Мудрый Экономист

Как оценить эффективность системы внутреннего контроля в банке?

"Внутренний контроль в кредитной организации", 2014, N 3

Несмотря на то что российский регулятор предписывает кредитным организациям обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, в какие сроки) не существует. Банк России рекомендует применять систему показателей, характеризующих качество системы органов и направлений внутреннего контроля, а также критерии, приведенные в новой редакции Положения N 242-П. С одной стороны, регулятор предлагает механизм, который кредитная организация может применить самостоятельно, с другой - он пока не может заставить участников оценки давать честные ответы на адресованные им вопросы.

В соответствии с требованиями действующего законодательства РФ в кредитной организации организовывается система внутреннего контроля. Внутренний контроль только тогда становится системой, когда между субъектами контроля происходит распределение функций.

Концепция COSO

Наиболее широко применяемой системой внутреннего контроля во всем мире является Концепция COSO 1992 г., которая была разработана и предложена Комитетом спонсорских организаций - COSO <1>. Например, Концепцию COSO используют публичные компании, зарегистрированные SEC (органом, регулирующим американский рынок ценных бумаг), для построения и оценки эффективности системы внутреннего контроля при подготовке финансовой отчетности.

<1> COSO (The Committee of Sponsoring Organizations of the Treadway Commission) - организация, созданная в США в 1985 г. и занимающаяся разработкой рекомендаций по системе внутреннего контроля, управления рисками компаний и противодействия мошенничеству.

Под внутренним контролем Концепция COSO подразумевает процесс, осуществляемый советом директоров, менеджментом и другими сотрудниками компании для обеспечения достаточной уверенности в отношении достижения целей компании, а именно:

Модель системы внутреннего контроля COSO обычно изображается в форме многогранного куба, который состоит из пяти взаимосвязанных компонентов: контрольной среды, оценки рисков, контрольных процедур, информации и коммуникаций, мониторинга:

  1. контрольная среда отражает общую атмосферу в компании, влияющую на понимание и исполнение процедур контроля ее сотрудниками. Контрольная среда включает в себя честность и другие этические ценности организации; организационную структуру с распределением полномочий и ответственности; процедуры привлечения, развития и удержания компетентных работников; систему мотиваций и поощрений. Контрольная среда является базисом для всех других компонентов внутреннего контроля;
  2. оценка рисков предполагает непрерывный процесс выявления и анализа рисков, связанных с достижением целей компании и возникающих как от внешних, так и от внутренних источников;
  3. контрольные процедуры - это мероприятия, определенные политикой компании, которые обеспечивают выполнение указаний руководства, например согласования, разрешения, проверки, сверки, отчеты по текущей деятельности. Типы контрольных процедур включают в себя оценку эффективности бизнеса, обработку информации, физический контроль, разграничение полномочий;
  4. информация и коммуникация: информационные системы играют в системе внутреннего контроля ключевую роль, поскольку создают отчеты, включающие финансовую информацию, а также информацию по операционной деятельности и соблюдению процедур законодательства, которая позволяет управлять бизнесом. Менеджмент должен получать достоверную информацию о функционировании компонентов системы внутреннего контроля как из внутренних, так из внешних источников. Внутренние коммуникации - это средства, с помощью которых информация распространяется и распределяется в компании. Они позволяют персоналу компании получить ясное представление о своей роли в системе внутреннего контроля и относиться серьезно к своим обязанностям. Внешние коммуникации направлены на взаимодействие с внешним миром;
  5. мониторинг представляет собой оценку эффективности функционирования каждого из пяти компонентов системы внутреннего контроля. Результаты оцениваются на основе критериев, установленных надзорными и регулирующими органами, менеджментом и советом директоров компании. Нарушения и недостатки доводятся до сведения менеджмента и совета директоров компании.

Одновременное функционирование этих компонентов обеспечивает эффективную основу для описания и анализа системы внутреннего контроля компании.

Российский подход к организации системы внутреннего контроля

Анализируя системы внутреннего контроля в российских кредитных организациях, можно с большой степенью вероятности утверждать, что при разработке подходов к организации системы внутреннего контроля в кредитных организациях Банк России во многом опирался на положения COSO.

В соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (в ред. Указания Банка России от 24.04.2014 N 3241-У) (далее - Положение N 242-П, Указание N 3241-У) система внутреннего контроля представляет собой совокупность системы органов и направлений внутреннего контроля, обеспечивающую соблюдение порядка осуществления и достижения целей, установленных законодательством РФ, учредительными и внутренними документами банка.

Система внутреннего контроля включает следующие направления:

В систему органов внутреннего контроля кредитной организации входят:

служба внутреннего аудита;

служба внутреннего контроля (комплаенс-служба);

ответственный сотрудник по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и (или) структурное подразделение, отвечающее за разработку и выполнение кредитной организацией программ внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ их осуществления;

контролер профессионального участника рынка ценных бумаг;

иные структурные подразделения и (или) работники кредитной организации, выполняющие функции в рамках системы внутреннего контроля.

Как мы видим, внутренний аудит является частью системы внутреннего контроля, но организационно стоит над ней, так как согласно п. 4.1.1 Положения N 242-П оценивает эффективность системы внутреннего контроля.

Функция по оценке системы внутреннего контроля является первой в списке функций службы внутреннего аудита.

Оценка системы внутреннего контроля

Основными целями и задачами проведения оценки системы внутреннего контроля являются:

Рекомендации Базельского комитета

В соответствии с рекомендациями БКБН <1> для проведения оценки можно применять различные методы и подходы.

<1> Пункт 48 Письма Банка России от 10.07.2001 N 87-Т "О рекомендациях Базельского комитета по банковскому надзору".

Органы надзора могут проанализировать работу службы внутреннего аудита (СВА) путем проверки рабочих документов, включая методологию, применяемую для выявления, оценки, мониторинга и контроля риска. Если качество работы СВА признано удовлетворительным, органы надзора могут использовать отчеты внутренних аудиторов в качестве первичного материала для выявления проблем, связанных с контролем в банке, или для выявления областей потенциального риска, не проверявшихся в последнее время аудиторами.

Органы надзора могут использовать процесс самооценки, при котором руководство банка проверяет внутренний контроль поэтапно по видам деятельности и подтверждает органам надзора, что его контроль является адекватным для ведения данного вида банковской деятельности.

Органы надзора также могут потребовать проведения периодических внешних аудиторских проверок в ключевых областях деятельности банка, при которых сфера проверки определяется органами надзора. И, наконец, органы надзора могут сочетать один или более из вышеупомянутых методов с проверкой внутреннего контроля.

Указанным принципом в полной мере могут руководствоваться и кредитные организации при выборе наиболее оптимального с точки зрения "затраты/результат" способа проведения оценки системы внутреннего контроля.

Оценка Банком России качества системы внутреннего контроля

Странным образом российский регулятор не уделяет достаточного внимания процедуре оценки системы внутреннего контроля в кредитных организациях. Несмотря на то что Банк России предписывает им обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, сроки, выводы) до сих пор не существует. Все ограничивается разрозненными документами <1>, и это означает, что кредитные организации в решении этой задачи, по существу, предоставлены самим себе.

<1> Стандарт Банка России СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (утв. Распоряжением Банка России от 17.05.2014 N Р-399);

Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств";

Указание Банка России от 30.04.2008 N 2005-У "Об оценке экономического положения банков" (с изменениями и дополнениями);

Указание Банка России от 16.01.2004 N 1379-У "Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов", Приложение 5 "Показатель организации службы внутреннего контроля";

Письмо Банка России от 24.03.2005 N 47-Т "О Методических рекомендациях по проведению проверки и оценки организации внутреннего контроля в кредитных организациях";

Методические рекомендации по проведению проверки системы управления банковскими рисками в кредитной организации (ее филиале), доведенные Письмом Банка России от 23.03.2007 N 26-Т;

Письмо Банка России от 24.05.2005 N 76-Т "Об организации управления операционным риском в кредитных организациях";

Письмо Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах";

Письмо Банка России от 29.06.2011 N 96-Т "О Методических рекомендациях по организации кредитными организациями внутренних процедур оценки достаточности капитала";

Письмо Банка России от 29.12.2012 N 192-Т "О Методических рекомендациях по реализации подхода к расчету кредитного риска на основе внутренних рейтингов банков";

Письмо Банка России от 06.02.2012 N 14-Т "О рекомендациях Базельского комитета по банковскому надзору "Принципы совершенствования корпоративного управления";

Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах (в ред. Указания Банка России от 24.04.2014 N 3241-У).

Вопросы по оценке системы внутреннего контроля также отражены в МСА 315 "Оценка системы внутреннего контроля компании (Оценка)" и в Федеральном правиле (стандарте) N 8 "Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности".

В своих документах Банк России предлагает осуществлять оценку системы внутреннего контроля с использованием показателей, характеризующих качество системы органов и направлений внутреннего контроля, которые рассчитываются на основе балльных оценок ответов на вопросы, проставленных участниками опроса. Показатели могут рассчитываться:

Балльная оценка ответов на вопросы определяется участниками опроса на основании мотивированного экспертного суждения на основе анализа того, в какой степени соответствуют та или иная функция, процесс или процедура, выполняемые участником опроса, рекомендациям и требованиям надзорных и регулирующих органов, лучшим мировым практикам в области внутреннего аудита и контроля или полноте и своевременности осуществления функции, процесса или процедуры.

Балльная оценка может варьироваться от одного балла (положительная) до четырех баллов (отрицательная) в зависимости от ответов на вопросы.

Весовая оценка значимости вопросов может варьироваться от одного до трех и определяться службой внутреннего аудита экспертным путем, исходя из следующего:

Алгоритм расчета показателей Банк России определяет в нескольких документах, например в Письме от 24.03.2005 N 47-Т "О Методических рекомендациях по проведению проверки и оценки организации внутреннего контроля в кредитных организациях". Кредитная организация может руководствоваться и Указанием Банка России от 30.04.2008 N 2005-У "Об оценке экономического положения банков" (с изм. и доп.).

Примечательно то, что в новой редакции Положения N 242-П, широко обсуждаемой сейчас банковским сообществом, был изменен разд. 5, который ранее был посвящен только особенностям надзора Банка России за соблюдением правил организации внутреннего контроля. Новая редакция этого раздела также определяет порядок оценки Банком России качества системы внутреннего контроля в кредитной организации.

В соответствии с п. 5.3, который был введен Указанием N 3241-У, качество системы внутреннего контроля в кредитной организации оценивается Банком России посредством анализа выполнения ею требований законодательства РФ, а также с учетом результатов проверок, проведенных регулятором.

При оценке качества системы внутреннего контроля кредитной организации, включенной в перечень системно значимых, также должны быть учтены такие критерии, как наличие в составе совета директоров комитета по аудиту и проведение службой внутреннего аудита проверок деятельности каждого структурного подразделения или каждого вида осуществляемых операций и сделок не реже одного раза в три года.

Однако критерии оценки качества проведения проверок службы внутреннего аудита не приводятся.

Непонятно также, почему при оценке качества системы внутреннего контроля не нужно учитывать соблюдение внутренних методик, программ, правил, порядков и процедур, лимитов, которые утверждены в самой кредитной организации, а также надежность установленных и применяемых ею отдельных способов (методов) контроля, которые согласно п. 5.2 Положения N 242-П Банк России контролирует при проверке системы внутреннего контроля.

Таким образом, новации разд. 5 Положения N 242-П, посвященные оценке Банком России качества системы внутреннего контроля, содержат больше вопросов, чем ответов в отношении проведения указанной процедуры, цель которой - установить соответствие системы внутреннего контроля кредитной организации требованиям регулятора.

Преимущества и недостатки подходов, предложенных Банком России

Основными преимуществами проведения оценки с учетом подходов, которые предлагает Банк России, являются следующие.

  1. При принятии решения о проведении оценки с использованием документов Банка России кредитная организация будет готова ответить на вопросы регулятора, если аналогичный опрос Банк России будет проводить в кредитной организации.
  2. В документах Банка России кредитным организациям предложен механизм, который они могут применить самостоятельно, без привлечения внешнего консультанта.

При этом основными недостатками проведения оценки с учетом предлагаемых Банком России подходов являются следующие.

  1. Большинство документов Банка России носит для кредитных организаций не обязательный, а всего лишь рекомендательный характер. Отсутствие единого документа, в котором были бы закреплены единые подходы к проведению оценки системы внутреннего контроля, приводит к тому, что окончательное решение об объектах, субъектах, способах и показателях оценки они должны принять самостоятельно.
  2. В крупной кредитной организации для проведения оценки может использоваться механизм самооценки, при которой структурные подразделения и филиалы самостоятельно отвечают на вопросы анкеты. Осознание того, что проверка в них из-за большого их количества и недостаточного количества персонала СВА вряд ли возможна, заставляет участников процедуры почти на 100% вопросов отвечать положительно. Это сильно искажает общую картину и сводит пользу самооценки к минимуму.

Поэтому вопрос заключается в том, как заставить участников оценки давать адекватные или, проще говоря, честные и объективные ответы на вопросы анкеты.

Наиболее простой выход - если бы свои по-настоящему независимые оценки сотрудник СВА проставлял только по тем направлениям, которые он сам проверял в течение года в соответствии с утвержденным планом работы.

С другой стороны, план работы СВА не может охватить все направления оценки. Но ведь и Базель, и COSO говорят о том, что необязательно всегда оценивать все направления без исключения. СВА может выбирать для оценки каждый раз только те области, которые, по мнению органов управления кредитной организации, генерируют наибольшие риски.

  1. Сотрудник СВА, проводящий опрос, часто должен самостоятельно заменять вопросы из опросника Банка России теми, которые кажутся ему более существенными для оцениваемой области в данном конкретном случае.

Обновленные концептуальные основы системы внутреннего контроля COSO

Большим подспорьем в проведении оценки могут стать обновленные Концептуальные основы системы внутреннего контроля, которые были опубликованы COSO в мае 2013 г. и которые должны помочь компаниям оценить эффективность своих систем внутреннего контроля.

Главной целью обновления предыдущей Концепции COSO 1992 г. являлось более четкое формулирование ранее описанных компонентов с целью содействия компаниям в разработке эффективной системы внутреннего контроля. Обновленная Концепция COSO выпущена в виде трех документов <1>.

  1. Основные положения (Executive summary), состоящие из краткого описания основных принципов и требований модели COSO.
  2. Концепция и приложения (Framework and Appendices), содержащие концептуальные положения модели: определение системы внутреннего контроля, а также компонентов и принципов, которые обеспечивают ее эффективное функционирование.
  3. Пояснительные примеры оценки эффективности системы внутреннего контроля (Illustrative tool for assessing effectiveness of a system of internal control), представляющие собой набор шаблонов и сценариев, полезных при практическом применении Концепции.
<1> Модель COSO по новым правилам // МСФО на практике. 2014. N 4 (http://msfo-practice.ru/article.aspx?aid=335613).

Дополнительно COSO выпустил сборник подходов и примеров, иллюстрирующих применение обновленной Концепции при подготовке внешней финансовой отчетности (Internal control over external financial reporting: a compendium of approaches and examples). Документ должен помочь пользователям при оценке соответствия действующей в компании системы внутреннего контроля требованиям Концепции.

В обновленной Концепции COSO остались неизменными:

В обновленной Концепции COSO сформулированы 17 основных принципов функционирования системы внутреннего контроля, соответствующие пяти ее компонентам. Эти принципы призваны обеспечить лучшее понимание требований к разработке и внедрению эффективной системы внутреннего контроля, а также оценке ее эффективности. Обновленная Концепция COSO выделяет наиболее важные характеристики, касающиеся этих принципов, - так называемые точки фокуса (points of focus).

Контрольная среда

  1. Компания демонстрирует приверженность политике честности и соблюдения этических норм.
  2. Совет директоров не зависит от менеджмента компании и осуществляет наблюдение за разработкой системы внутреннего контроля и ее исполнением.
  3. Менеджмент компании под контролем совета директоров определяет структуру, порядок подотчетности, полномочия и степень ответственности каждого в достижении поставленных целей.
  4. Организация прилагает все усилия, чтобы привлекать, развивать и удерживать компетентных лиц в соответствии с поставленными целями.
  5. В организации должны быть назначены сотрудники, отвечающие на своих участках за функционирование системы внутреннего контроля.

Оценка риска

  1. Организация с достаточной ясностью определяет цели для обеспечения возможности выявления и оценки рисков, относящихся к поставленным целям.
  2. Организация выявляет риски в целом в рамках предприятия и анализирует, каким образом этими рисками следует управлять.
  3. Организация выявляет возможность мошенничества при оценке рисков, связанных с достижением целей.
  4. Организация выявляет и оценивает изменения, которые могут существенно повлиять на систему внутреннего контроля.

Действия по осуществлению контроля

  1. Организация разрабатывает контрольные мероприятия, способствующие снижению рисков до приемлемого уровня.
  2. Организация разрабатывает общие контрольные мероприятия в отношении технологии.
  3. Организация утверждает политику и процедуры, которые приводят политику в действие.

Информация и коммуникация

  1. Организация использует уместную и качественную информацию для поддержки функционирования системы внутреннего контроля.
  2. Внутри организации происходит обмен информацией, необходимой для поддержания функционирования системы внутреннего контроля.
  3. Организация взаимодействует с внешними сторонами по вопросам, затрагивающим функционирование внутреннего контроля.

Мониторинг

  1. Организация осуществляет непрерывную и (или) выборочную оценку того, как присутствуют и функционируют все компоненты внутреннего контроля.
  2. В компании своевременно сообщается о недостатках системы внутреннего контроля лицам, ответственным за принятие корректирующих действий, в том числе высшему руководству и совету директоров, если это необходимо.

В обновленной Концепции COSO уточнены требования к эффективной системе внутреннего контроля, а именно: эффективная система внутреннего контроля должна обеспечивать достаточную (не абсолютную!) уверенность в том, что поставленные цели компанией будут достигнуты. Такая система снижает риск недостижения целей (как операционных, так и целей в области подготовки отчетности и соблюдения законодательства) до приемлемого уровня.

Критерий эффективности

Для оценки эффективности системы внутреннего контроля COSO вводит термин "существенные недостатки внутреннего контроля" (major deficiencies), которые влияют на оценку компонентов системы внутреннего контроля. При наличии major deficiencies менеджмент компании не может сделать вывод о том, что система внутреннего контроля эффективна.

Major deficiencies существуют также, когда компонент или соответствующие ему принципы не определены (не описаны во внутренних документах компании), и (или) определены, но не внедрены, и (или) определены и внедрены, но не выполняются, и (или) эти принципы/компоненты не работают все вместе. Главные недостатки в соответствующем компоненте/принципе не могут быть компенсированы приемлемым уровнем, наличием или функционированием других компонентов/принципов <1>.

<1> Internal Control - Integrated Framework, Framework and Appendices, May 14, 2013.

Если компания выявляет, что внутренний контроль недостаточен, то Концепция COSO в таком случае требует оценить степень его недостаточности. На основании своего профессионального суждения руководство в таких обстоятельствах должно оценить, присутствуют ли и должным ли образом функционируют каждый из компонентов и соответствующий принцип, а также работают ли все пять компонентов вместе. При этом следует исходить из поставленных целей компании.

Выводы

Учитывая, что Банк России стремится соответствовать лучшим мировым практикам в области внутреннего контроля и аудита, можно с высокой долей вероятности предположить, что при проведении оценки системы внутреннего контроля Банк России будет рекомендовать российским кредитным организациям использовать подходы COSO, с примерами которых можно ознакомиться в пояснительных примерах Illustrative tool for assessing effectiveness of a system of internal control.

Однако по-прежнему открытым остается вопрос: кто именно в кредитной организации должен принимать решение о том, что, как и в каком объеме следует оценивать. Можно лишь предположить, что это должны делать органы управления кредитной организации, и прежде всего совет директоров. Ведь только при заинтересованности этого органа управления процедура оценки может стать не формальной, а действительно жизненно необходимой для органов управления, менеджмента и сотрудников кредитной организации.

Т.А.Цыпурко

Директор

управления методологии

и развития

департамент внутреннего контроля

ГПО (ОАО)