Базельский Комитет по Банковскому Надзору
Базель, Январь 1998
Содержание
ВВЕДЕНИЕ 3
I. ОСНОВНЫЕ СВЕДЕНИЯ 8
II. ЦЕЛИ И РОЛЬ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ 10
III. ОСНОВНЫЕ ЭЛЕМЕНТЫ ВНУТРЕННЕГО КОНТРОЛЯ 12
А. КОНТРОЛЬ СО СТОРОНЫ РУКОВОДСТВА И КУЛЬТУРА КОНТРОЛЯ 12
1. Совет банка 12
2. Высшее руководство 13
3. Культура контроля 14
Б. ОЦЕНКА РИСКА 15
В. ДЕЯТЕЛЬНОСТЬ ПО ПРОВЕДЕНИЮ КОНТРОЛЯ 16
Г. ИНФОРМАЦИЯ И ОБМЕН ИНФОРМАЦИЕЙ 19
Д. МОНИТОРИНГ 21
IV. ОЦЕНКА СИСТЕМ ВНУТРЕННЕГО КОНТРОЛЯ ОРГАНАМИ НАДЗОРА. 24
V. РОЛЬ И ОБЯЗАННОСТИ ВНЕШНИХ АУДИТОРОВ. 27
ПРИЛОЖЕНИЕ - УРОКИ НАДЗОРА ПОЛУЧЕННЫЕ В РЕЗУЛЬТАТЕ
ПРОВАЛОВ В РАБОТЕ ВНУТРЕННЕГО КОНТРОЛЯ. 28
Опорные положения оценки системы внутреннего контроля
ВВЕДЕНИЕ
1. Частью ежедневных усилий Базельского Комитета по Банковскому Надзору предоставить представителям банковского надзора руководство и усовершенствовать систему надзора на его основе, что обеспечило бы адекватное управление риском, является создание им данного проекта для рассмотрения его представителями банковского надзора и другими заинтересованными лицами. Предполагается, что данные опорные положения будут применяться представителями банковского надзора при оценивании системы внутреннего контроля банка. Система эффективного внутреннего контроля является неотъемлемым компонентом управления банком и основой для безопасной и надежной деятельности банковских организаций. Система строгого внутреннего контроля поможет обеспечить реализацию банковской организацией поставленных целей, достижение продолжительной прибыльной деятельности и поддержание в надлежащем виде финансовой отчетности и отчетности руководства банка. Кроме того, данная система поможет обеспечить подчинение банка общим законам и положениям, внутрибанковским положениям, планам, внутренним правилам и процедурам, а также снизить риск возникновения непредвиденных убытков или повреждения репутации банка. Данный проект раскрывает неотъемлемые элементы надежной системы внутреннего контроля, основываясь на опыте стран-участников и принципах, установленных в предыдущих публикациях Комитета. Целью проекта является определение ряда принципов для применения их органами банковского надзора при оценивании систем внутреннего контроля.
2. Базельский Комитет в сотрудничестве с представителями банковского надзора всего мира сосредоточил свое внимание на важности существования надежной системы внутреннего контроля. Такой повышенный интерес к вопросу внутреннего контроля является, в какой-то степени, результатом значительных убытков, понесенных некоторыми банковскими организациями. Анализ проблем, связанных с этими убытками, показывает, что их можно было бы избежать, если бы банк использовал систему эффективного внутреннего контроля. Подобные системы предотвратили бы возникновение или сделали бы возможным немедленное обнаружение проблем, которые привели к убыткам, и, как следствие, сократили бы ущерб, понесенный банковской организацией. При создании этих принципов Комитет опирался на опыт работы с проблемными банками отдельных стран-членов.
3. Данные принципы предполагают общее применение, и органы банковского надзора должны использовать их при оценивании своих собственных методов надзора и процедур, контролирующих работу системы внутреннего контроля банка. Поскольку частный подход, выбранный отдельными представителями банковского надзора, зависит от множества факторов, включая технику выездного и безвыездного надзора и степень вовлеченности внешних аудиторов в проведение надзора, все члены Базельского Комитета поддерживают ту точку зрения, что для оценки системы внутреннего контроля должны применяться принципы, разработанные в данном проекте.
4. Базельский Комитет подает данный проект на рассмотрение органам банковского надзора всего мира, надеясь, что разработанные им принципы послужат полезной основой для эффективного осуществления надзора за работой системы внутреннего контроля. Одним словом, Комитет хочет сделать акцент на том, что надежная работа внутреннего контроля является существенно необходимым условием нормального функционирования банков и укрепления стабильности финансовой системы в целом.
5. Руководство, изданное Базельским Комитетом ранее, включало, как правило, дискуссии по поводу влияния внутреннего контроля на определенные виды банковской деятельности, такие как оценка риска процентной ставки, торговая и связанная с торговой деятельность. В отличии от ранее изданного, данное руководство представляет только основные положения, что облегчает применение ее представителями банковского надзора при оценивании внутреннего контроля над всеми видами балансовой и внебалансовой видами деятельности банковских организаций. В руководство внимание не сосредотачивается внимание на специфических видах деятельности банковских организации. Его применение зависит от характера и степени сложности операций, а также от наличия риска, связанного с их осуществлением банком. В разделах III и IV данного проекта Комитет помещает 14 принципов для применения их органами банковского надзора при оценивании работы системы внутреннего контроля банка. Кроме того, в приложении изложены выводы, сделанные службами надзора на основе изучения недостатков ранее проводимого внутреннего контроля.
Принципы оценивания работы систем внутреннего контроля
Надзор со стороны руководства и культура контроля
Принцип 1:Совет банка отвечает за утверждение стратегий и положений; оценивание риска, которому подвергается банк, установление приемлемых уровней этого риска и обеспечение того, чтобы высшее руководство предприняло шаги, необходимые для идентификации, мониторинга и контроля за этими рисками; утверждение организационной структуры; обеспечение проверки высшим руководством эффективности работы системы внутреннего контроля.
Принцип 2:
Высшее руководство отвечает за применение стратегий, одобренных советом банка; выполнение соответствующих положений о внутреннем контроле; проверку эффективности работы системы внутреннего контроля.
Принцип 3:
Совет и высшее руководство банка отвечают за соблюдение этических норм и высокоморальных принципов, за соблюдение культуры в организации, что подчеркивает и демонстрирует персоналу всех уровней важность внутреннего контроля. Персоналу банковской организации всех уровней необходимо осознавать свою роль в процессе внутреннего контроля и всецело участвовать в нем.
Оценка риска
Принцип 4:Высшему руководству необходимо выявить и оценить возможность негативного влияния внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижения целей банка. Такая оценка должна охватывать все возможные виды риска, которому подвергается банк (например, кредитный риск, риск страны и недоставки, рыночный риск, риск процентной ставки, риск ликвидности, операционный риск, юридический риск и риск повреждения репутации).
Принцип 5:
Высшее руководство должно обеспечивать постоянное оценивание риска, влияющего на цели и стратегии банка. Возможно, в процесс внутреннего контроля необходимо будет внести изменения в соответствии с новым либо ранее неоцененным видом риска.
Деятельность по проведению контроля
Принцип 6:Деятельность по проведению контроля является неотъемлемой частью ежедневно осуществляемых банком операций. Высшее руководство должно учредить подходящую для эффективного осуществления внутреннего контроля структуру контроля, определяя его функции на каждом уровне деятельности. К ним относятся: проверки, санкционированные высшим руководством, контроль за деятельностью различных департаментов и отделов; физический контроль; периодические проверки соблюдения лимитов риска; система выдачи разрешений и наложения санкций; система подтверждений и согласований. Высшее руководство должно периодически проверять подчинение всех видов деятельности банка установленным положениям и процедурам.
Принцип 7:
Высшее руководство должно обеспечивать подходящее распределение обязанностей, а также следить за тем, чтобы персонал не исполнял противоречивые обязанности. Необходимо выявить, минимизировать и держать под контролем области потенциального столкновения интересов.
Информация и обмен информацией
Принцип 8:
Высшее руководство должно обеспечить адекватность и всесторонность внутренних финансовых, операционных данных и данных о подчинении установленным законам и положениям, а также информации о событиях и условиях на внешнем рынке, которые касаются принимаемых решений. Информация должна быть надежной, своевременной, доступной, а также должна излагаться последовательно.Принцип 9:
Высшее руководство должно установить эффективные каналы обмена информацией для того, чтобы весь персонал был в курсе положений и процедур, отображающихся на их обязанностях, а также чтобы соответствующие сотрудники могли получать соответствующую информацию.
Принцип 10:
Высшее руководство должно обеспечить создание на месте соответствующих информационных систем, которые охватывали бы все виды деятельности банка. Данные системы, включая те, которые содержат и используют данные в электронном виде, должны быть достаточно надежными и должны периодически проверяться.
Мониторинг
Принцип 11:Высшее руководство должно постоянно проверять общую эффективность внутреннего контроля банка для оказания помощи в достижении организацией намеченных целей. Проверка основных видов риска должна стать ежедневной процедурой, проводимой банком, и должна включать оценку разных видов риска отдельно, как требовалось.
Принцип 12:
Необходимо провести эффективный и всесторонний внутренний аудит системы внутреннего контроля, который осуществлялся бы соответственно подготовленным, компетентным персоналом. Отчет о проведении внутреннего аудита, который является частью проверки системы внутреннего контроля, подается непосредственно совету банка или ревизионной комиссии и высшему руководству банка.
Принцип 13:
О выявленных недостатках внутреннего контроля необходимо своевременно сообщить руководству соответствующего уровня. О материальных недостатках проведения внутреннего контроля сообщается в высшее руководство.
Оценка работы систем внутреннего контроля органами банковского надзора
Принцип 14:Представители банковского надзора должны требовать у всех банков, независимо от их размера, создания эффективной системы внутреннего контроля, которая соответствовала бы балансовым и внебалансовым видам деятельности банка, их характеру, степени сложности и видам риска, которому они подвергаются, а также соответствовала бы изменениям внешних и внутренних условий работы банка. В случае, если представители банковского надзора признают неадекватность системы внутреннего контроля банка (например, несоблюдение банком принципов, излагаемым в данном документе), они должны предпринять по отношению к банку меры по немедленному улучшению системы внутреннего контроля.
I. Основные сведения
1. Базельский Комитет изучил недавние проблемы, с которыми столкнулись банки, с целью выявления основных источников возникновения проблем, связанных с внутренним контролем. Выявленные проблемы подчеркивают необходимость привлечения внимания представителей надзора, а также директоров банка и руководства, внутренних и внешних аудиторов к вопросу усовершенствования систем внутреннего контроля и проведения постоянной оценки их эффективности. Как показывает недавняя практика, слабый внутренний контроль может привести банк к значительным убыткам.
2. Типы сбоев в работе контроля , которые легко проследить в случаях с проблемными банками, могут быть разделены на 5 обширных категорий:
• Отсутствие адекватного контроля и безответственность со стороны руководства, неспособность обеспечить высокую культуру проведения контроля в банке. Все без исключения случаи понесения убытка свидетельствуют об отсутствии культуры проведения контроля и о невнимании руководства к данному вопросу, о недостатке контроля со стороны совета и высшего руководства, а также о безответственности руководства относительно распределения ролей и обязанностей. Также, подобные случаи доказывают отсутствие необходимой мотивации для проведения усиленного надзора со стороны менеджеров среднего звена и поддержания на высоком уровне сознательности проведения надзора в сферах бизнеса.
• Неадекватная оценка риска в определенных видах банковской деятельности, как балансовой так и внебалансовой. Ряд банковских организаций, которые понесли убытки, пренебрегали проведением постоянной оценки риска, связанного с новой продукцией и новыми видами деятельности, или внесением изменений в результаты оценки риска в соответствии со значительными изменениями внешних факторов или условий бизнеса. Ряд недавних случаев свидетельствует о том, что система контроля, которая срабатывает для традиционных или простых видов деятельности, является неработоспособной в случае, если деятельность носит более сложный характер.
• Отсутствие или неадекватность основных видов деятельности по проведению контроля, таких как распределение обязанностей, выдача разрешений, подтверждения, согласования и проверки осуществления операций. Отсутствие распределения обязанностей, в частности, играет основную роль в понесении банками значительных убытков.
• Неадекватный обмен информацией между руководством различных уровней, в особенности высших, по проблемным вопросам. Для того, чтобы положения и процедуры банка работали эффективно, необходимо наладить эффективное информирование всего персонала, осуществляющего банковскую деятельность. Некоторые убытки, которые несет банк, возникают потому, что определенные сотрудники не были информированы о положениях банка либо не поняли их. В некоторых случаях информация о неотвечающей требованиям деятельности, которую необходимо было подать руководству высших уровней, не была доведена до сведения совета или высшего руководства банка до тех пор, пока проблемы не приобрели угрожающий характер. В других случаях информация в отчетах руководства была неполной или неточной, создавая благоприятное впечатление о положении дел, которые на самом деле были весьма проблематичными.
• Неадекватные или неэффективные программы аудита и другие виды мониторинга. Во многих случаях аудит проводился недостаточно строго для того, чтобы сделать возможным выявление слабых мест контроля, связанных с проблемными банками, и подготовить отчет о них. В других случаях, даже если аудиторы и подавали отчет о проблемах, руководством эти проблемы не решались.
3. Опорные положения проведения внутреннего контроля, лежащие в основе данного руководства, базируются на практическом опыте проведения аудиторами внутреннего контроля во многих крупных банках, компаниях, занимающихся операциями с ценными бумагами, и нефинансовых компаниях. Более того, данные опорные положения соответствуют усиливающемуся акценту представителей банковского надзора на необходимости проверки управления риском и проверки осуществления внутреннего контроля в банковских организациях. Необходимо подчеркнуть, что обязанностью совета и высшего руководства банка является обеспечение адекватного проведения внутреннего контроля и создание благоприятных возможностей для понимания сотрудниками своих обязанностей в данной области и серьезного отношения к ним. В свою очередь, обязанностью представителей банковского надзора является оценка осуществления советом и руководством банка внутреннего контроля.
II. Цели и роль системы внутреннего контроля
4. Внутренний контроль это процесc, который осуществляется советом , высшим руководством и персоналом всех уровней. Он не является одноразовой процедурой или положением, проводимыми в определенный момент времени; внутренний контроль - это постоянный процесс, проводимый на всех уровнях банка. Совет и высшее руководство отвечают за соблюдение соответствующей культуры, что способствует эффективному проведению внутреннего контроля и обеспечивает возможность постоянной проверки его эффективности; все сотрудники организации также должны участвовать в процессе внутреннего контроля. Основные цели проведения внутреннего контроля можно классифицировать таким образом: 1. эффективность проведения операций (операционные цели);
2. надежность и полнота финансовой и руководящей информацией (информационные цели);
3. подчинение применяемым законам и положениям (цели подчинения законам и положениям).
5. Операционные цели внутреннего контроля касаются вопроса эффективности использования банком активов и других ресурсов, а также защиты банка от убытков. Процесс внутреннего контроля направлен на достижение всем персоналом организации поставленных целей таким образом, чтобы он не требовал чрезмерных усилий и чтобы любые другие интересы ( интересы сотрудников, поставщиков или клиентов) не превалировали над интересами банка.
6. Информационные цели направлены на подготовку своевременных, точных отчетов, необходимых для принятия решений в пределах организации. Также, они необходимы для подготовки точных годовых отчетов, других финансовых документов и документов, имеющих отношение к финансовым, включая документы по нормативной отчетности. Информация, предназначенная для руководства, совета банка, акционеров и представителей надзора, должна быть достаточно качественной и целостной, давая возможность получателям опереться на нее при принятии решений. Под выражением “достоверная информация”, по отношению к финансовым документам, подразумевается подготовка достоверных документов, основанных на исчерпывающих и правильно разработанных принципах и правилах учета.
