные проблемы в этой области;
- любые иные сведения о признаках возможного ухудшения, фактах снижения уровня финансовой устойчивости и (или) доходности банка.
На регулярной основе советом директоров рассматриваются отчеты председателя правления об итогах деятельности и выполнения финансовых показателей банка, отчеты риск-менеджера банка об уровне банковских рисков, отчеты службы внутреннего контроля о состоянии ликвидности и соблюдении процедур по управлению ликвидностью, информация о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений при проверках службы внутреннего контроля.
Совет директоров анализирует акты проверок и (или) информацию о результатах проведенных проверок аудиторской организацией, надзорными органами.
Совету директоров представляется информация о деятельности службы финансового мониторинга - подразделения по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Мониторинг системы внутреннего контроля комитетом по аудиту банка
Комитет по аудиту - орган банка, который оказывает содействие совету директоров в принятии решений в области аудита и отчетности банка. Основной целью комитета является содействие совету директоров в выполнении его контрольных функций. Комитет осуществляет:
- наблюдение за тем, чтобы системы и процессы внутреннего контроля охватывали такие сферы, как порядок составления и представления бухгалтерской (финансовой) и внутренней отчетности, мониторинг выполнения требований законодательства РФ, а также внутренних документов кредитной организации, эффективность совершаемых операций и других сделок, сохранность активов;
- мониторинг и анализ эффективности деятельности службы внутреннего аудита;
- анализ отчетов службы внутреннего аудита о выполнении планов проверок;
- оценку эффективности выполнения руководителем службы внутреннего аудита возложенных на него функций;
- подготовку рекомендаций органам управления кредитной организации по проведению внешних аудиторских проверок и выбору внешних аудиторов;
- обеспечение своевременного принятия мер по устранению недостатков в системе внутреннего контроля и нарушений требований законодательства РФ, внутренних документов кредитной организации, а также других недостатков, выявленных внешними аудиторами.
Кроме того, комитет контролирует полноту финансовой отчетности банка, а также осуществляет анализ результатов проверок финансовой отчетности и процедур ее подготовки, проведенных контролирующими органами. При необходимости комитет осуществляет проверку, оценку и дает рекомендации совету директоров об эффективности систем подготовки финансовой отчетности банка, о соответствии финансовой отчетности банка требованиям действующего законодательства, а также о методах, применяемых для учета крупных сделок, в совершении которых имеется заинтересованность.
Мониторинг системы внутреннего контроля исполнительными органами банка
Руководство текущей деятельностью банка осуществляется председателем правления банка, избираемым советом директоров и правлением банка. Деятельность и полномочия председателя правления и правления банка регламентируются действующим законодательством РФ и уставом банка.
Председатель правления банка осуществляет контроль деятельности банка путем запроса отчетов и информации в письменной или устной форме о результатах деятельности структурных подразделений, разъяснений руководителей структурных подразделений в целях выявления недостатков внутреннего контроля, нарушений и ошибок.
Правление банка организует и осуществляет руководство оперативной деятельностью банка. Система информирования правления банка имеет следующие каналы, структурные уровни и временные рамки:
- еженедельные оперативные совещания проводятся правлением банка в определенный день рабочей недели и в строго определенное время. При необходимости на оперативном совещании заслушиваются руководители структурных подразделений банка. На этих совещаниях курирующими членами правления до правления банка доводится информация по направлениям деятельности на текущий момент, уточняются и получаются вновь оперативные задачи (курирующие члены правления банка получают информацию от подведомственных руководителей подразделений на оперативных совещаниях либо в процессе работы);
- на оперативном совещании курирующие члены правления доводят до подведомственных руководителей подразделений уточненные и вновь поставленные председателем правления оперативные задачи и получают информацию о текущей деятельности подразделения;
- после совещания, в течение дня, получение информации правлением банка ведется в режиме непрерывного мониторинга с выходом в подразделения банка, вызовом руководителей подразделений и исполнителей очно либо с использованием АТС;
- кроме того, в системе информирования правления банка предусмотрены ежедневные устные отчеты по текущей ситуации в банке руководителя СВК, руководителя СВА, контролера, начальника управления безопасности, а также получение от них ситуационных прогнозов на ближайшее время;
- ежедневно после открытия операционного дня председатель правления (его заместитель) получает сводку о состоянии основных счетов и выполнении основных нормативов от департамента экономики и рисков;
- информация оперативно-тактического (стратегического) характера доводится до председателя правления и обсуждается с выработкой оперативно-тактических (стратегических) решений на заседаниях правления, проводимых по мере необходимости, а также на заседаниях кредитного и лимитного комитетов;
- получение тактической (стратегической) информации и принятие тактических (стратегических) решений производятся на расширенных заседаниях правления, созываемых по мере необходимости. На эти заседания приглашаются руководители структурных подразделений банка.
Правление банка принимает участие в качестве приглашенных лиц в проводимых не реже чем один раз в месяц заседаниях совета директоров банка, на которых происходит получение стратегической информации и принятие стратегических решений, доводимых в последующем до персонала банка.
Правление банка ежеквартально оценивает политику риск-менеджмента, учитывая при этом уровень допустимого риска, общую стратегию банка и компетентность руководства каждого подразделения. Кроме того, правление рассматривает отчеты СВК и СВА об эффективности системы внутреннего контроля в банке.
Правление банка осуществляет мониторинг системы внутреннего контроля с использованием прямой информации путем наблюдения за функционированием структурных подразделений банка. Для осуществления мониторинга используется способ самооценки, при проведении которой члены правления используют таблицу самооценки (см. табл. 2). Таблица самооценки содержит ключевые индикаторы, которые характеризуют эффективность внутреннего контроля. В банке постоянно совершенствуется система самооценки в зависимости от изменения внешних и внутренних факторов.
Таблица 2
Таблица самооценки
Компоненты системы внутреннего контроля и индикаторы эффективности их функционирования | Да/нет/частично | Комментарии (если "нет" или "частично") | |
А | Внутренние документы Политики и процедуры, предусмотренные требованием законодательства и Банка России, должны быть разработаны и регулярно пересматриваться | ||
А1 | Перечень внутренних политик и процедур, которые должны быть разработаны и утверждены, известен | ||
А2 | Все необходимые внутренние политики и процедуры разработаны и утверждены | ||
А3 | Утвержденные политики и процедуры не имеют "белых пятен" в части порядка работы | ||
А4 | Утвержденные политики и процедуры не имеют "белых пятен" в части закрепления полномочий | ||
А5 | Анализ достаточности и актуальности политик и процедур осуществляется на постоянной основе | ||
А6 | Политик и процедур, требующих пересмотра, на сегодняшний день не имеется | ||
А7 | Политик и процедур, требующих разработки в силу витальной необходимости, не имеется | ||
Б | Распределение полномочий Распределение обязанностей должно быть обеспечено таким образом, чтобы исключить конфликт интересов, повысить вероятность выявления ошибок, а также предотвратить мошенничество | ||
Б1 | Должностные инструкции разработаны и доведены до сведения сотрудников | ||
Б2 | Должностные инструкции соответствуют выполняемым функциям | ||
Б3 | Квалификация сотрудников соответствует выполняемым функциям | ||
Б4 | Каждый сотрудник может быть замещен в случае необходимости | ||
Б5 | Совмещение функций исполнителя и контролера не допускается | ||
Б6 | Функция контролера введена везде, где она необходима (платежи, подписание документов и т.д.) | ||
Б7 | Сотрудник, осуществляющий контрольные функции, не может сам вводить (изменять, удалять) данные | ||
Б8 | Совершение операции без контрольной подписи невозможно | ||
Б9 | Анализ эффективности распределения полномочий осуществляется на постоянной основе | ||
Б10 | Областей, требующих разделения полномочий или пересмотра, не имеется | ||
В | Оценка рисков Выявление и анализ внутренних и внешних факторов, оказывающих воздействие на деятельность банка, должны осуществляться на постоянной основе. Информация о факторах, влияющих на повышение банковских рисков, должна доводиться до сведения руководства | ||
В1 | Области бизнес-процессов, подверженные повышенному уровню риска, подробно регламентированы | ||
В2 | Ключевые индикаторы риска, подлежащие контролю, известны | ||
В3 | Ключевые индикаторы риска отражают все важные внутренние факторы, влияющие на уровень риска | ||
В4 | Ключевые индикаторы риска отражают все важные внешние факторы, влияющие на уровень риска | ||
В5 | Ответственный за текущий контроль индикаторов риска сотрудник определен | ||
В6 | Ответственность за текущий контроль уровня рисков закреплена в должностной инструкции | ||
В7 | Лимиты на все характерные виды рисков известны | ||
В8 | Соблюдение лимитов контролируется на постоянной основе | ||
В9 | Автоматизированные средства контроля уровня риска применяются везде, где возможно | ||
В10 | Порядок доведения информации о факторах, влияющих на уровень риска, известен | ||
В11 | Информация о факторах, влияющих на уровень риска, доводится до сведения руководства | ||
В12 | Руководство принимает меры по управлению уровнем риска (обратная связь) | ||
В13 | Планы действий на случай непредвиденных обстоятельств известны | ||
В14 | Планы действий на случай непредвиденных обстоятельств доведены до сведения сотрудников | ||
Г | Управление информационными потоками Информация, используемая для осуществления операций, принятия решений, подготовки отчетности, должна быть своевременной, надежной, доступной и правильно оформленной | ||
Г1 | Перечень используемой информации закреплен в политиках и процедурах | ||
Г2 | Формы обмена информацией закреплены в политиках и процедурах | ||
Г3 | Политики и процедуры не имеют "белых пятен" в части регулирования обмена информацией | ||
Г4 | Для обмена информацией используются графики с установленными предельными сроками | ||
Г5 | Используемая информация достаточна для выполнения функций (продолжения или завершения процесса) | ||
Г6 | Информация всегда позволяет идентифицировать ее автора | ||
Г7 | Входящая информация всегда поступает только от уполномоченных сотрудников | ||
Г8 | Входящая информация всегда содержит контрольную подпись, если это предусмотрено | ||
Г9 | Автоматизированные средства обмена информацией внедрены везде, где возможно | ||
Г10 | Ненадлежащим образом оформленная информация не используется | ||
Г11 | Информация для третьих лиц всегда подлежит дополнительному контролю "под роспись" до ее передачи | ||
Г12 | В случае нарушения графиков информация запрашивается, а не ожидается | ||
Д | Обеспечение информационной безопасности Информация, используемая для осуществления операций, принятия решений, подготовки отчетности, должна быть защищена от возможных угроз | ||
Д1 | Перечень информации, составляющей коммерческую и банковскую тайну, известен | ||
Д2 | Перечень используемых информационных ресурсов, подлежащих защите, известен | ||
Д3 | Перечень возможных типичных угроз известен | ||
Д4 | Доступ сотрудников к информации предоставлен с соблюдением порядка предоставления доступа | ||
Д5 | Уровень доступа к информации сотрудников соответствует выполняемым функциям | ||
Д6 | Доступ в ЭВМ сотрудников и к базам данных защищен паролем | ||
Д7 | Практики передачи паролей не существует | ||
Д8 | Когда информация, подлежащая защите, не используется, она является недоступной третьим лицам | ||
Д9 | Сотрудники блокируют ЭВМ, когда покидают свои рабочие места | ||
Д10 | Информация на бумажных носителях хранится в запираемых шкафах | ||
Д11 | Сотрудники соблюдают правило "чистого стола" | ||
Д12 | Информация о сбоях, повреждении данных, признаках несанкционированного доступа доводится до сведения уполномоченных сотрудников | ||
Д13 | Уполномоченные сотрудники, до которых должна быть доведена такая информация, известны | ||
Е | Рассмотрение отчетов Осуществляемый руководителями подразделений контроль деятельности посредством проверки отчетов о работе подчиненных | ||
Е1 | Рассмотрение отчетов не выявило признаков неэффективности внутреннего контроля | ||
Е2 | Рассмотрение отчетов выявило следующие признаки неэффективности внутреннего контроля: |
Правлением банка также осуществляется мониторинг системы внутреннего контроля с использованием косвенной информации, а именно посредством рассмотрения управленческой отчетности, включающей в себя, например, такие данные о деятельности банка, как: соотношение фактического количества договоров кредитования физических лиц с прогнозом и бюджетом, аналитика кредитного портфеля с разбивкой по валютам, срокам, регионам, баланс и отчет о прибылях и убытках по МСФО, обязательные нормативы Банка России, количество сотрудников, динамика увольнений и найма, индустриальные показатели, анализ стоимости фондирования и т.д.
Мониторинг системы внутреннего контроля ревизионной комиссией
Ревизионная комиссия в рамках осуществления своих полномочий проводит анализ таблиц самооценки, составленных правлением банка. Результаты рассмотрения таблиц формируются в виде оценки системы внутреннего контроля по форме (см. табл. 3), которая включается в состав отчета ревизионной комиссии.
Таблица 3
Оценка системы внутреннего контроля
Компоненты системы внутреннего контроля и индикаторы эффективности их функционирования | Да/нет/частично | Комментарии (если "нет" или "частично") | |
А | Контроль со стороны органов управления за организацией деятельности банка | ||
А1 | Эффективность внутреннего контроля рассматривается наблюдательным советом и правлением на регулярной основе | ||
А2 | Внутренние документы по вопросам, предусмотренным Приложением 2 к Положению Банка России N 242-П, утверждены | ||
А3 | Служба внутреннего контроля создана и функционирует на постоянной основе | ||
А4 | Порядок, при котором сотрудники доводят до сведения руководства информацию обо всех нарушениях, случаях злоупотреблений, несоблюдения норм профессиональной этики, установлен | ||
А5 | Контроль органов управления за организацией деятельности банка адекватен характеру и масштабу его деятельности | ||
Б | Распределение полномочий | ||
Б1 | Полномочия органов управления закреплены в положениях об этих органах | ||
Б2 | Полномочия между структурными подразделениями банка закреплены во внутренних документах | ||
Б3 | Должностные обязанности закреплены в должностных инструкциях | ||
Б4 | Порядок распределения полномочий соблюдается | ||
Б5 | Распределение должностных обязанностей обеспечивает исключение конфликта интересов | ||
В | Управление рисками | ||
В1 | Система внутренней отчетности в целях управления рисками создана | ||
В2 | Органы управления получают информацию об уровне рисков и факторах, влияющих на повышение риска | ||
В3 | Решения, принимаемые органами управления в целях управления рисками, соответствуют характеру и масштабам деятельности банка | ||
В4 | Планы действий на случай непредвиденных обстоятельств разработаны | ||
В5 | Тестирование планов действий на случай непредвиденных обстоятельств осуществляется на постоянной основе | ||
Г | Управление информационными потоками и обеспечение информационной безопасности | ||
Г1 | Порядок контроля обеспечивает своевременность, конфиденциальность, правильность оформления информации | ||
Г2 | Независимый сотрудник, ответственный за реализацию мер по обеспечению информационной безопасности, назначен | ||
Г3 | Функции по администрированию ИТ, АБС и реализации мер по обеспечению информационной безопасности разделены | ||
Г4 | Планы на случай непредвиденных обстоятельств с использованием резервных систем разработаны | ||
Д | Мониторинг системы внутреннего контроля | ||
Д1 | Система мониторинга внутреннего контроля разработана | ||
Д2 | Результаты мониторинга рассматриваются органами управления | ||
Д3 | Система мониторинга внутреннего контроля адекватна характеру и масштабу деятельности банка |
Мониторинг банковских рисков
Функции риск-менеджмента в банке возложены на службу управления рисками, возглавляемую руководителем или риск-менеджером банка. Служба управления рисками является неотъемлемой частью системы внутреннего контроля банка наряду со службой внутреннего контроля и службой внутреннего аудита.
К функционалу риск-менеджера можно отнести ежедневный мониторинг изменения ссудной задолженности крупных заемщиков и остатков клиентов, имеющих наибольшие остатки на расчетных счетах, мониторинг изменения параметров рыночного риска (процентные ставки, валютные курсы, фондовые индексы и другие параметры), оценку воздействия параметров рыночного риска на структуру баланса банка для контроля и управления критическими ситуациями, которые могут иметь нежелательные последствия для банка, оценку и мониторинг доходности активных операций с учетом подверженности рыночным рискам, осуществление независимой оценки сделок на предмет отклонения цены приобретения (продажи) от рыночной на момент заключения сделок.
Очень часто управление рисками в российском банке организовано так, что ежемесячно риск-менеджер представляет председателю правления (его заместителю) отчет по мониторингу кредитного и операционного рисков, ежеквартально - отчеты об управлении валютным риском, докладные записки по управлению риском ликвидности и правовым риском, отчеты по мониторингу правового и репутационного рисков, где излагаются все риски, которым подвержен банк, и меры по недопущению увеличения рисков в перспективе.
Риск-менеджер организует стресс-тестирование (стресс-анализ) кредитного риска, риска ликвидности и операционного риска с использованием программного комплекса, который реализует возможность оценки показателя VaR (Value at Risk, или стоимость, подверженная риску) и проведения процедур стресс-тестирования различных финансовых портфелей, либо на основании внутренней методики проведения процедур стресс-тестирования. Информация о результатах стресс-тестирования рассматривается на заседании правления банка.
Мониторинг выполнения требований закона о ПОД/ФТ
Ответственный сотрудник банка (подразделение по ПОД/ФТ) проводит финансовый мониторинг операций клиентов с целью выявления в деятельности клиентов операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией доходов, полученных преступным путем (операций, имеющих признаки сомнительных).
Сотрудники банка в случае проведения операций, подлежащих обязательному контролю, или необычных сделок составляют сообщения, которые передаются ответственному сотруднику банка (подразделению по ПОД/ФТ). Проводится анализ каждой операции, при недостатке информации данный сотрудник запрашивает у клиента дополнительную информацию (указанные функции могут выполняться сотрудниками соответствующих подразделений банка) и принимает решение относительно данной операции, которое фиксируется в виде записи на сообщении. Контролером обеспечивается своевременное доведение до подразделений и сотрудников банка внутренних документов, в которых определен порядок идентификации клиентов и выгодоприобретателей, бенефициарных владельцев клиентов, и других документов. Руководство банка должно уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) риска совершения клиентом операций в целях ПОД/ФТ.
Ежегодно ответственный сотрудник представляет совету директоров (наблюдательному совету) отчет о результатах реализации правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления, а также о рекомендуемых мерах по улучшению системы ПОД/ФТ.
Мониторинг внутреннего контроля со стороны руководителей структурных подразделений банка
Руководители структурных подразделений банка отвечают за формирование и функционирование внутреннего контроля на подведомственных им участках работы, а также на постоянной основе обеспечивают выявление и оценку рисков, связанных с деятельностью подразделений.
В случае выявления ранее не контролируемых рисков в текущей деятельности или появления дополнительных рисков в связи с началом проведения новых операций или изменений законодательства РФ, а также в случае выявления участков с недостаточным уровнем внутреннего контроля производится адекватное совершенствование системы внутреннего контроля путем внесения соответствующих изменений во внутренние документы банка. Подобные изменения подлежат согласованию со службой внутреннего контроля.
Руководители структурных подразделений осуществляют контроль деятельности вверенных им подразделений в соответствии с должностными обязанностями и регламентом по осуществлению внутреннего контроля со стороны структурных подразделений банка. Банк на постоянной основе осуществляет контроль соблюдения своими служащими должностных обязанностей, устанавливает текущий контроль уровня их квалификации, за исключением совершения сделок в своих интересах.
В рамках мониторинга внутреннего контроля со стороны руководителей структурных подразделений могут использоваться следующие способы контроля:
- проверки, осуществляемые органами управления путем запроса отчетов и информации о результатах деятельности структурных подразделений, разъяснений руководителей соответствующих подразделений в целях выявления недостатков контроля, нарушений, ошибок;
- контроль, осуществляемый руководителями подразделений посредством проверки отчетов о работе подчиненных им работников;
- контроль материальных ценностей, осуществляемый путем проверок ограничений доступа к материальным ценностям, пересчета материальных ценностей (денежной наличности, ценных бумаг в документарной форме и т.д.), разделения ответственности за хранение и использование материальных ценностей, обеспечения охраны помещений для хранения материальных ценностей;
- проверка соблюдения установленных лимитов на осуществление банковских операций и других сделок путем получения соответствующих отчетов и сверки с данными первичных документов;
- система согласования операций и сделок и распределения полномочий при совершении банковских операций и других сделок, превышающих установленные лимиты, предусматривающая своевременное информирование руководителей подразделений банка о таких операциях (сделках) или сложившейся ситуации и их надлежащее отражение в бухгалтерском учете и отчетности;
- проверка соблюдения порядка совершения банковских операций и других сделок, выверка счетов, информирование соответствующих руководителей подразделений о выявленных нарушениях, ошибках и недостатках.
Мониторинг системы внутреннего контроля СВА и СВК
Служба внутреннего аудита (СВА) подотчетна в своей деятельности совету директоров банка. Руководителем СВА для рассмотрения председателем совета директоров представляются акты проверок, в том числе в соответствии с утвержденным планом работы СВА.
Служба внутреннего аудита осуществляет анализ адекватности систем контроля в рамках проводимых проверок на этапе согласования внутренних положений, вносящих изменения в процедуры и правила проведения банковских операций, будучи при этом независимой стороной по отношению к проверяемым направлениям деятельности банка. По результатам анализа служба внутреннего аудита подготавливает предложения по совершенствованию системы внутреннего контроля и контролирует их реализацию. Информация представляется в составе отчетов по результатам проверок правлению банка и в составе полугодовых (годовых) отчетов совету директоров банка.
Служба внутреннего контроля (СВК) подотчетна в своей деятельности правлению банка, если иное не предусмотрено уставом банка. Руководителем СВК для рассмотрения председателем правления представляются акты проверок.
Служба внутреннего контроля осуществляет свою деятельность по нескольким направлениям, среди которых главным является выявление регуляторного риска, т.е. риска применения надзорных мер со стороны регулятора в результате несоблюдения банком законодательства и внутренних правил и положений. По результатам анализа СВК подготавливает предложения по совершенствованию системы внутреннего контроля и контролирует их реализацию. Информация представляется в составе полугодовых (годовых) отчетов правлению банка.
Результаты мониторинга рассматриваются всеми органами системы внутреннего контроля в пределах своих компетенций и полномочий.
Выявленные недостатки системы внутреннего контроля, признанные существенными в результате рассмотрения исполнительным руководством банка или советом директоров, подлежат оперативному устранению. Ответственность за устранение недостатков несут руководители, в деятельности подчиненных подразделений которых выявленные недостатки имеют место.
Мониторинг системы внутреннего контроля контролером профессионального участника рынка ценных бумаг
Контролер профессионального участника рынка ценных бумаг - это ответственный сотрудник, осуществляющий проверку соответствия деятельности банка как профессионального участника рынка ценных бумаг требованиям законодательства РФ о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативно-правовых актов федерального органа исполнительной власти по рынку ценных бумаг. Для целей осуществления внутреннего контроля, соответствующего характеру и масштабам проводимых операций и сделок, банк может создать отдельное структурное подразделение по контролю за деятельностью банка в качестве профессионального участника рынка ценных бумаг.
Мониторинг системы внутреннего контроля контролером специализированного депозитария
Контролер специализированного депозитария - это ответственный сотрудник, осуществляющий проверку соблюдения специализированным депозитарием законодательства РФ, в том числе о защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативно-правовых актов ФСФР России, регламентирующих деятельность специализированного депозитария, внутренних документов специализированного депозитария. Контролер специализированного депозитария может совмещать свою деятельность с деятельностью контролера профессионального участника.
Мониторинг системы внутреннего контроля контролером биржевого посредника
Контролер биржевого посредника - это ответственный сотрудник, осуществляющий внутренний контроль за соответствием деятельности банка в качестве биржевого посредника федеральным законам и иным нормативно-правовым актам РФ, а также учредительным документам и иным внутренним документам биржевого посредника. Контролер независим в своей деятельности от других структурных подразделений биржевого посредника. Должность контролера включается в штат работников биржевого посредника. Работа в должности контролера является основным местом работы контролера.
Порядок рассмотрения результатов мониторинга
Результаты мониторинга рассматриваются на соответствующих уровнях (см. табл. 4).
Таблица 4
Уровни рассмотрения результатов мониторинга
1-й уровень | Служба внутреннего контроля, управляющие филиалами банка |
2-й уровень | Правление банка, ревизионная комиссия |
3-й уровень | Совет директоров |
По результатам проведения мониторинга дается оценка соответствия (адекватности) внутреннего контроля принципам, указанным в положении о системе внутреннего контроля, иных внутренних документах банка и его подразделений, а именно:
- организации и порядку осуществления внутреннего контроля в банке;
- достаточности установленных процедур внутреннего контроля для выявления, оценки всех рисков и контроля соблюдения установленных ограничений по рискам в деятельности банка, влияющих на достижение целей и выполнение функций банка и(или) подразделения.
Руководитель подразделения банка вправе с учетом особенностей организации и осуществления внутреннего контроля устанавливать другие требования по оценке соответствия (адекватности) внутреннего контроля по результатам мониторинга, проводимого по его поручению, если иное не установлено нормативными и иными актами банка.
По итогам рассмотрения результатов мониторинга и в случае выявления недостатков системы внутреннего контроля СВК и СВА совместно с заинтересованными руководителями структурных подразделений разрабатывают планы действий по повышению эффективности внутреннего контроля и устранению недостатков.
Планы действий по повышению эффективности внутреннего контроля и устранению недостатков должны обеспечивать:
- увеличение способности процедур внутреннего контроля выявлять все события и ситуации, отрицательно влияющие на деятельность банка (риски), для обеспечения снижения количества непредвиденных событий и объема связанных с ними затрат и убытков;
- выявление взаимосвязей между рисками и их причинами для оценки каждого из выявленных рисков, в том числе с учетом их взаимосвязанного воздействия на деятельность банка;
- оперативное внесение изменений в организацию и порядок осуществления внутреннего контроля в соответствии с нормативными и (или) иными актами банка, актами его подразделения с учетом сопоставления расходов на контроль с приобретаемыми в результате применения контроля выгодами, а также в связи с изменениями в указанном подразделении банка и его внешнем окружении, приводящими к возникновению новых и ранее не контролировавшихся рисков;
- удовлетворение потребностей лиц, уполномоченных принимать решения по управлению рисками, в информации о результатах внутреннего контроля;
- иные меры, направленные на улучшение внутреннего контроля.
Р.Пашков
Банковский юрист