Система внутренного контроля банка

     В Практических указаниях (ПУ) по применению стандартов уточняются миссия внутреннего аудита и его роль в корпоративном управлении, системе управления рисками и внутреннего контроля. Согласно определению внутреннего аудита и стандартам, внутренние аудиторы могут выполнять несколько различных функций, давая оценку и внося свой вклад в совершенствование корпоративного управления. Как правило, внутренние аудиторы проводят объективную, независимую оценку дизайна и операционной эффективности корпоративного управления организации. Они могут также давать консультации и рекомендации по улучшению этих процессов. В некоторых случаях внутренних аудиторов привлекают для оказания помощи совету в проведении самооценки корпоративного управления. [9, С.22]

     Руководитель  внутреннего аудита формирует мнение об адекватности и эффективности процессов внутреннего контроля в целом в организации, целью которых является содействие управлению рисками организации и достижению установленных и заявленных компанией целей.

     Это мнение должно базироваться на достаточных аудиторских доказательствах, полученных в процессе проведения аудитов и, где это возможно, базирующихся на результатах работы других лиц, предоставляющих гарантии. В этом состоит наиболее сложная задача внутреннего аудита — оценить эффективность процессов контроля организации посредством агрегирования множества отдельных оценок. Такие оценки производят в процессе осуществления внутреннего аудита, анализа самооценки руководства и получают от других субъектов, предоставляющих гарантии.

     По  мере выполнения заданий внутренние аудиторы должны своевременно информировать руководителей соответствующего уровня о выявленных недостатках, чтобы можно было предпринять незамедлительные действия для корректировки или снижения негативных последствий выявленных расхождений или слабых мест контроля.

     Корпоративное управление не является набором отдельных  и обособленных процессов и структур, а непосредственно связано с  управлением рисками и внутренним контролем. Эффективное корпоративное  управление предполагает, что риск учитывается при определении стратегии. В свою очередь, управление рисками опирается на поведение высшего руководства, риск-аппетит и допустимые пределы риска, культуру управления рисками и систему надзора за такого рода деятельностью (т.е. на эффективное корпоративное управление). Контроль и риск также взаимосвязаны, поскольку контроль определяется как «любые действия руководства, совета и других сторон по управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач». [5, С.81]

       Следует привлечь внимание к  нескольким ПУ, опубликованным весной 2010 г., по вопросам корпоративного  управления:

• ПУ 2110-1 «Корпоративное управление: Определение»;
• ПУ 2110-2 «Корпоративное управление: Взаимосвязь с риском и контролем»;
• ПУ 2110-3 «Корпоративное управление: Оценки».

     Согласно  новым ПУ, в рамках внутреннего  аудита процессы корпоративного управления оцениваются на основе информации, полученной в ходе выполнения многочисленных аудиторских заданий предшествующих периодов. Внутренний аудитор должен принять во внимание:

• результаты аудитов отдельных процессов корпоративного управления(например, процесса конфиденциального информирования руководства, процесса стратегического управления);
• особенности корпоративного управления, выявленные в ходе аудитов, не связанных с ним напрямую (например, в рамках аудита процессов управления рисками, процедур внутреннего контроля при составлении финансовой отчетности или рисков мошенничества);
• результаты работы других внутренних или внешних специалистов, предоставляющих гарантии (например, компании, приглашенной главным юрисконсультом для обзора процесса проведения расследований);
• иную информацию об особенностях корпоративного управления, как, например, данные о неблагоприятных происшествиях, указывающие на возможность совершенствования системы корпоративного управления.

     В ходе планирования, проведения оценок и составления отчетности внутренний аудитор должен учитывать потенциальный  характер и возможные последствия  полученных результатов и обеспечить соответствующий обмен информацией с советом и высшим исполнительным руководством. Руководитель внутреннего аудита должен учитывать эти взаимосвязи при планировании заданий, включающих оценку процессов корпоративного управления. [8, С.44]

     В качестве предмета аудита необходимо выбрать процедуры контроля процесса корпоративного управления, предназначенные для предотвращения или обнаружения фактов, которые могут иметь негативное влияние на стратегию, цели и задачи организации, операционную эффективность и результативность, финансовую отчетность, соответствие действующим законодательным и регулятивным нормам (см. ПУ 2110-3).

     Средства  контроля в рамках процесса корпоративного управления часто имеют существенное значение для управления рисками  внутри организации. Например, контроль соблюдения кодекса поведения может использоваться для управления комплекс-рисками, риском мошенничества и т.д. Такой комплексный эффект следует учитывать при планировании аудита.

     Если  в других аудиторских заданиях оценивается  корпоративное управление (например, при аудите средств контроля финансовой отчетности, процессов управления рисками или комплекс), то аудитор должен рассмотреть возможность использования их результатов.

     Любая оценка начинается с определения  критериев. Следовательно, при выполнении консультационных заданий по развитию систем управления рисками (СУР) и внутреннего контроля (СВК), равно как и при оценке процедур контроля, внутренние аудиторы должны прежде всего убедиться в том, что исполнительное руководство установило адекватные критерии оценки достижения целей и выполнения задач (стандарт 2210.А3). Если критерии адекватны, аудитор руководствуется ими, в противном случае совместно с исполнительным руководством вырабатывает надлежащие критерии оценки на основе применимых в конкретном случае передовых методик и технологических образцов (так называемой образцовой практики — best practice), которые позволяют организации совершенствовать процессы для достижения уровня выше среднего в данной отрасли. Следовательно, изначально внутренний аудит нацелен на то, чтобы приносить пользу и создавать добавленную стоимость организации. [7, С.29]

     Нормативно-методические документы, применяемые при проведении оценки и консультировании по вопросам совершенствования СУР и СВК  в банках, можно разделить на три основных группы:

• концепции, общие для организаций различных отраслей;
• нормативные акты регуляторов банковской отрасли;
• рекомендации специализированных, эксперт-ных организаций и практика передовых банков.