7. Цели подчинения законам и положениям направлены на обеспечение функционирования банка в соответствии с соответствующими законами и положениями, требованиями к проведению надзора, а также внутренними положениями и процедурами. Это необходимо для защиты репутации банка.
III. Основные элементы внутреннего контроля
8. Процесс внутреннего контроля, который изначально был орудием против мошенничества, несоответствий и ошибок, стал в последнее время охватывать все больше видов деятельности, включая оценку всевозможных видов риска, которым подвергаются банковские организации. Сегодня признанным является тот факт, что строгий внутренний контроль обеспечивает способность банка достигать намеченные цели и задачи, а также сохранять финансовую дееспособность.9. Внутренний контроль состоит из 5 взаимосвязанных элементов:
1. контроля со стороны руководства и культура контроля;
2. оценки риска;
3. деятельности по проведению контроля;
4. информации и обмена информацией;
5. мониторинга.
Проблемы, послужившие в последнее время причиной больших убытков, понесенных банком, определяются отсутствием каких-либо из пяти данных элементов или нарушениями подразумеваемых под ними процессов. Эффективное функционирование этих элементов является крайне необходимым для достижения банком операционных, информационных целей и целей подчинения законам и положениям.
А. Контроль со стороны руководства и культура контроля
1. Совет банка
Принцип 1:
Совет банка отвечает за утверждение стратегий и положений; оценивание риска, которому подвергается банк, установление приемлемых уровней этого риска и обеспечение того, чтобы высшее руководство предприняло шаги, необходимые для идентификации, мониторинга и контроля за этими рисками; утверждение организационной структуры; обеспечение проверки высшим руководством эффективности работы системы внутреннего контроля.
10. Совет банка предоставляет высшему руководству содействие и руководство и осуществляет контроль за его работой. Он отвечает за разработку глобальных стратегий и основных положений организации, а также утверждение общей организационной структуры. Совет полностью отвечает за разработку адекватной системы внутреннего контроля и следование ей. Для эффективной работы члены совета должны быть объективными, способными, заинтересованными; они должны располагать надлежащими знаниями о деятельности, которую осуществляет банк, и о риске, которому он подвергается. Сильный, энергичный совет банка, особенно если он располагает эффективными каналами коммуникации между высшими уровнями руководства, а также если надлежащим образом осуществляется финансовая, юридическая деятельность и деятельность внутреннего аудита, часто оказывается наиболее способным обеспечить решение проблем, которые могут снизить эффективность работы системы внутреннего контроля.
11. Совет банка должен включать в свою работу (1) периодические обсуждения с руководством эффективности работы системы внутреннего контроля, (2) своевременную проверку оценки внутреннего контроля, которую дали руководство, внутренние и внешние аудиторы, а также (3) периодически обеспечивать то, чтобы руководство соответствующим образом следовало рекомендациям и замечаниям, сделанным аудиторами и органами банковского надзора касательно слабых мест внутреннего контроля.
12. Во многих странах банки имеют право назначать независимую ревизионную комиссию, призванную помогать совету банка выполнять свои обязанности. Назначение ревизионной комиссии позволяет проводить более детальную проверку информации и отчетов, не тратя на это времени всех директоров департаментов, а также обеспечивает должное внимание отдельным важным вопросам. Ревизионная комиссия, как правило, осуществляет проверку финансовых документов и работы системы внутреннего контроля. Как часть данной функции, ревизионная комиссия обычно осуществляет проверку деятельности департамента внутреннего аудита и обеспечивает сотрудничество с внешними аудиторами, являясь основным связующим звеном с ними. В странах, в которых банки пользуются правом назначать ревизионную комиссию, данная комиссия должна состоять из директоров-аутсайдеров (т.е. членов совета, которые не являются работниками банка или какого-либо его филиала), знакомых с правилами ведения финансовой документации и внутреннего контроля. Необходимо отметить, что в том случае, если банк не имеет право на создание независимой ревизионной комиссии, ее функция сводиться до принятия на себя определенных обязанностей совета банка, который в данном случае является единственным, кто имеет законное право на принятие решений.
2. Высшее руководство
Принцип 2:
Высшее руководство отвечает за применение стратегий, одобренных советом банка; выполнение соответствующих положений о внутреннем контроле; проверку эффективности работы системы внутреннего контроля.
13. Высшее руководство отвечает за выполнение директив, одобренных советом банка, включая применение стратегий и исполнение положений, а также внедрение эффективной системы внутреннего контроля. Как правило, члены высшего руководства передают обязанность устанавливать более специализированные положения о внутреннем контроле и процедуры его проведения ответственным за деятельность и функции соответствующих отделов. Следовательно, для высшего руководства является важным обеспечить то, чтобы руководители, которым они передали данные обязанности, разрабатывали должные положения и процедуры.
14. Осуществление внутреннего контроля в соответствии с установленной системой внутреннего контроля находится в неразрывной зависимости от хорошо налаженной системы обмена информацией и документацией, четко демонстрирующей цепочки поступления информации и цепочки подчиненности, а также обеспечивающей эффективный обмен информацией по всей организации. Распределить обязанности необходимо таким образом, чтобы в цепочке подачи информации присутствовали все звенья, и чтобы эффективный контроль со стороны руководства распространялся на все уровни банка и на все возможные виды осуществляемой им деятельности.
15. Важно, чтобы высшее руководство предпринимало шаги для того, чтобы деятельность осуществлялась квалифицированным персоналом, имеющим необходимый опыт и технические умения. Работа сотрудников должна оплачиваться должным образом, и периодически должна проводиться переквалификация их в соответствии с новыми требованиями. Высшее руководство должно установить компенсации и разработать систему поощрений, которая могла бы вознаградить должным образом за соответственное поведение и минимизировать повод игнорировать или пренебрегать механизмами внутреннего контроля.
3. Культура контроля
Принцип 3:
Совет и высшее руководство банка отвечают за соблюдение этических норм и высоко моральных принципов, за соблюдением культуры в организации, что подчеркивает и демонстрирует персоналу всех уровней важность внутреннего контроля. Персоналу банковской организации всех уровней необходимо осознавать свою роль в процессе внутреннего контроля и всецело участвовать в нем.
16. Неотъемлемым элементом эффективной системы внутреннего контроля является высокая культура его проведения. Обязанностью совета и высшего руководства является подчеркнуть важность внутреннего контроля своими словами и делами. Имеются в виду этические принципы, на которые опирается руководство при ведении дел как в пределах, так и за пределами организации. Устная информация, исходящая от совета и высшего руководства банка, их отношение к делу и подчиненным, а также их действия характеризуют законность, этичность и другие аспекты культуры проведения контроля в банке.
17. В той или иной степени, внутренний контроль является обязанностью каждого сотрудника банка. Практически все сотрудники поставляют информацию, используемую в системе внутреннего контроля, или предпринимают другие действия, необходимые для проведения контроля. Основным элементом сильной системы внутреннего контроля является осознание каждым сотрудником необходимости эффективно исполнять свои обязанности и обращаться к соответствующему уровню руководства по поводу каких бы то ни было проблем относительно проведения операций, случаев несоответствия поведения сотрудников установленным нормам, а также других выявленных нарушений положений или незаконных действий. Достичь этого легче всего в том случае, если процедуры проведения операций четко описаны, являясь, тем самым, доступными для понимания их всем вовлеченным в процесс персоналом. Необходимым является осознание всем персоналом банка важности проведения внутреннего контроля и активное участие в нем.
18. Для того, чтобы не нарушать этические принципы, банковская организация должна избегать положений и действий, которые могут нечаянно спровоцировать искушение осуществлять деятельность недолжным образом. Примером подобных положений и действий может служить чрезмерное акцентирование на необходимости достижения целей, в частности краткосрочных, и получения результатов операций; высокая зависимость проводимой работы от вознаграждения; неэффективное распределение обязанностей, а также все, что может спровоцировать искушение злоупотребить ресурсами либо скрыть плохое выполнение обязанностей; недостаточно значительные или чрезмерно затруднительные для исполнения виды наказания за несоответствующее поведение.
19. Несмотря на то, что высокая культура проведения внутреннего контроля не гарантирует достижение организацией поставленных целей, отсутствие культуры увеличивает возможность необнаружения ошибок или возникновения несоответствий.
Б. Оценка риска
20. С точки зрения внутреннего контроля оценка риска должна определять и оценивать внутренние и внешние факторы, которые могут неблагоприятно повлиять на достижения банковской организацией операционных, информационных целей и целей подчинения законам и положениям. Речь идет о таких видах риска, как кредитный риск, рыночный риск, риск ликвидности и операционный риск (включающий в себя риск мошенничества, несоответствия активов и риск недостоверности финансовой информации). Существует значительная разница между оценкой риска в контексте проведения внутреннего контроля и более широкой концепцией “управления риском” всей деятельности банка. Например, процесс управления риском в банковской организации состоит из установления организационных целей (таких как направленность на прибыльность) и определение, расчет и установление приемлемых лимитов риска, которые позволят банку достигать поставленные цели. Внутренний контроль направлен на то, чтобы обеспечить информирование о целях и разработанных положениях и их выполнение, а также проверку соответствия лимитам и коррекцию отклонений от них в соответствии с положениями руководства. Таким образом, цели управления риском не ограничиваются, как в случае с внутренним контролем, оценкой риска и установлением операционных целей.
Принцип 4:
Высшему руководству необходимо выявить и оценить возможность негативного влияния внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижения целей банка. Такая оценка должна охватывать все возможные виды риска, которому подвергается банк (например, кредитный риск, риск страны и недоставки, рыночный риск, риск процентной ставки, риск ликвидности, операционный риск, юридический риск и риск повреждения репутации).
21. Эффективная оценка риска выявляет и рассматривает как внутренние факторы (такие как характер банковской деятельности, качество работы персонала, организационные изменения и движения персонала), так и внешние факторы (такие как колебания экономического состояния, изменения состояния промышленности или технологический прогресс), которые могут оказать неблагоприятное влияние на достижение банком поставленных целей. Оценка риска должна проводиться отдельно по каждому виду деятельности, по всему спектру деятельности и по отделам банковской организации. Этого можно достигнуть разными способами. Эффективной оценке подлежит как измеряемый (такой как кредитный риск, рыночный риск и риск ликвидности), так и неизмеряемый риск (такой как операционный риск, юридический риск и риск репутации).
22. Процесс оценки риска также включает определения того, какие виды риска поддаются контролю со стороны банка, а какие нет. Что касается тех видов риска, которые поддаются контролю, банк должен решить, подвергать ли банк данным видам риска или уменьшать степень риска благодаря проведению процедур контроля. Что касается тех видов риска, которые не поддаются контролю, банк должен решить, подвергать ли банк данным видам риска либо отказаться от них, либо сокращать объем деятельности, которая вызывает беспокойство.
Принцип 5:
Высшее руководство должно обеспечивать постоянное оценивание риска, влияющего на цели и стратегии банка. Возможно, в процесс внутреннего контроля необходимо будет внести изменения в соответствии с новым либо ранее неоцененным видом риска.
23. Для того, чтобы оценка риска, а, следовательно, и система внутреннего контроля, оставалась эффективной, высшему руководству необходимо постоянно оценивать влияние риска на достижение целей, и реагировать на изменения обстоятельств и условий. В процесс внутреннего контроля могут быть внесены изменения в соответствии с каким-либо новым или ранее бесконтрольным видом риска. Например, в случае финансового нововведения, банку необходимо будет оценить новые финансовые инструменты и рыночные операции и определить риск, связанный с данной деятельностью. Часто, данные виды риска наилучшим образом могут быть выявлены при определении того, как различные сценарии (экономического характера и не только) влияют на кэшфлоу и поступления от финансовых инструментов и проведение финансовых операций. Внимательное рассмотрение всех возможных проблем, начиная с неправильного понимания клиентов и заканчивая провалом операций, позволит сделать важные выводы.
В. Деятельность по проведению контроля
Принцип 6:
Деятельность по проведению контроля является неотъемлемой частью ежедневно осуществляемых банком операций. Высшее руководство должно учредить подходящую для эффективного осуществления внутреннего контроля структуру контроля, определяя его функции на каждом уровне деятельности. К ним относятся: проверки, санкционированные высшим руководством, контроль за деятельностью различных департаментов и отделов; физический контроль; периодические проверки соблюдения лимитов риска; система выдачи разрешений и наложения санкций; система проверки и согласований несоответствий. Высшее руководство должно периодически проверять подчинение всех видов деятельности банка установленным положениям и процедурам.
24. Деятельность по проведению контроля осуществляется для того, чтобы заниматься вопросами риска, выявленного банком при проведении оценки риска, процесс которой описан выше. Деятельность по проведению контроля включает в себя три этапа: (1) разработка положений; (2) проведение процедур в соответствии с этими положениями; и (3) проверка подчинения данным положениям. В деятельность по проведению контроля вовлечен персонал всех уровней, от операционистов до высшего руководства. Примерами контрольной деятельности являются :
• Проверки, санкционированные высшим руководством - Совет и высшее руководство банка часто требуют предоставлять отчет, который позволил бы им следить за тем, как банк выполняет поставленные задачи. Например, высшее руководство может проверять отчеты, отображающие реальные финансовые результаты для сравнения их с данными бюджета. Вопросы, которые возникнут у высшего руководства в результате этой проверки и ответы на них, подготовленные более низкими ступенями руководства, и являются составляющими деятельности по проведению контроля, которая выявляет слабые места контроля, ошибки в финансовой отчетности или мошенническую деятельность.
• Контроль за деятельностью - Департамент или руководство отделом получает и проверяет стандартные и специальные ежедневные, еженедельные или ежемесячные отчеты. Функциональные проверки проводятся гораздо чаще, чем проверки, санкционированные высшим руководством, и обычно являются более детальными. Например, начальник одного из подразделений коммерческого кредитования может просматривать еженедельные отчеты о задержке платежей, о выплате платежей и процентном доходе по портфелю, в то время как ведущий кредитный работник может просматривать подобные, но уже ежемесячные отчеты в более сжатом виде, охватывающие все сферы кредитной деятельности. Как и в случае проверки, санкционированной высшим руководством, вопросы, возникающие в результате проверки отчетов и ответы на них являются элементами контроля за деятельностью.
• Физический контроль - Физический контроль направлен на ограничение доступа к физическим активам, включая ценные бумаги и другие финансовые активы. Деятельность по проведению контроля включает физические ограничения, двойную ответственность, и периодическую инвентаризацию.
• Соответствие лимитам риска - Установление благоразумных лимитов на риск является важным аспектом управления риском. Например, соответствие лимитам, установленным для заемщиков и других контрагентов, уменьшает концентрацию кредитного риска банка и помогает расширить профиль риска. Следовательно, важным аспектом внутреннего контроля является периодическая проверка соответствия данным лимитам.
• Выдача разрешений и наложение санкций - Необходимость получения разрешения и наложения санкций на проведение операций по определенным лимитам обеспечивает то, что соответствующее звено руководства будет осведомлено об операциях или о сложившейся ситуации, и помогает налагать ответственность за проведение операций.
• Проверка и согласование несоответствий - Проверка деталей проведения операций и эффективности функционирования моделей управления риском, применяемых банком, является важным элементом деятельности по проведению контроля. Периодическое согласование несоответствий, таких, например, как несоответствие кэшфлоу бухгалтерским записям и документации, может выявлять виды деятельности и документы, нуждающиеся в корректировке. Соответственно, периодически в соответствующие звенья руководства должен подаваться отчет о результатах данных проверок.
25. Деятельность по проведению контроля оказывается наиболее эффективной тогда, когда она рассматривается руководством и всем персоналом не как дополнение к ежедневно проводимым банком операциям, а как неотъемлемая их часть. Когда контроль рассматривается как дополнение к операциям, осуществляемым изо дня в день, его проведение представляется необязательным, и он может даже вообще не проводиться в ситуациях, когда от сотрудников требуется завершить ту или иную операцию в ограниченный срок. Кроме того, контроль, который является неотъемлемой частью ежедневно проводимых операций, обеспечивает способность отвечать на изменение условий и помогает избежать ненужных усилий. Для поддержания на должном уровне культуры проведения контроля в банке, высшее руководство должно обеспечить то, чтобы соответствующая деятельность по проведению контроля являлась неотъемлемой частью ежедневно проводимых всем вовлеченным в деятельность персоналом операций.
26. Деятельность высшего руководства не должна ограничиваться установлением соответствующих положений и процедур для осуществления различных видов деятельности различными отделами банка. Периодически высшее руководство должно проверять, соответствует ли деятельность банка данным положениям и процедурам, а также постоянно обеспечивать адекватность существующих положений и процедур. Данная функция обычно является частью работы департамента внутреннего аудита.
Принцип 7:
Высшее руководство должно обеспечивать подходящее распределение обязанностей, а также следить за тем, чтобы персонал не исполнял противоречивые обязанности. Необходимо выявить, минимизировать и держать под контролем области потенциального столкновения интересов.
27. При изучении банковских убытков, вызванных слабым внутренним контролем, представители банковского надзора выявили, что одной из основных причин таких убытков является неадекватное распределение обязанностей. Закрепление за одним и тем же сотрудником противоречивых обязанностей (например, несение ответственности и за деятельность ОПЕРУ и за деятельность бухгалтерии подразделения валютного обмена) обеспечивает данному сотруднику доступ к ценностям и дает ему возможность манипулировать финансовыми данными в своих целях или скрывать убытки. Следовательно, определенные обязанности в банке должны быть распределены между разными сотрудниками с целью сокращения риска манипулирования финансовыми данными или растраты активов.
28. Необходимость распределение обязанностей не ограничивается ситуацией, когда контроль за работой и ОПЕРУ и бухгалтерии одновременно проводится одним сотрудником. Отсутствие распределения обязанностей может также вылиться в серьезные проблемы, если не налажен соответствующий контроль за работой сотрудника, несущего ответственность за:
• утверждение использования средств и их непосредственное использование;
• счета клиентов и внутренние счета банка;
• торговые операции банка и операции связанные с его основной деятельностью;
• неофициальное предоставление информации клиентам о состоянии из дел и проведение маркетинга тех же клиентов.
• оценку достаточности документации кредитного дела и мониторинг заемщика после выдачи кредита; и
• любые другие аспекты деятельности банка, интересы которых конфликтуют между собой, и это не смягчается другими факторами.
29. Области потенциального конфликта должны быть определены, минимизированы и тщательно проверены. Кроме того, периодически должна проводиться проверка обязанностей и функций ведущих сотрудников для избежания пребывания их на должности, позволяющей покрывать несоответствующую деятельность.
Г. Информация и обмен информацией
Принцип 8:
Высшее руководство должно обеспечить адекватность и всесторонность внутренних финансовых, операционных данных и данных о подчинении установленным законам и положениям, а также информации о событиях и условиях на внешнем рынке, которые касаются принимаемых решений. Информация должна быть надежной, своевременной, доступной, а также должна излагаться последовательно.
30. Наличие достоверной информации и эффективной системы информирования является необходимым условием функционирования системы внутреннего контроля надлежащим образом. С точки зрения банка, для того, чтобы информация была полезной, она должна быть существенной, надежной, своевременной, доступной и подаваемой последовательно. Информация включает внутренние финансовые, операционные данные и данные подчинения законам и положениям, а также информацию с внешнего рынка о событиях и условиях, которые являются значимыми для принятия решений. Внутренняя информация является частью процесса подготовки отчетности, т.к. она содержит установленный порядок ведения отчетности.
Принцип 9:
Высшее руководство должно установить эффективные каналы обмена информацией для того, чтобы весь персонал был в курсе положений и процедур, отображающихся на их обязанностях, а также чтобы соответствующие сотрудники могли получать соответствующую информацию.
31. При отсутствии эффективной системы обмена информацией информация является бесполезной. Высшему руководству банков необходимо создать эффективные каналы коммуникации для того, чтобы соответствующие работники получали необходимую им информацию. К ней относятся как операционные положения и процедуры банка, так и данные непосредственного выполнения операций организацией.
32. Организационная структура банка должна способствовать притоку информации - в высшие, в низшие сферы организации и повсеместно по всей организации. Наличие структуры, способствующей такому притоку информации, обеспечивает то, что информация, поступая в высшие сферы организации, позволяет высшему руководству и совету банка ознакомиться с риском той или иной деятельности и оценить то, как банк осуществляет операции. Обращение информации по всей организации обеспечивает то, что цели, стратегии, и ожидания банка, равно как и уже установленные положения и процедуры, доводятся до сведения руководства более низкой ступени и операционистов. Подобный обмен информацией делает возможным совместные усилия всех сотрудников банка по достижению поставленных целей. В конце концов, обмен информацией в пределах организации является необходимым для того, чтобы информация, полученная одним отделом или департаментом, могла быть полученной также и другими имеющими отношение к делу отделами и департаментами.
Принцип 10:
Высшее руководство должно обеспечить создание на месте соответствующих информационных систем, которые охватывали бы все виды деятельности банка. Данные системы, включая те, которые содержат и используют данные в электронном виде, должны быть достаточно надежными и должны периодически проверяться.
33. Значимым компонентом деятельности, осуществляемой банком, является разработка и поддержание информационной системы управления, охватывающей все сферы деятельности банка. Обычно эта информация предоставляется как в электронном так и не в электронном виде. Банки должны быть ознакомлены с организационными требованиями и требованиями внутреннего контроля относительно текущей информации в электронном виде.
34. Электронная информационная система и использование информационной технологии подвержены риску, который должен находиться под контролем банка во избежании дезорганизации деятельности и понесения убытков. За работой информационной системы и за использованием информационной технологии должен быть установлен общий контроль и контроль приложений. Контроль общего характера представляет собой контроль за работой компьютерной системы (т.е. серверов и терминалов) и обеспечение ее продолжительного функционирования надлежащим образом. Сюда также относится, например, разработка методики создания архивных файлов и восстановления потерянных данных, создание системы программного обеспечения и положений о разработке и приобретении программного обеспечения, разработка процедур поддержания работы компьютерной системы в надлежащем состоянии и контроль за обеспечением безопасности доступа к информации. Контроль приложений представляет собой компьютеризованные процессы, происходящие в программных приложениях, контролирующих проведение операций. Контроль приложений включает, например, автоматизированные проверки соответствия данных. В случае отсутствия адекватного контроля за работой информационной системы и использованием технологий, включая системы, находящиеся в процессе создания, банки могут потерять данные и программы из-за неадекватного обеспечения физической и электронной безопасности, сбоя в работе оборудования или системы, а также неадекватности методики создания архивных файлов и восстановления потерянных данных. На решения руководства может неблагоприятно повлиять ненадежная и недостоверная информация, предоставленная плохо разработанной и плохо контролируемой информационной системой. Объем информации может сократиться или может вообще прекратиться ее поступление, если не будут созданы подобающие альтернативные условия подачи информации в случае длительного сбоя в работе оборудования. В противном случае подобные проблемы могут вызвать у банка серьезные трудности и даже угрожать возможности осуществления им основных видов банковской деятельности.
Д. Мониторинг
Принцип 11:
Высшее руководство должно постоянно проверять общую эффективность внутреннего контроля банка для оказания помощи в достижении организацией намеченных целей. Проверка основных видов риска должна стать ежедневной процедурой, проводимой банком, и должна включать оценку разных видов риска отдельно, как требовалось.
35. Банковская деятельность представляет собой динамичный, быстрыми темпами разворачивающийся процесс. Банки должны постоянно проводить контроль и давать оценку соответствию работы системы внутреннего контроля изменениям внутренних и внешних условий, а также усовершенствовать данную систему, насколько это будет необходимым, для поддержания ее эффективности.
36. Мониторинг эффективности внутреннего контроля должен стать частью ежедневно проводимых банком операций; кроме того, банк должен периодически оценивать весь процесс внутреннего контроля в целом. Частотность проведения мониторинга различных видов деятельности должна определяться риском, которому подвергается та или иная деятельность, и количеством и качеством изменений условий проведения операций. Ежедневное проведение мониторинга поможет быстро выявить и исправить недостатки системы внутреннего контроля. Мониторинг является наиболее эффективным тогда, когда система внутреннего контроля работает в соответствии с изменениями условий проведения операций и когда на проверку регулярно подаются отчеты. Ежедневный мониторинг включает, например, проверку и утверждение записей в регистрационных журналах, проверку со стороны руководства и утверждение отдельных отчетов.
37. Периодическая оценка всего процесса внутреннего контроля, в отличии от мониторинга, обычно выявляет проблемы уже после их возникновения; однако, подобная оценка позволяет организации взглянуть более свежим всеохватывающим взглядом на эффективность системы внутреннего контроля и особенно на эффективность мониторинга. Периодическая оценка всего процесса внутреннего контроля в целом часто приобретает черты самооценки, при которой сотрудники, ответственные за выполнение определенных функций, определяют эффективность контроля за своей деятельностью. Документация и результаты оценки проверяются в этом случае высшим руководством. Все этапы проверки должны быть задокументированы и своевременно поданы руководству соответствующего звена.
Принцип 12:
Необходимо провести эффективный и всесторонний внутренний аудит системы внутреннего контроля, который осуществлялся бы соответственно подготовленным, компетентным персоналом. Отчет о проведении внутреннего аудита, который является частью проверки системы внутреннего контроля, подается непосредственно совету банка или ревизионной комиссии и высшему руководству банка.
38. Внутренний аудит является важной частью ежедневного мониторинга системы внутреннего контроля, т.к. дает независимую оценку адекватности установленного контроля и соответствия его проведения с требованиями контроля. Подавая отчет непосредственно в совет или ревизионную комиссию и в высшее руководство, внутренние аудиторы предоставляют беспристрастную информацию об осуществлении деятельности на различных уровнях. Поскольку проведение внутреннего аудита является достаточно важным процессом, внутренний аудит должен проводиться компетентными, подготовленными соответствующим образом сотрудниками, которые ясно осознают свою роль и обязанности. Частотность и продолжительность проведения проверки внутреннего аудита и внутреннего контроля в банке должна соответствовать характеру, сложности и риску деятельности организации. В любом случае, крайне необходимым является проведение внутреннего аудита независимо от ежедневно проводимых операций банка и обеспечение его доступа ко всем видам деятельности, осуществляемым банковской организацией.
39. Важно, чтобы информация о проведении внутреннего аудита подавалась непосредственно в высшие инстанции банковской организации, как правило, совету или ревизионной комиссии, а также высшему руководству. Кроме того, совет должен усилить независимость внутренних аудиторов, предоставляя им компенсацию или бюджетные ресурсы в размере, определенном советом или высшими ступенями руководства, а не руководителями, которых как-либо касается работа внутренних аудиторов.
Принцип 13:
О выявленных недостатках внутреннего контроля необходимо своевременно сообщить руководству соответствующего уровня. О материальных недостатках проведения внутреннего контроля сообщается в высшее руководство.
40. О недостатках внутреннего контроля или неýффективнûх положениях и процедурах должно бûть сообщено соответствующему сотруднику (сотрудникам) сразу после вûявления; о наиболее серьезнûх упущениях должно бûть сообщено в вûсшее руководство и совет. Руководству необходимо исправить недостатки или пересмотреть неýффективнûе положения и процедурû своевременно, т.е. сразу после поступления подобной информации. Внутренние аудиторû должнû проводить последконтроль и немедленно информировать вûсшее руководство или совет обо всех недостатках, которûе не бûли исправленû. Для того, чтобû обеспечить своевременную подачу информации обо всех недостатках, руководство должно создать систему вûявления слабûх мест внутреннего контроля и определения мер для их устранения.
IV. Оценка Систем Внутреннего Контроля Органами Надзора.
Принцип 14:
Представители банковского надзора должны требовать у всех банков, независимо от их размера, создания эффективной системы внутреннего контроля, которая соответствовала бы балансовым и внебалансовым видам деятельности банка, их характеру, степени сложности и видам риска, которому они подвергаются, а также соответствовала бы изменениям внешних и внутренних условий работы банка. В случае, если представители банковского надзора признают неадекватность системы внутреннего контроля банка (например, несоблюдение банком принципов, излагаемым в данном документе), они должны предпринять по отношению к банку меры по немедленному улучшению системы внутреннего контроля.
41. Несмотря на то, что эффективная система внутреннего контроля это прямая обязанность Совета и Правления банка, органы надзора должны проводить оценку существующей системы внутреннего контроля в банках, что является частью их непрерывной работы по надзору. Органы надзора также должны определить уделяет ли менеджмент конкретного банка должное внимание всем проблемам выявленным процессом системы внутреннего контроля.
42. Органы надзора должны требовать от банков, которые они контролируют, сильной культуры контроля и использовать в своей деятельности по надзору подход сфокусированный на рисках. Это включает проверку адекватности внутреннего контроля. Это очень важно, чтобы органы надзора не только оценивали эффективность общей системы внутреннего контроля, но и оценивали контроль наиболее рисковых аспектов (например, виды деятельности, которые характеризуются необычной прибыльностью, быстрым ростом или новые виды деятельности). Органы банковского надзора должны уделять особенное внимание письменным положениям и процедурам, как ключевому механизму коммуникаций.
43. Органы надзора, оценивая системы внутреннего контроля банка, возможно посчитают целесообразным уделить особое внимание видам деятельности или ситуациям которые исторически ассоциируются с провалами внутреннего контроля приведшими к значительным убыткам. Определенные изменения в среде банка должны быть предметом специального обсуждения для того, чтобы выяснить необходимы ли соответствующие изменения в системе внутреннего контроля. Эти изменения включают: (1) изменения операционной среды банка; (2) привлечение новых сотрудников; (3) новые или обновленные информационные системы; (4) быстрорастущие области/виды деятельности; (5) новые технологии; (6) новые продукты, виды деятельности (особенно сложные); (7) корпоративная реструктуризация, слияния, приобретения; и (8) расширения или начало проведения валютных операций (в том числе влияние изменений в соответствующей экономической и нормативной среде).
44. Для оценки качества внутреннего контроля, органы надзора могут использовать целый ряд подходов. Органы надзора могут оценивать работу подразделений внутреннего аудита банка просматривая его рабочие документы, в том числе и использованную методологию оценки рисков. Если качество работы подразделения внутреннего аудита удовлетворяет органы надзора, то органы надзора могут использовать отчеты внутренних аудиторов в качестве основного механизма для выявления проблем контроля в банке, или для выявления областей потенциального риска, которые еще не были проверены внутренними аудиторами. Некоторые органы надзора могут использовать процесс самооценки, в котором менеджмент проверяет внутренний контроль по каждому виду деятельности и уведомляет органы надзора о соответствии внутреннего контроля банка его деятельности. Другие органы надзора могут требовать проведения периодических внешних аудиторских проверок основных аспектов, тематику проверки определяют органы надзора. И, наконец, органы надзора могут совместить один или больше вышеуказанных методов с собственным выездным инспектированием и проверкой внутреннего контроля.
45. Органы надзора многих стран проводят выездное инспектирования и проверка внутреннего контроля является неотъемлемой частью такого инспектирования. Выездная проверка может включать как проверку видов деятельности, так и разумный уровень тестирования проведения операций для того, чтобы провести независимую проверку процесса внутреннего контроля в банке:
46. Соответствующий уровень тестирования операций должен быть проведен для того, чтобы выяснить:
• достаточность и выполнение внутренних положений, методических указаний и ограничений;
• достоверность и полноту отчетов менеджмента и данных финансового учета; и
• надежность (то есть, функционируют ли таким образом, как планировал менеджмент) конкретных видов контроля, которые считаются ключевыми для системы внутреннего контроля, которая оценивается.
47. В целях оценки эффективности пяти элементов внутреннего контроля банковского учреждения (или подразделения/деятельности этого учреждения) органы надзора должны:
• определить задачи внутреннего контроля которые применимы к проверяемому учреждению, подразделению, деятельности (то есть, кредитование, инвестирование, бухгалтерский учет);
• оценить эффективность элементов внутреннего контроля не только просматривая положения и методические указания, но также проверяя документацию, обсуждая операции с банковскими работниками различных уровней, наблюдая за операционной средой и проверяя операции;
• своевременно поделиться своей озабоченностью касательно внутреннего контроля и рекомендациями по его улучшению с Советом и менеджментом банка, и;
• убедиться в том, что недостатки замечены, своевременно приняты меры по их исправлению.
48. Органы банковского надзора, которые не проводят выездное инспектирование, обычно используют результаты работы внешних аудиторов. Иногда, проверка деятельности и тестирование проведения операций описанные выше должны проводиться внешними аудиторами.
49. Во всех случаях, органы надзора должны ознакамливаться с выводами внешних аудиторов и рекомендациями касающимися эффективности внутреннего контроля и выяснить, прореагировали ли Совет и менеджмент банка на проблемы и рекомендации сделанные внешними аудиторами. Глубина и причины проблем контроля выявленные внешними аудиторами должны учитываться в оценке эффективности банковского контроля органами надзора.
50. Органы надзора должны также поощрять внешних аудиторов планировать и проводить аудит таким образом, чтобы принимать во внимание возможность предоставления недостоверной финансовой отчетности банка из-за манипуляций данных. Информация обо всех случаях нарушений выявленных аудиторами, независимо от их серьезности, должна предоставляться менеджменту банка. Информация о нарушениях в деятельности Правления банка и о нарушениях, которые могут оказать существенное влияние на организацию, должна передаваться Совету банка и/или аудиторскому комитету. В некоторых случаях (в зависимости от требований национального законодательства) внешние аудиторы могут предоставлять информацию о нарушениях законодательных и нормативных актов определенным органам надзора или другим организациям.
51. Анализируя достаточность процесса внутреннего контроля отдельного банковского учреждения, органы надзора должны также убедиться в эффективности процесса по видам деятельности и в филиалах. Это очень важно, чтобы органы надзора оценивали процесс внутреннего контроля не только на уровне отдельного вида деятельности или учреждения, но по всему спектру деятельности и филиалов банковского учреждения.
V. Роль и обязанности внешних аудиторов.
52. Несмотря на то, что согласно определению, внешние аудиторы не являются частью банковской организации и, таким образом, не входят в систему внутреннего контроля, они имеют важное влияние на качество внутреннего контроля, проводя аудит, включая проведение встреч с менеджментом и рекомендации по улучшению внутреннего контроля. Внешние аудиторы предоставляют важную информацию о эффективности системы внутреннего контроля.
53. Хотя главной задачей внешних аудиторов является составление мнения о годовой бухгалтерской отчетности банка, или ее подтверждение, внешний аудитор должен для себя решить вопрос, полагаться ли на эффективность системы внутреннего контроля банка. Для этого, внешний аудитор должен оценить систему внутреннего контроля для того, чтобы определить в какой мере можно полагаться на систему определяя тип, сроки и масштаб собственной процедуры аудита.
54. В разных странах, по-разному определены роль внешних аудиторов и процедуры, которые они используют. Во многих странах, профессиональные аудиторские стандарты требуют планирования и проведения аудита таким образом, чтобы получить достоверное подтверждение того, что в финансовой отчетности нет существенных искажений. Аудиторы также проверяют и тестируют основные операции и документы, на основании которых были созданы финансовые отчеты и расшифровки. Аудитор оценивает принципы бухгалтерского учета, которые были использованы, и существенные расчеты сделанные менеджментом, и оценивает общее состояние дел в финансовой отчетности. В некоторых странах, органы надзора требуют от внешних аудиторов предоставлять оценку широты, адекватности и эффективности системы внутреннего контроля банка, в том числе и системы внутреннего аудита.
55. Тем не менее существует одна черта присуща всем странам, это ожидание того, что внешние аудиторы поймут систему внутреннего контроля банка. Внимание уделяемое разными аудиторами в разных банках системе внутреннего контроля варьируется; тем не менее, обычно считается, что аудитор определит серьезные недостатки, которые существуют в банке, и доложит о существенных недостатках менеджменту банка устно, или в конфиденциальном письме менеджменту банка, или же, такая практика существует во многих странах, органам надзора. Более того, внешние аудиторы могут подпадать под специальные требования органов надзора, которые определяют каким образом они оценивают внутренний контроль и предоставляют отчет о нем.
Приложение - Уроки надзора полученные в результате провалов в работе внутреннего контроля.
А. Надзор менеджмента и культура контроля.
1. Негативное влияние провалов в работе внутреннего контроля, которые привели в значительным убыткам банков, можно было бы значительно снизить или же избежать, если бы Совет и Правление учреждения внедрили сильную культуру контроля. Слабые культуры контроля имеют общие черты. Во-первых, Правлению не удалось акцентировать внимание на важности сильной системы внутреннего контроля с помощью слов и действий, и, что гораздо более важно, критериев используемых для определения вознаграждений и повышений в должности. Во-вторых, Правлению не удалось обеспечить четкое определение организационной структуры и административной подотчетности. Например, Правление не смогло обеспечить контроль над ключевыми лицами, принимающими решения, и предоставление своевременной отчетности о видах деятельности и проведении операций.
2. Правление может ослабить культуру контроля путем поощрения и награждения руководителей, который успешно зарабатывают деньги, но не могут внедрить положения внутреннего контроля, и решить проблемы, выявленные внутренним аудитом. Такие действия служат сигналом для других работников этого учреждения, что внутренний контроль является чем-то второстепенным по сравнению с другими задачами учреждения, и таким образом снижает и качество культуры контроля и тщательность выполнения его требований.
3. Некоторые банки, у которых есть проблемы контроля, имеют организационные структуры в которых не очень четко определена подотчетность. В результате, подразделения банка не были непосредственно подчинены кому-либо из высшего руководства банка. Это означало, что никто из руководителей высшего звено не следил за деятельностью этих подразделений достаточно пристально, для того, чтобы заметить необычную деятельность, финансовую и других видов, и никто из членов Правления не имел полного представления об операциях, и о том, каким образом получается прибыль. Если бы менеджмент имел представление об операциях подразделения, то они могли бы заметить предупреждающие сигналы (например необычную взаимосвязь между прибылью и уровнями риска), расследовать операции и принять меры по снижению возможных потерь. Можно было избежать этих проблем, если бы руководство среднего звена проверяло операции и информационные отчеты, подготовленные для менеджмента, и беседовало с соответствующим персоналом о природе проводимых операций. Такие подходы обеспечивают объективную информацию для руководства среднего звена о том, каким образом принимаются решения, и обеспечивают выполнение ключевыми работниками своих функций в рамках установленных банком, и в соответствии с системой внутреннего контроля.
В. Оценка риска.
4. В недавнем прошлом, неадекватная оценка риска “внесла свой вклад” в возникновение проблем внутреннего контроля, и связанные с этим убытки. В некоторых случаях, потенциальная высокая прибыль ассоциирующаяся с определенными кредитами, инвестициями и деревативами, отвлекла менеджмент от необходимости тщательно взвешивать риски присущи этим операциям, и отвлекла значительные ресурсы необходимые для постоянного мониторинга и анализа рисков. Когда менеджмент не обновлял процесс оценки риска в соответствии с изменением операционной среды учреждения, это также приводило к убыткам. Например, разработаны более сложные продукты, но внутренний контроль может не быть изменен для решения проблем связанных с более сложными продуктами. Вторым примером может послужить начало ведения нового вида деятельности без полной, объективной оценки всех присущих ей рисков. Без этой оценки рисков, система внутреннего контроля не может должным образом контролировать риски новых видов деятельности.
5. Как уже было сказано выше, банковские учреждения установят критерии для операционной эффективности, надежности финансовой отчетности и выполнения законодательных и нормативных актов. Оценка рисков предполагает идентификацию и измерение рисков, с которыми сталкиваются в процессе достижения поставленных задач. Этот процесс помогает обеспечить соответствие внутреннего банковского контроля видам, сложности и рисковости балансовой и внебалансовой деятельности банка.
С. Деятельность по проведению контроля.
6. Рассматривая самые значительные банковские потери вызванные плохим внутренним контролем, органы надзора обычно находят, что эти банки не придерживались некоторых ключевых принципов. Один из них, распределение обязанностей, который является оплотом надежной системы внутреннего контроля, особенно часто игнорировалась банками, которые терпели убытки из-за проблем внутреннего контроля. Часто правление поручало очень уважаемому сотруднику осуществлять руководство двумя или более видами деятельности, интересы которых конфликтовали друг с другом. Например, в нескольких случаях, один человек руководил отделом принятия документов и отделом обработки документов. Это позволяло сотруднику контролировать как проведение операции (то есть, продажу или покупку ценных бумаг или деревативов), так и соответствующую бухгалтерию. Предоставление таких конфликтующих между собой обязанностей одному человеку дает этому человеку возможность манипулировать финансовыми данными для достижения личной выгоды или сокрытия убытков.
7. Распределение обязанностей не ограничивается ситуацией, когда отделы принятия и обработки документов одновременно контролируются одним человеком. Это также может вызывать серьезные проблемы когда человек отвечает за:
• утверждение использования средств и их непосредственное использование;
• счета клиентов и внутренние счета банка;
• торговые операции банка и операции связанные с его основной деятельностью;
• неофициальное предоставление информации клиентам о состоянии из дел и проведение маркетинга тех же клиентов.
• оценку достаточности документации кредитного дела и мониторинг заемщика после выдачи кредита; и
• любые другие аспекты деятельности банка, интересы которых конфликтуют между собой, и это не смягчается другими факторами .
8. Недостатки в контроле, тем не менее, являются показывают неудачу целого ряда попыток определить, что деятельность ведется запланированным образом, начиная мониторингом на самом высоком уровне, заканчивая системой конкретных проверок деятельности. Например, в нескольких случаях менеджмент не реагировал на информацию, которую он получал. Эта информация имела вид периодических отчетов о результатах деятельности всех подразделений учреждения, которые информировали менеджмент о достигнутом прогрессе каждого подразделения в выполнении поставленных задач, и позволяла менеджменту задавать вопросы если результаты отличались от запланированных. Очень часто подразделения, которые приносили позже убытки, сначала рапортовали о прибыли, которая значительно превышала запланированную для такого уровня риска, что должно было бы обеспокоить правление. Если бы был проведен мониторинг на высоком уровне, правление могло бы расследовать аномальные результаты и найти и начать решать некоторые проблемы, таким образом уменьшая размер убытков или предотвращая их вообще. Тем не менее, так как отклонения от запланированных показателей были позитивными (прибыль), вопросы не задавались, и ситуация не расследовался до тех пор, пока проблемы вырастали до неуправляемых размеров.
D. Информация и коммуникация.
9. Некоторые банки потерпели убытки потому, что информация в учреждения была ненадежной, или неполной из-за неэффективности процесса коммуникации в учреждении. Финансовая информация может быть неправильно доводиться внутри учреждения; неверные данные, полученные из внешних источников, могут быть использованы для оценки финансовой позиции. В некоторых случаях банки не смогли должным образом довести до сведения работников их обязанности и контролировать полномочия, или распространили положения через такие каналы, например электронная почта, которые не обеспечивают прочтение и выполнение положения. В результате положения разработанные менеджментом не выполнялись в течении продолжительного времени. В других случаях, не существовало адекватных каналов коммуникации для доклада о подозрительных действиях работников. Если бы были налажены каналы передачи информации о проблемах снизу вверх организационной структуры, менеджмент смог бы выявить и исправить проблемы гораздо быстрее.
Е. Мониторинг
10. Многие банки, которые терпели убытки из-за проблем внутреннего контроля, не проводили эффективный мониторинг своих систем внутреннего контроля. Часто системы не имели необходимых встроенных процессов мониторинга и отдельно проводимые оценки были либо неадекватными, либо не проводились соответствующим менеджментом.
11. В некоторых случаях отсутствие мониторинга начиналось с нерассмотрения и нереагирования на повседневную информацию предоставляемую руководителям нижнего звена и другим работникам, которая давала знать о необычной активности, такой как превышение лимитов риска, счета клиентов во внутренних операциях банка, или недостаток текущих финансовых отчетов заемщика. В одном банке, убытки вызванные торговой деятельностью скрывались на фиктивном клиентском счете. Если бы в банке было положение, которое бы требовало ежемесячной отсылки клиентам отчетов о счетах и периодических подтверждений клиентов, скрытые убытки скорее всего были бы замечены прежде, чем они возросли до такой степени, что привели к краху банка.
12. В нескольких других случаях, подразделение учреждения или деятельность, которые вызвали значительные убытки имели многочисленные характеристики, указывающие на повышенные уровень риска, такие как необычная прибыльность для принятого риска и быстрый рост деятельности подразделений географически удаленных от головной конторы. Тем не менее, из-за недостаточной оценки риска учреждение не предоставило достаточные дополнительные ресурсы для контроля, или мониторинга высокорисковой деятельности. На самом деле, в некоторых случаях, высокорисковая деятельность проводилась под меньшим надзором, нежели деятельность которой присущ более низкий уровень риска- несколько предупреждений внутренних и внешних аудиторов касательно деятельности подразделения остались без внимания менеджмента.
13. В то время как внутренний аудит может быть эффективным источником отдельных оценок, он не был эффективным в банковских организациях испытывающих много проблем. Комбинации трех факторов “внесла свой вклад” в эту ситуацию: несистематический аудит, недостаток глубокого понимание происходящих процессов, недостаточный последконтроль, когда проблемы выявлены. Фрагментарный аудит возник в основном потому, что программы внутреннего аудита были составлены в виде ряда тайных аудитов конкретных видов деятельности одного и того же подразделения, или департамента, регионов, или юридических лиц. Так как процесс аудита был фрагментарный, работники службы внутреннего аудита не понимали полностью процесс проведения операций. Процесс аудита, во время которого аудиторы проверяли бы операции и виды деятельности от начала до конца (то есть, проверка одной операции от ее начало до момента создания финансового отчета), позволил бы им достичь лучшего понимания. Более того, это предоставило бы возможность оценить и проверить адекватность контроль каждого шага процесса.
14. В некоторых случаях, недостаточные знания и подготовка работников службы внутреннего аудита по продаже продуктов и рынков, электронные информационные системы, и другие очень сложные области, также “внесли свой вклад” в проблемы внутреннего аудита. Так как работники не имели необходимого опыта, они очень часто не имеют уверенности задавать вопросы когда они подозревают наличие проблем, и когда вопросы были заданы, они были предрасположены скорее согласиться с полученным ответом нежели оспаривать его.
15. Внутренний аудит может оказаться неэффективным, когда менеджмент не проводит последконтроль проблем выявленных аудиторами. Задержки могут быть вызваны из-за непонимания менеджментом банка роли и важности внутреннего аудита. В дополнение, эффективность внутреннего аудита снижается, когда правление и члены совета (или комитета аудита, т.е. соответствующий орган) не получали своевременных периодических “следящих” отчетов, которые выявляли критические вопросы и последующие действия менеджмента по исправлению ситуации. Этот тип системы периодического мониторинга может помочь правлению вовремя решать важные вопросы.
