Российские модели внутреннего контроля (Р. Пашков, Ю. Юденков, журнал "Бухгалтерия и банки", N 3, март 2016 г.)

Российские модели внутреннего контроля

Р. Пашков,

банковский юрист

Ю. Юденков,

к.э.н., профессор РАНХиГС

Журнал "Бухгалтерия и банки", N 3, март 2016 г., с. 43-48.

В большинстве российских банков формирование систем внутреннего контроля было инициировано надзорными требованиями Банка России, и к настоящему времени в соответствии с этими современными требованиями сложилось мнение, что теоретические разработки направлены только на риск-ориентированную модель внутреннего контроля. Однако в силу исторических аспектов и различий в масштабах кредитных организаций существуют и развиваются другие альтернативные модели внутреннего контроля, интегрирующие последние достижения науки. Сравнению моделей внутреннего контроля в разработках российских учёных и практиков посвящена настоящая статья.

Введение

Основополагающие цели и задачи, стоящие перед коммерческими банками, несмотря на последствия кризиса, не изменились: каждый банк должен обеспечивать исполнение обязательств перед клиентами, сохранять и по возможности наращивать капитал, соблюдать установленные Банком России нормативы. Понятие "внутренний контроль" может трактоваться с различных точек зрения (и как процесс, и как совокупность мер), но и в отечественной, и в международной практике подразумевается, что данный контроль осуществляется всеми сотрудниками организации на непрерывной основе, он направлен на достижение текущих и стратегических целей организации.

При рыночной системе хозяйствования кредитная организация, являющаяся самоорганизующейся системой, функционирует в жёстких условиях конкурентной среды и имеет полную хозяйственную самостоятельность. Её деятельность направлена на завоевание и удержание предпочтительной доли рынка, на достижение превосходства над конкурентами. В соответствии с этим внутренний контроль кредитной организации ориентирован главным образом на обеспечение основных показателей эффективности функционирования в современных условиях, характеризующихся высокой неопределённостью и нестабильностью внешней среды.

В силу усиления конкурентных отношений, стремительного развития и смены технологий, растущей диверсификации бизнеса и усложнения бизнес-проектов управление существенно усложняется, что обуславливает усложнение контрольных систем. Поэтому внутренний контроль приобретает характер основы, присутствующей на всех уровнях управления.

Перед российскими кредитными организациями встают задачи структурной перестройки всех элементов системы корпоративного управления, в том числе контрольных, их "наладки" на обеспечение конкурентоспособности, эффективного функционирования и развития организации в перманентно меняющихся условиях хозяйствования. Естественно, все управленческие преобразования должны проводиться на научной основе соответствующих концепций. В тоже время отечественная наука испытывает недостаток в комплексных научно-практических разработках, освещающих многочисленные аспекты внутреннего контроля с учётом современной российской специфики.

Существует множество определений внутреннего контроля, отличающихся друг от друга лишь способами его изучения. В трудах экономистов контроль рассматривается с разных позиций - с позиции функции управления и видов управленческой деятельности, а также с позиции принятия форм, методов и процессов принятия управленческих решений, технологий процесса управления, общей теории управления и теорий управления государственными и другими структурами.

В соответствии с определениями нормативных документов, внутренний контроль - это деятельность, осуществляемая банком (его органами управления, подразделениями и сотрудниками) и направленная на достижение следующих целей:

- обеспечение эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками;

- обеспечение достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчётности, а также информационной безопасности;

- обеспечение соблюдения нормативных правовых актов, учредительных и внутренних документов банка;

- обеспечение исключения вовлечения банка и участия его сотрудников в осуществлении противоправной деятельности, в том числе легализации (отмывании) доходов, полученных преступным путём, и финансировании терроризма, а также своевременного представления в соответствии с законодательством РФ сведений в органы государственной власти и Банк России.

Сравнение моделей

Модели внутреннего контроля в России прошли определённую эволюцию, этапы которой представлены в таблице 1.

Таблица 1. Эволюция российских концепций внутреннего контроля

Подтверждающая модель внутреннего контроля ориентирована на оценку соответствия работы проверяемых систем требованиям законодательства и внутренних документов хозяйствующего субъекта
Системно-ориентированная модель внутреннего контроля построена по принципу, в соответствии с которым каждое функциональное подразделение (отдел) организации рассматривается как воспроизводящее некий закрепленный за ним процесс, а организация в целом - как цепочка или сеть таких процессов
Эффективный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы оптимизации затрат на ключевых элементах бизнес-модели при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента, когда оптимизация затрат является условием дальнейшего развития банка	Индикативный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы использования индикаторов (факторов) внутренней и внешней среды для опережающего развития банка при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента	Основная модель Банка России
		Риск-ориентированный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы предупреждения и контроля рисков банка при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента, когда риск является одним из ключевых параметров оценки любого продукта банка и взаимосвязей подразделений банка, что позволяет проводить максимально возможное снижение рисков, в том числе и регуляторного
Черты современных российских концепций внутреннего контроля
Постоянный элемент любой деятельности банка, внутренне присущее свойство	Использование в самых различных направлениях деятельности банка	Условие дальнейшего опережающего развития банка

Международные коллегиальные органы (к примеру, Базельский комитет по банковскому надзору) и банковские органы надзора во всём мире существенное внимание уделяют надёжности систем внутреннего контроля. Отчасти такой повышенный интерес к внутреннему контролю объясняется существенными убытками, понесёнными рядом банковских учреждений. Анализ проблем, вызвавших эти убытки, показывает, что их можно было избежать, если бы банки имели эффективные системы внутреннего контроля. Такие системы помогли бы предотвратить или своевременно выявить проблемы, которые привели к убыткам, тем самым уменьшая ущерб, понесённый банковскими организациями.

В международной практике современный этап унификации требований к системе внутреннего контроля начался с предприятий и в дальнейшем был адаптирован к банковской деятельности. В 1985 году в США при участии и на средства пяти профессиональных саморегулируемых организации-Американского института сертифицированных общественных бухгалтеров (American Institute of Certified Public Accountants - AICPA), Американской ассоциации по учёту и отчётности (AAA), Института финансовых руководителей (Financial Executives Institute - FEI), Института внутренних аудиторов (НА) и Института специалистов управленческого учёта (IMA) - была создана национальная комиссия по борьбе с недостоверной финансовой отчётностью, известная по имени первого своего председателя Джеймса С. Тредвея как комиссия Тредвея.

Выпущенный данной комиссией в 1987 году отчёт содержал среди прочих рекомендаций призыв к перечисленным организациям - спонсорам комиссии Тредвея объединить усилия по достижению договорённости об общих для всех основных понятиях внутреннего контроля. Базируясь на этом предложении, был проведён анализ существовавшей на тот момент литературы по внутреннему контролю. Результатом этой работы стал представленный общественности в 1992 году документ под названием "Интегрированная концепция внутреннего контроля", который принято кратко называть по наименованию комитета-организатора концепцией COSO, моделью COSO или просто COSO.

Сутью модели COSO является концепция внутреннего контроля, подразумевающая, что и риски, и внутренний контроль являются неотъемлемой частью самого предприятия (бизнеса). Внутренний контроль - это не план мероприятий (даже успешно выполненный), не рубеж обороны от бесконтрольных и опасных действий и не охрана от рисков (даже хорошо оснащённая), а процесс, интегрированный в обычную деятельность.

Соответствие принципам COSO не являлось обязательным требованием для коммерческих организаций, однако эта модель и её принципы лежат в основе всех моделей контроля, предложенных позднее, в том числе моделей системы внутреннего контроля, установленных надзорными органами в настоящее время для кредитных организаций*(1).

Таким образом, отечественная наука и практика, используя западный опыт и рекомендации, на сегодняшний день выработали три подхода к организации системы внутреннего контроля, которые в данной статье описываются тремя моделями, хотя можно найти и другие модели вне кредитно-финансовой сферы (см. рис. 1).

                      /-------------------\ /---------------------------\

                      |  Подтверждающая   | |   Западная модель COSO    |

                      |      модель       | |                           |

                      \-------------------/ \---------------------------/

                                                            |

                      /-------------------\                  |

                      |Системно-ориентиро-|                  |

                      |   ванная модель   |                  |

                      \-------------------/                  |

          /------------------/  |   \-------------------\    |

/------------------\  /-------------------\ /---------------------------\

|Эффективная модель|  |Индикативная модель| |Риск-ориентированная модель|

\------------------/  \-------------------/ \---------------------------/

Рис. 1. Процесс формирования современных моделей внутреннего контроля

Модель эффективного внутреннего контроля

В основание эффективной модели положено такое видение внутреннего контроля, как направленность на оптимизацию и повышение эффективности бизнес-процессов банка и снижение затрат, выделение центром затрат и прибыли банка, выстраивание финансовых потоков внутри банка для максимального достижения эффективности (см. рис. 2).

Эффективный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы оптимизации затрат на ключевых элементах бизнес-модели при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента, когда оптимизация затрат является условием дальнейшего развития банка. Алгоритм основных процедур эффективного внутреннего контроля показан на рисунке 3.

                     /-----------------\  /-------------------------\

                     |Построение модели|  |Создание карты процессов |

                     |     каждого     |  |      бизнес-модели      |

                     | бизнес-процесса |  |                         |  /-------------\

                     \-----------------/  \-------------------------/  |Корректировка|

---------------------------------------------------------------------|бизнес-модели|

                             |                                         |   банка     |

/-----------------\  /-----------------\                               \-------------/

|Параметры центров|  |Выделение этапов |

|затрат и прибыли |  |бизнес-процесса и|

|                 |  |   участвующих   |

|                 |  |  подразделений  |

\-----------------/  \-----------------/

Параметры не обязательно финансовые

Рис. 3. Алгоритм процедур эффективного внутреннего контроля

Направления эффективного внутреннего контроля:

- выделение основных параметров центров затрат и прибыли в банке во временной перспективе и в сравнении;

- анализ каждого процесса бизнеса-модели с построением модели такого процесса;

- создание карты бизнес-процессов и финансовых потоков в банке;

- перестройка в случае необходимости системы взаимодействия различных подразделений банка в рамках корректировки моделей бизнес-процессов банка.

Модель эффективного внутреннего контроля является также и как бы банковской технологией выстраивания бизнес-процессов в банке, вообще, в принципе, корректировки бизнес-модели банка. Организационная структура системы внутреннего контроля в банках в данной модели показана на рисунке 4, в таблице 2 отражены функциональные обязанности подразделений.

                              /--------------\

                              |    Служба    |

                              | внутреннего  |

                              |    аудита    |

                              \--------------/

        /--------------------------/ |  \-------------------------\

/----------------\            /--------------\              /--------------\

|Служба анализа  |            |Служба анализа|              |    Служба    |

|бизнес-процессов|            |бизнес-модели |              | финансового  |

|                |            |              |              | мониторинга  |

\----------------/            \--------------/              \--------------/

Рис. 4. Организационная структура службы внутреннего аудита в модели эффективного внутреннего контроля

Таблица 2. Функциональные обязанности организационных подразделений внутреннего аудита в рамках модели эффективного внутреннего контроля

Служба внутреннего аудита	Выстраивает систему внутреннего контроля в целом
Служба анализа бизнес-процессов	Анализирует бизнес-процессы в банке
Служба анализа бизнес-модели	Анализирует позицию банка на рынке банковских услуг
Служба финансового мониторинга	Отслеживает в режиме реального времени операции для противодействия легализации доходов

Модель индикативного внутреннего контроля

В основание индикативной модели положено такое видение внутреннего контроля, как анализ зависимости деятельности банка от индикаторов (факторов) внутренней и внешней среды, максимальное использование параметров среды как конкурентного преимущества банка, выстраивание моделей взаимодействия с факторами развития в условиях воздействия индикаторов (см. рис. 5).

Уменьшение факторов дисфункции	Индикаторы среды	Конкурентное преимущество банка
	Параметры деятельности банка
	Построение зависимостей

Рис. 5. Представление элементов модели индикативного контроля

Индикативный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы использования индикаторов (факторов) внутренней и внешней среды для опережающего развития банка при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента. Организационная структура службы внутреннего аудита в индикативной модели внутреннего контроля представлена на рисунке 6.

                              /--------------\

                              |    Служба    |

                              | внутреннего  |

                              |    аудита    |

                              \--------------/

        /--------------------------/ |  \-------------------------\

/----------------\            /--------------\              /--------------\

|Служба анализа  |            |Служба анализа|              |    Служба    |

|   индикаторов  |            |бизнес-модели |              | финансового  |

|     среды      |            |              |              | мониторинга  |

\----------------/            \--------------/              \--------------/

Рис. 6. Организационная структура службы внутреннего аудита в индикативной модели внутреннего контроля

Исключительно важной в данной организационной структуре является работа службы анализа индикаторов среды, применяющей различные методы анализа, в том числе мультифакторный анализ и многомерное шкалирование в условиях макроэкономической неопределённости. Служба анализа бизнес-модели выстраивает различные параметры зависимостей, предлагая корректировки бизнес-модели. Служба финансового мониторинга отслеживает в режиме реального времени операции для противодействия легализации доходов (см. табл. 3).

Таблица 3. Функциональные обязанности организационных подразделений внутреннего аудита в рамках индикативной модели внутреннего контроля

Служба внутреннего аудита	Выстраивает систему внутреннего контроля в целом
Служба анализа индикаторов среды	Устанавливает параметры развития банка
Служба анализа бизнес-модели	Анализирует позицию банка на рынке банковских услуг
Служба финансового мониторинга	Отслеживает в режиме реального времени операции для противодействия легализации доходов

Направления индикативного внутреннего контроля:

- выявление основных параметров внутренней и внешней среды развития банка от макроэкономического до микроэкономического уровня;

- определение веса воздействия каждого фактора на тот или иной показатель деятельности банка;

- построение карты индикаторов и зависимости параметров развития банка от индикаторов;

- использование выявленных индикаторов, усиливающих развитие банка, как конкурентного преимущества банка на рынке.

Индикативная модель выступает и как ресурс менеджмента, так как она выявляет сильные и слабые стороны менеджмента банка (см. рис. 7). Это одна из возможностей анализа банка как системы и предупреждения негативных тенденций в его деятельности.

             /----------------\

    /--------|Внутренняя среда|

    |        \----------------/

    |        /----------------\

    |--------| Внешняя среда  |

    |        \----------------/

/---------\   /-----------------\  /-----------------\   /------------------\

|Параметры|   |   Воздействие   |  |Построение карты |   |  Использование   |

|  среды  |   | каждого фактора |  |индикаторов и их |   | зависимости как  |

|         |   |  на показатель  |  | зависимости от  |   |  конкурентного   |

\---------/   \-----------------/  |   параметров    |   |преимущества банка|

                                  | развития банка  |   |                  |

   |                               |                 |   |                  |

---+------------------------------|                 |--|                  |

   |                               \-----------------/   \------------------/

   |       /--------------------------\

   |-------|Макроэкономический уровень|

   |       \--------------------------/

   |       /--------------------------\

   \-------|Микроэкономический уровень|

           \--------------------------/

Рис. 7. Объекты и процедуры внутреннего контроля в индикативной модели

Модель риск-ориентированного внутреннего контроля

В основание риск-ориентированной модели положено такое видение внутреннего контроля, как присущие деятельности любого банка риски деятельности, как постоянная составляющая банковских операций. В данной модели внутренний контроль нацелен на предупреждение возникновения рисков через такую настройку программного обеспечения в банке, которая позволяет автоматически посылать в службы внутреннего контроля сигналы о нарушении лимитов и процедур бизнес-процессов. С другой стороны, риск-ориентированная модель контроля сориентирована на минимизацию резко возрастающих рисков через анализ бизнес-процессов не только с точки зрения недопущения нарушения законодательства, но и с точки зрения оценки эффективности бизнес-процессов, включающих как одну из составных частей правовой риск и, более широко, регуляторный риск (см. рис. 8).

                        /-----------------------\

       /----------------|   Направления РОВК    |-------------\

       |                \-----------------------/             |

/--------------\              /--------------\          /---------------\

|  Контроль в  |              |    Оценка    |          | Проверки для  |

|    режиме    |              | риск-фактора |          |  построения   |

|  реального   |              |бизнес-модели |          |    системы    |

|   времени    |              |    банка     |          |  управления   |

|операций банка|              |              |          |    рисками    |

\--------------/              \--------------/          \---------------/

/--------------\              /--------------\

| Риск-модуль  |              | Риск-аппетит |

|    любого    |              |              |

|бизнес-процес-|              |              |

|са банка      |              |              |

\--------------/              \--------------/

Рис. 8. Объекты и процедуры внутреннего контроля в риск-ориентированной модели

Риск-ориентированный внутренний контроль (РОВК) можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы предупреждения и контроля рисков банка при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента, когда риск является одним из ключевых параметров оценки любого продукта банка и взаимосвязей подразделений банка, что позволяет проводить максимально возможное снижение рисков, в том числе и регуляторного.

В системе РОВК можно выделить три основных направления:

- оценку риск-фактора любой бизнес-модели банка, включая стратегию развития банка, бизнес-план банка, концепции развития отдельных направлений банка и его бизнеса, а также включая оценку риск-аппетита по всем факторам развития;

- постоянный контроль в режиме реального времени всех операций банка с точки зрения того, что служба управления рисками является встроенным элементом любого технологического бизнес-процесса в банке, в частности в области контроля за соблюдением лимитов, для чего необходима перенастройка всего программного обеспечения в банке и нормативная регламентация бизнес-процессов (в том числе и при помощи технологических карт);

- проверку деятельности подразделений банка в разрезе бизнес-процессов с позиций выстраивания системы управления рисками, а не только соответствия действующему законодательству.

Риск-ориентированный внутренний контроль становится элементом любого бизнес-процесса в банке как в форме текущего контроля (служба управления рисками и служба финансового мониторинга), так и в форме последующего контроля (служба внутреннего аудита и служба внутреннего контроля) (см. рис. 9). С точки зрения текущего контроля службы внутреннего контроля незамедлительно реагируют и пресекают факты нарушения лимитов и регламентов бизнес-процессов, а с точки зрения последующего контроля службы внутреннего контроля вырабатывают рекомендации по предотвращению рисков в дальнейшем в системе управления в целом (см. табл. 4).

                              /--------------\

                              |    Служба    |

                              | внутреннего  |

                              |    аудита    |

                              \--------------/

        /--------------------------/ |  \-------------------------\

/----------------\            /--------------\              /--------------\

|     Служба     |            |    Служба    |              |    Служба    |

|   внутреннего  |            |   управления |              | финансового  |

|    контроля    |            |    рисками   |              | мониторинга  |

\----------------/            \--------------/              \--------------/

Рис. 9. Организационная структура службы внутреннего аудита в риск-ориентированной модели внутреннего контроля

Таблица 4. Функциональные обязанности организационных подразделений внутреннего аудита в рамках риск-ориентированной модели внутреннего контроля

Служба внутреннего аудита	Выстраивает систему управления рисками в целом
Служба внутреннего контроля	Отслеживает в режиме постконтроля операции на предмет соответствия бизнес-процессам
Служба управления рисками	Анализирует в режиме реального времени бизнес-процессы
Служба финансового мониторинга	Отслеживает в режиме реального времени операции для противодействия легализации доходов

Рассмотрим функциональные элементы системы слежения за операциями в системе РОВК.

1. Хранилища данных с распределённым доступом в архивном времени, что позволяет проводить временной анализ проблемы, а также в режиме реального времени следить за операциями. Хранилища данных - это процесс сбора, отсеивания и предварительной обработки данных с целью представления результирующей информации пользователям для статистического анализа и аналитических отчётов. Автор концепции хранилищ данных Ральф Кинболл описывал хранилища данных как "место, где люди могут получить доступ к своим данным". Он же сформулировал основные требования к хранилищам данных:

- поддержка высокой скорости данных из хранилища;

- поддержка внутренней непротиворечивости данных;

- возможность получения и сравнения данных;

- наличие удобных утилит просмотра данных хранилища;

- полнота и достоверность хранимых данных;

- поддержка качественного процесса пополнения данных.

2. Выстраивание технологических бизнес-процессов (нормативно и программно) с встроенным модулем контроля со стороны службы управления рисками:

- нормативное описание бизнес-процессов банка для фиксирования распределения ролей и участков каждого этапа бизнес-процесса;

- программное перестраивание информационных систем банка с целью реального отражения каждого этапа любого бизнес-процесса в хранилищах данных банка.

3. Системы оперативного контроля в автоматическом и ручном режиме:

- система оперативного контроля может работать в автоматическом режиме и автоматически посылать сигнал о нарушении в службу управления рисками при нарушении каким-либо подразделением, например, системы лимитов;

- система оперативного контроля может работать и в ручном режиме по наиболее важным вопросам, позволяющим учесть "человеческий фактор". Система слежения опирается в своей деятельности:

- на лимитирование;

- распределение доступа к информационным системам банка с определением ролей каждого сотрудника банка;

- распределение полномочий на каждом этапе бизнес-процесса с определением функциональных ролей каждого подразделения;

- соблюдение этапности бизнес-процесса. Именно этапность позволяет распределить доступ и обязанности участников бизнес-процесса.

В заключение

В настоящее время в России идут интенсивные разработки в области внутреннего контроля. Касаются они и базовых моделей управления организациями, в том числе и в банках. Нельзя не отметить, что основной выступает риск-ориентированная модель в различных экономических объектах. Но это не значит, что этим всё и исчерпывается.

В сентябре 1998 года Базельский комитет по банковскому надзору издал документ "Система внутреннего контроля в банках: основы организации", который предполагал, что характер предлагаемых принципов позволит банковским органам надзора применять их при оценке собственных методов и процедур надзора, используемых для мониторинга организации внутреннего контроля в банках.

Базельский комитет обозначил пять категорий недостатков контроля, присущих большинству проблемных банков:

- отсутствие надлежащего управленческого контроля и системы подотчётности, неумение сформировать высокую культуру контроля в банке, что отражает отсутствие у руководства банка достаточных стимулов для осуществления надлежащего "линейного" контроля и стимулирования понимания важности контроля в подразделениях банка;

- недостаточно эффективное выявление и оценка риска, связанного с некоторыми видами балансовых и забалансовых операций банка, а также недооценка рисков, связанных с новыми продуктами или видами операций;

- отсутствие или слабость ключевых контрольных структур и видов деятельности, таких как разделение обязанностей, санкционирование операций, выверка счетов, перекрёстные проверки, проверки операционной деятельности;

- неудовлетворительный обмен информацией между различными уровнями руководства в банке, особенно при сообщении о проблемах на верхний уровень. Документы, определяющие политику банка и внутренние процедуры, могут быть эффективными лишь в том случае, если они доведены до всех сотрудников, участвующих в данной деятельности;

- неадекватный или неэффективный аудит или мониторинг устранения недостатков.

Интересно, что подобные проблемы вошли в перечень ключевых причин последнего финансового кризиса. Это означает, что ни коммерческие банки, ни национальные органы банковского надзора не придали должного значения проблемам, которые были описаны почти двадцать лет назад.

-------------------------------------------------------------------------

*(1) Украинская И.Д. Об организации риск-ориентированного внутреннего контроля в банках // Управление в кредитной организации. 2006. Сентябрь-октябрь. N 5.