     Среди целей, которые ставятся перед эффективными СУР и СВК в любых отраслях, можно выделить предоставление надежной, достоверной, своевременной информации о результатах деятельности организации. Соответственно, внутренний аудитор может воспользоваться методами работы внешних экспертов в процессе оценки работы СУР и СВК или консультирования по вопросам их развития. Для банков эта цель наиболее актуальна в связи со спецификой отрасли и ежедневным характером отчетности.

     Как известно, для оценки рисков вложений в обязательства организаций  — эмитентов ценных бумаг инвесторы привлекают специализированные компании: внешних аудиторов, специалистов по оценке и рейтинговые агентства, задачей которых в подобных сделках является внешняя оценка надежности СУР и СВК, осуществляемая в процессе всестороннего исследования деятельности компании (due diligence).

     В российской банковской практике соответствующая  задача для внешнего аудитора закреплена законодательно. Согласно Закону «О банках и банковской деятельности» аудиторская  организация обязана составить  заключение о результатах аудиторской проверки, содержащее сведения о достоверности финансовой отчетности кредитной организации, о выполнении ею обязательных нормативов, установленных Банком России, о качестве управления данной компанией и о состоянии внутреннего контроля (ФЗ №395-1, ст. 42). Основы методики, в соответствии с которой внешний аудитор будет оценивать состояние внутреннего контроля, определены федеральными правилами (стандартами) аудиторской деятельности. В контексте исследования нам наиболее интересно правило №8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» (в ред. Постановления Правительства РФ от

19.11.2008 №863). [2, С.11]

     Описанные в данном правиле составные компоненты СВК фактически совпадают (с учетом российской специфики) с наиболее известными и применяемыми в настоящее время концептуальными моделями СУР и СВК — COSO IC-IF (Internal Control — Integrated Framework, «Внутренний кон-троль: интегрированный подход» — модель, при-нятая комиссией Тридуэя в 1992 г.) и COSO ERM (Enterprise Risk Management, «Управление рисками организации» — интегрированная модель, принятая комиссией Тридуэя в 2004 г.).

     Цели  управления рисками модели COSO ERM:

• стратегические — цели высокого уровня, соотнесен-ные с миссией организации;
• операционные — результативное и эффективное использование ресурсов;
• цели в области подготовки отчетности — обеспечение достоверности;
• цели в области соблюдения законодательства — соблюдение применимых законодательных и нормативных актов (комплаенс).

     Кроме того, в этом и других правилах задаются общие понятия (глоссарий) и подходы  к оценке роли внутреннего аудита. Тем самым формируются три  ключевых составляющих, необходимых для создания интегрированной модели оценки СУР и СВК для определения достоверности отчетности: понятийный аппарат, составные компоненты СВК, внутренний аудит. [9, С.48]

     Кроме того,  следует упомянуть также  документы Международной организации по стандартам (ISO) относительно систем менеджмента качества (стандарты ISO 19011, ISO серии 9000 и др.). Понятие «управление качеством» имеет много общего с понятием «управление рисками», поскольку при повышении качества продукции и при создании СМК преследуются те же цели, что и при управлении рисками, как минимум это верно в отношении операционных и комплаенс-целей. Согласно нормам ISO по СМК организация должна:

• планировать и осуществлять мониторинг, измерения и анализ, производить улучшения, не-обходимые для того, чтобы продемонстрировать соответствие продукции и СМК стандартам качества и непрерывное улучшение результативности данной системы;
• проводить через запланированные интервалы времени внутренний аудит для определения того, соответствует ли СМК запланированным мероприятиям, требованиям стандарта и самой организации, насколько эффективно была внедрена данная система и поддерживается ли она в рабочем состоянии.

     В ряде случаев банковскому внутреннему  аудитору целесообразно воспользоваться стандартами ISO для определения критериев оценки СУР и СВК. В российской практике эти стандарты применяются в кастомизированной версии:

• «Системы менеджмента качества. Основные положения и словарь». ГОСТ Р ИСО 9000-2001 (Постановление Госстандарта РФ от 15.08.2001 №332-ст);
• «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента». ГОСТ Р ИСО 19011-2003 (Постановление Госстандарта РФ от 29.12.2003 №432-ст).

     Вслед за Положением №242-П, во многом основанном на рекомендациях БКБН 40 и моделях COSO, Банк России выпустил ряд документов, рассматривающих различные аспекты управления нефинансовыми рисками (в частности, операционными, правовыми, репутационными рисками). Для банковского сообщества эти документы де-факто создают единый стандарт, на который можно ориентироваться (а учитывая российскую практику осуществления надзора и проведения проверок, необходимо ориентироваться, буквально выполняя каждую рекомендацию) при совершенствовании внутрибанковской системы контроля. [7, С.33]

     Прежде  всего, следует упомянуть Указания №2005-У и №1379-У, составляющие комплексную систему оценки показателей финансовой устойчивости, включая оценку СУР и СВК по нескольким формализованным критериям. В этих документах более полно раскрываются необходимые для данной оценки элементы, однако обусловлено это только целями соблюдения законодательства (комплаенс) и достоверности отчетности. Наиболее полно методики оценки СУР и СВК для целей регулятора изложены в рекомендациях для проверяющих: