ФОРМИРОВАНИЕ СИСТЕМ ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА В КРЕДИТНОЙ ОРГАНИЗАЦИИ

Международный опыт организации и функционирования системы внутреннего контроля.

Во всем мире все большее внимание уделяют надежности систем внутреннего контроля. Отчасти такой повышенный интерес к внутреннему контролю объясняется существенными убытками, понесенными рядом банковских учреждений. Анализ проблем, вызвавших эти убытки, показывает, что их можно было избежать, если бы банки имели эффективные системы внутреннего контроля. Такие системы помогли бы предотвратить или своевременно выявить проблемы, которые привели к убыткам, тем самым, уменьшая ущерб, понесенный банковскими организациями.

Система внутреннего контроля в рекомендациях Базельского комитета по банковскому надзору означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций - AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, НА) и Института специалистов управленческого учета (Institute of Management Accountants) - была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James С. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным

организациям - спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием "Интегрированная концепция внутреннего контроля" (Internal Control - Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля. В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

  • - Внутренний контроль - это процесс, то есть средство достижения цели, а не самоцель.
  • - Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
  • - От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
  • - Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности.

Согласно COSO, внутренний контроль - это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

  • 1. Целесообразность и финансовая эффективность деятельности (включая сохранность активов).
  • 2. Достоверность финансовой отчетности.
  • 3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

  • (1) контрольная среда и нравственный климат,
  • (2) оценка риска,
  • (3) мероприятия контроля,
  • (4) сбор и анализ информации и передача ее по назначению,
  • (5) мониторинг и исправление ошибок.

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления (Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (СоСо) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В СоСо нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками - Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

"Цели контроля за информационными и связанными с ними технологиями" (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, I SAC A)..

В настоящее время аббревиатура I SAC A (Information System Audit and Control Association - Ассоциации аудита и контроля информационных систем) используется без расшифровки, поскольку спектр решаемых ею вопросов с 1969 года, когда она была первоначально создана в США, заметно вырос. Поэтому более верен вольный перевод: ассоциация, объединяющая профессионалов в области руководства и управления ИТ, включая информационную безопасность. Целями ассоциации являются продвижение методологий, передовых практик, образования, содействие в повышении квалификации и получении профессиональных сертификаций в областях корпоративного управления ИТ, аудита ИТ и информационной безопасности.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа ("Основы оценки системы внутреннего контроля" и "Система внутреннего контроля в банках: основы организации'', Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках. Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы - оценка состояния системы внутреннего контроля органами банковского надзора. (Более подробно о принципах изложено в разделе

3.2.)

В июле 2000 года и августе 2001 были изданы также рекомендации "Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами" и "Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов" (Публикации №72 и 84), которые были переработаны в 2012 и в 2014 г. Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO - "Концепции управления рисками предприятия" (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере - ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности.

Изменение роли службы внутреннего аудита стало реальностью. Этому прежде всего способствовал финансовый кризис, который вынудил акционеров, высший менеджмент по-новому расставить акценты в управлении кредитными организациями, а регуляторы начали активно менять правила банковского бизнеса. Рассмотрим основные изменения в области внутреннего аудита с точки зрения регулирования и управления.

Базельский комитет по банковскому надзору (далее - БКБН) в декабре 2011 г. опубликовал консультативный документ «Функция внутреннего аудита в банках», который обсуждался до 2 марта 2012 г. Окончательный вариант вышел в июне 2012 г. и заменил собой документ № 84, 2001 года. В документе предлагается пересмотреть функции внутреннего аудита в кредитных организациях с точки зрения банковского регулятора.

Регуляторы усиливают оценочную составляющую в области внутреннего аудита

Одной из причин появления данного документа стал финансовый кризис 2008 г. С учетом лучшей международной практики рекомендуется наделить внутренних аудиторов кредитных организаций существенными полномочиями и большей степенью независимости. Полномочия должны позволить внутренним аудиторам играть более активную роль. Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее - Положение № 242-П) также было разработано с учетом рекомендаций Базельского комитета по банковскому надзору. Но банковская нормативно-правовая база требует дальнейшего развития с учетом динамичного развития бизнеса и уроков финансового кризиса.

Документ содержит определение внутреннего аудита, данное Институтом внутренних аудиторов (НА): «Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления». Таким образом, подтверждается связь и преемственность подходов Института внутренних аудиторов и БКБН.

Позиция Базельского комитета по банковскому надзору относительно функции внутреннего аудита находится в общем русле решения задач в сфере эффективного корпоративного управления, а также реализации положений Базеля II и ожиданий от внедрения Базеля III. Эффективное управление рисками, структурное управление и активный внутренний аудит - это залог успеха. Качественные изменения в деятельности службы внутреннего аудита (далее - СВА) являются составной частью эффективного корпоративного управления. Модель построения риск-ориентированного внутреннего аудита в кредитных организациях можно считать наиболее экономически оправданной с точки зрения выгод и затрат. Качественное развитие внутреннего аудита позволит за счет эффективного управления рисками сделать бизнес финансово стабильным.

Основные положения документа с учетом изменений

1. Документ четко выделяет три линии обороны в защите кредитных организаций. Международная лучшая практика предполагает, что внутренние аудиторы выступают в качестве третьей линии защиты в рамках интегрированной структуры корпоративного управления, управления рисками и соответствия нормативно-правовым требованиям. Для данной роли внутренний аудит должен быть независимым и иметь возможность оценивать риски, влияющие на организацию. Упрощенное графическое изображение дано на рис. 5. В соответствии с Принципом 13 внутренний аудит должен, с одной стороны, дополнять, а с другой стороны - оценивать операционное управление, управление рисками, комплаенс и другие контрольные функции.

Три линии защиты в кредитной организации

Рисунок 5. Три линии защиты в кредитной организации

  • 2. Документ позволяет занять более бескомпромиссную позицию по вопросу независимости внутреннего аудита. Принцип 2 устанавливает, что функция внутреннего аудита должна быть независима от аудируемой деятельности. Главный вопрос - это вознаграждение внутреннего аудитора. Его независимость и объективность могут быть поставлены под сомнение, если вознаграждение связано с финансовыми показателями аудируемого подразделения или финансовыми показателями кредитной организации в целом.
  • 3. Расширяется роль внутреннего аудита в вопросах соблюдения пруденциальных норм. И ранее было предусмотрено, что внутренний аудит ревьюирует политику, процессы и управление. В Документе интересны Принципы 6 и 7. Функция внутреннего аудита должна иметь способность ревьюировать ключевые функции управления рисками, достаточность собственных средств (капитала), вопросы ликвидности, а также вопросы проведения стресс-тестов, обоснованность сценариев, надежность процессов.
  • 4. Отношения между надзорными органами и внутренними аудиторами должны быть существенно расширены. В частности, значительное внимание уделено связи между ними, а также подчеркнута необходимость более широкого обмена информацией. Признано, что отношения должны быть построены на основе эффективного обмена информацией (Принцип 16). Предполагается, что предметом обсуждения может стать бизнес-модель организации, включая риски, возникающие в ходе деятельности, процессы и функции, адекватность контроля и обзор рисков, например:
    • - методология оценки рисков и эффективность процедур по управлению рисками: кредитным, рыночным, операционным, риском ликвидности (в т.ч. информационные технологии и непрерывность бизнеса), а также другими рисками, имеющими отношение к Базельским требованиям в области достаточности капитала (требования Компонента 2);
    • - планирование;
    • - аутсорсинг;
    • - риск мошенничества.

Таким образом, БКБН более четко обозначил свою позицию по принципиальным вопросам, имеющим отношение к функции внутреннего аудита.

Коммуникационные каналы функции внутреннего аудита

Консультативный документ указал источники, раскрывающие коммуникационные каналы функции внутреннего аудита, которые представлены в Основных принципах Базельского комитета по банковскому надзору и других руководствах, выпущенных БКБН, а также в международных стандартах аудита (IAS) и стандартах Института внутренних аудиторов (НА). Схема на рис. 6 отражает коммуникационные каналы только для функции внутреннего аудита. Для понимания процесса передачи информации процитируем только стандарты Института внутренних аудиторов, Международные основы профессиональной практики (МОПП)1:

- 1000 - Цели, полномочия и ответственность.

Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите), соответствующем Определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.

Коммуникационные каналы

Рисунок 6. Коммуникационные каналы

1100 - Независимость и объективность.

Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.

1110 - Организационная независимость.

Руководитель внутреннего аудита должен отчитываться органу управления такого уровня, который позволил бы подразделению внутреннего аудита выполнять свои обязанности. Руководитель внутреннего аудита должен подтверждать Совету факт организационной независимости внутреннего аудита, по крайней мере один раз в год.

1111 - Прямое взаимодействие с Советом.

Руководитель внутреннего аудита должен поддерживать отношения и напрямую взаимодействовать с Советом.

2440 - Сообщение результатов.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих лиц.

2440 С2.

В ходе выполнения заданий по консультированию могут быть обнаружены проблемы в области корпоративного управления, управления рисками и внутреннего контроля. В случае если эти проблемы являются существенными, они должны быть доведены до сведения высшего исполнительного руководства и Совета.

Перечисленные стандарты ИА позволяют четко выделить основные направления взаимодействия внутреннего аудита в кредитных организациях, надзорных органов, внешнего аудитора, высшего руководства, Совета директоров и Комитета по аудиту.

С началом экономических реформ в России начали постепенно отходить от практики проведения исключительно ревизии. Долгие годы в хозяйственной жизни фактически отсутствовала экономическая конкуренция. Переход от распределительной экономики к рыночной изменил суть внутреннего аудита. Основными заказчиками внутреннего аудита являются заинтересованные стороны.

Процесс идет достаточно быстро, но еще бывает, когда руководство кредитных организаций упускает из вида функции внутреннего аудита, что приводит к слабому финансированию, недоукомплектованности штата, отсутствию обучения, недостаточному оснащению информационными технологиями. Вместе с тем значительное количество кредитных организаций вносит серьезные изменения в работу службы внутреннего аудита, а именно: внедряется передовой международный опыт; происходит переориентация функции внутреннего аудита на риски и эффективность деятельности, а не только на соблюдение нормативных требований; инвестируются ресурсы в качество, персонал и новые технологии. Изменения позволяют повысить доверие к внутреннему аудиту в целом.

Документ подтвердил позицию международного регулятора в области внутреннего аудита. В целом можно отметить быстрый рост интереса как к самой профессии, так и к профессиональному обучению внутреннему аудиту. Давно уже обсуждается перечень сертификатов и аттестатов, свидетельствующих о получении дополнительного профессионального образования (квалификации), наличие которых у специалистов может подтверждать квалификацию в соответствии с Положением № 242-П. Наиболее распространены в России

аудиторские аттестаты, выдаваемые Министерством финансов РФ. Международная практика требует в основном наличия квалификации CIA (дипломированный внутренний аудитор), которая была переведена на русский язык и стала доступна с 2011 г.

С учетом положений документа БКБН, можно предположить, что в ближайшее время будет необходимо:

  • -пересматривать внутренние документы, касающиеся функции внутреннего аудита, приводя их в соответствие с нормативными документами и международными профессиональными стандартами;
  • - определить функции и задачи внутреннего аудита во взаимодействии с другими службами;
  • -повысить требования к независимости внутренних аудитов; -разработать программы повышения качества работы внутреннего аудита;
  • -на регулярной основе проводить оценку функции внутреннего аудита;
  • -строить эффективные взаимоотношения с регуляторами.

Таким образом, внутренний аудит в кредитных организациях ждет дальнейшее качественное развитие, базирующееся на лучшей международной практике, и это подтверждают документы Базельского комитета по банковскому надзору.

Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков - важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >