Сравнение моделей внутреннего контроля и практика Банка России (Р. Пашков, Ю. Юденков, журнал "Бухгалтерия и банки", N 11, ноябрь 2015 г.)

Сравнение моделей внутреннего контроля и практика Банка России

Р. Пашков,

банковский юрист

Ю. Юденков,

профессор РАНХиГС

Журнал "Бухгалтерия и банки", N 11, ноябрь 2015 г.

Прошло около двух лет с публикации новых документов COSO "Внутренний контроль над достоверностью внешней отчётности (подход и примеры)", "Внутренний контроль - интегрированная модель" и новой редакции Положения ЦБ РФ от 16.12.03 N 242-П, признающей существование риск-ориентированного внутреннего контроля и внутреннего аудита. Настоящая статья посвящена сравнительным характеристикам российской и западной моделей внутреннего контроля. В ней раскрываются их основные понятия, отличия, контекст развития, а также анализируется практика нормативного регулирования внутреннего контроля со стороны Банка России.

Модель COSO как основная западная модель

Комитет организаций-спонсоров Комиссии Тредуэя (англ. The Committee of Sponsoring Organizations of the Treadway Commission - COSO) является добровольной частной организацией, созданной в США и предназначенной для выработки соответствующих рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчётности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.

COSO разработал общую модель внутреннего контроля, в сравнении с которой компании и организации, в том числе и банки, могут оценить собственные системы управления. COSO был образован в 1985 году при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчётности (Комиссия Тредуэя). Комиссия Тредуэя была организована и финансируется совместно пятью основными профессиональными бухгалтерскими ассоциациями и институтами, размещающимися в США:

- Американским институтом дипломированных общественных бухгалтеров (AICPA);

- Американской ассоциацией бухгалтеров (AAA);

- Международной ассоциацией финансовых руководителей (FEI);

- Институтом внутренних аудиторов (IIA);

- Институтом бухгалтеров по управленческому учёту (IMA).

Целями учреждения COSO было изучение причин, влияющих на фальсификацию финансовой отчётности, и подготовка рекомендаций по борьбе с мошенничеством для публичных компаний, их аудиторов, регулирующих органов и образовательных учреждений. Сегодня основными задачами, стоящими перед COSO, являются разработка рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчётности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.

Основные понятия модели COSO

Модель COSO включает в себя несколько основных понятий:

- внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель;

- внутренний контроль зависит от людей. Он представляет собой не только политики руководства и формы, но и людей на всех уровнях организации;

- внутренний контроль может обеспечить руководству и совету директоров компании лишь достаточную уверенность, но не абсолютные гарантии;

- внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Определение внутреннего контроля и целей модели

Модель COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и остальным персоналом компании, предназначенный для обеспечения "разумной уверенности" касательно достижения целей в следующих категориях:

- эффективность и продуктивность операций;

- надёжность финансовой отчётности;

- соблюдение законов и правил.

Восемь компонентов модели

Восемь компонентов управления рисками:

1) внутренняя среда (internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют;

2) постановка целей (objective setting). Цели должны быть определены до того, как руководство начнёт выявлять события, которые могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и они соответствуют миссии организации и уровню её риск-аппетита;

3) определение событий (event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учётом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей;

4) оценка рисков (risk assessment). Риски анализируются с учётом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска;

5) реагирование на риск (risk response). Руководство выбирает метод реагирования на риск - уклонение от риска, принятие, сокращение или перераспределение риска, - разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации;

6) средства контроля (control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать разумную гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно;

7) информация и коммуникации (information and communication). Необходимая информация определяется, фиксируется и передаётся в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали;

8) мониторинг (monitoring). Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путём проведения периодических оценок.

Российская модель РОВК

Основной российской теоретической концепцией является модель риск-ориентированного внутреннего контроля или РОВК. Разработки данной модели были начаты в начале текущего века, она утверждена в качестве обязательной в 2014 году.

Эволюция российских концепций внутреннего контроля:

- подтверждающая модель внутреннего контроля ориентирована на оценку соответствия работы проверяемых систем требованиям законодательства и внутренних документов хозяйствующего субъекта (Положение ЦБ РФ N 95-П, 2007 год);

- системно-ориентированная модель внутреннего контроля построена по принципу, в соответствии с которым каждое функциональное подразделение (отдел) организации рассматривается как воспроизводящее некий закреплённый за ним процесс, а организация в целом - как цепочка или сеть таких процессов;

- риск-ориентированная модель, в основу которой положено такое видение внутреннего контроля, как присущие деятельности любого банка риски деятельности, как постоянная составляющая банковских операций. При этом внутренний контроль нацелен как на предупреждение возникновения рисков через настройку программного обеспечения в банке, которая позволяет автоматически посылать в службы внутреннего контроля сигнал о нарушении лимитов и процедур бизнес-процессов, так и на минимизацию резко возрастающих рисков через анализ бизнес-процессов не только с точки зрения нарушения законодательства, но и сточки зрения оценки эффективности бизнес-процессов, включающих как одну из составных частей правовой риск и, более широко, регуляторный риск.

Риск-ориентированный внутренний контроль можно определить как постоянный элемент деятельности банка по всем направлениям, включающий различные формы предупреждения и контроля рисков банка при помощи различных технологий, в том числе банковских информационных технологий и технологий менеджмента, когда риск является одним из ключевых параметров оценки любого продукта банка и взаимосвязей подразделений банка, что позволяет проводить максимально возможное снижение рисков, в том числе и регуляторного.

В системе РОВК можно выделить три основных направления:

- оценку риск-фактора любой бизнес-модели банка, включая стратегию развития банка, бизнес-план банка, концепции развития отдельных направлений банка и его бизнеса, а также оценку риск-аппетита по всем факторам развития;

- постоянный контроль в режиме реального времени всех операций банка с точки зрения того, что служба управления рисками является встроенным элементом любого технологического бизнес-процесса в банке, в частности в области контроля за соблюдением лимитов, для чего необходима перенастройка всего программного обеспечения в банке и нормативная регламентация бизнес-процессов (в том числе и при помощи технологических карт);

- проверки деятельности подразделения банка в разрезе бизнес-процессов с позиций выстраивания системы управления рисками, а не только соответствия действующему законодательству. Риск-ориентированный внутренний контроль становится элементом любого бизнес-процесса в банке как в форме текущего контроля (служба управления рисками и служба финансового мониторинга), так и в форме последующего контроля (служба внутреннего аудита и служба внутреннего контроля). С точки зрения текущего контроля службы внутреннего контроля незамедлительно реагируют и пресекают факты нарушения лимитов и регламентов бизнес-процессов, а сточки зрения последующего контроля службы внутреннего контроля вырабатывают рекомендации по предотвращению рисков в дальнейшем в системе управления в целом.

Функциональные элементы системы слежения за операциями в системе РОВК:

- хранилища данных с распределённым доступом в архивном времени, что позволяет проводить временной анализ проблемы, а также в режиме реального времени следить за операциями - это процесс сбора, отсеивания и предварительной обработки данных с целью предоставления результирующей информации пользователям для статистического анализа и аналитических отчётов. Ральф Кинболл (автор концепции хранилищ данных) описывал хранилища данных как "место, где люди могут получить доступ к своим данным". Он же сформулировал основные требования к хранилищам данных - это:

1) поддержка высокой скорости данных из хранилища;

2) поддержка внутренней непротиворечивости данных;

3) возможность получения и сравнения данных;

4) наличие удобных утилит просмотра данных хранилища;

5) полнота и достоверность хранимых данных;

6) поддержка качественного процесса пополнения данных;

- выстраивание технологических бизнес-процессов (нормативно и программно) со встроенным модулем контроля со стороны службы управления рисками:

1) нормативное описание бизнес-процессов банка для фиксирования распределения ролей и участков каждого этапа бизнес-процесса;

2) программное перестраивание информационных систем банка с целью реального отражения каждого этапа любого бизнес-процесса в хранилищах данных банка;

- системы оперативного контроля в автоматическом и ручном режиме:

1) система оперативного контроля может работать в автоматическом режиме и автоматически посылать сигнал о нарушении в службу управления рисками при нарушении каким-либо подразделением, например системы лимитов;

2) система оперативного контроля может работать и в ручном режиме по наиболее важным вопросам, позволяющим учесть человеческий фактор.

Система слежения опирается в своей деятельности в том числе на:

- лимитирование;

- распределение доступа к информационным системам банка с определением ролей каждого сотрудника банка;

- распределение полномочий на каждом этапе бизнес-процесса с определением функциональных ролей каждого подразделения;

- соблюдение этапности бизнес-процесса - именно этапность позволяет распределить доступ и обязанности участников бизнес-процесса.

Сравнение моделей

Несмотря на наличие большого количества зарубежных методологий, отражающих разные взгляды и подходы к организации системы внутреннего контроля и управления рисками, следует отметить их общую направленность и неадаптированность к особенностям национальной экономики и менталитета. К тому же их применение варьируется и зависит от качества перевода. В частности, трудности возникают при попытках наложения отечественного контрольно-ревизионного понятийного аппарата на международную терминологию.

Суть модели COSO можно выразить так: вы управляете тогда, когда риск оценен и управляем. Суть российской модели РОВК: вы управляете, и это уже риск.

Выразим отличия COSO от РОВК, хотя они достаточно условны.

1. В COSO большое значение придаётся внутренней среде. В РОВК больший упор на внутренние бизнес-процессы банка. Поэтому в западной модели управление учитывает в первую очередь среду, а РОВК - в первую очередь возможности банка по развитию. РОВК рассматривает банк как инструмент принесения прибыли для акционеров, оказания услуг клиентам и выполнения социальной миссии как части экономического механизма страны. В РОВК сильны позиции инструментального подхода к банку.

2. В COSO гораздо большее значение придаётся мониторингу внутреннего контроля как форме последующего контроля. Мониторинг - один из основных элементов модели COSO. В РОВК основной момент заключается в выстраивании самой системы внутреннего контроля. РОВК также и не отрицает значение мониторинга, но главное - работа самой системы как инструмента, рычага.

3. В COSO большое значение придаётся работе совета директоров, в РОВК - именно процессу взаимодействия всех органов управления банка. Совет директоров в российских банках зачастую не играет ту роль, которую должен играть, и поэтому РОВК рассматривает его как орган, встроенный в систему управления банка. Многие российские банки хотя и публичны по форме, в то же время по сути не являются публичными лицами по корпоративному управлению.

РОВК в современной концепции включает пять элементов:

1) комплаенс-контроль - контроль правового и регуляторного риска;

2) службу внутреннего аудита - контроль всей совокупности потенциальных и реальных рисков;

3) службу внутреннего контроля - контроль соблюдения процедур и отклонений;

4) службу риск-менеджмента - оценка рисков;

5) службу финансового мониторинга - контроль процедур ПОД/ФТ.

При проведении внутреннего контроля в коммерческом банке могут использоваться различные методы контроля - наблюдение, обследование, экономический и иной анализ, представление и проверка отчётности, инвентаризация, экспертиза, сверка (сопоставление), контрольный пересчёт, измерение, тестирование и др. Процедуры внутреннего контроля с применением соответствующих методов контроля (см. рис. 1), осуществляемые непосредственно субъектами внутреннего контроля или с использованием технических средств, обеспечивают:

- предотвращение или своевременное выявление и оценку рисков в деятельности Банка России;

- устранение недостатков в деятельности, а также в организации и осуществлении внутреннего контроля.

      /---------------------\                      /--------------------\

      |  Контроль качества  |----------------------|    Подотчетность   |

      |        данных       |                      |                    |

      \---------------------/                      \--------------------/

         |       \----------------\         /------------------/    |

         |                                                        |

/-----------------------\     /---------------------\     /-----------------------\

|    Согласование и     |     |Основные процедуры   |     | Контроль соответствия |

| утверждение  операции |----|внутреннего контроля |----|                       |

|                       |     |                     |     |                       |

\-----------------------/     \---------------------/     \-----------------------/

         |                                                       |

         |                       |        |      |                  |

         |       /---------------/        |      \--------------\   |

/-----------------------\     /---------------------\     /-----------------------\

|Контроль обоснованности|     | Проверка соблюдения |     |Управленческий контроль|

| и целевого экономного |-----|лимитов и ограничений|-----|                       |

| расходования средств  |     |                     |     |                       |

\-----------------------/     \---------------------/     \-----------------------/

Рис. 1. Основные процедуры внутреннего контроля

Таким образом, под системой управления рисками в коммерческом банке понимается комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для выполнения задач, сформулированных стратегией банка, с учётом влияния на деловую репутацию и размера причиняемого материального ущерба. При этом следует учитывать, что последствия могут быть определёнными или неопределёнными, могут быть выражены качественно или количественно, а первоначальные последствия могут вызвать эскалацию дальнейших последствий по принципу домино.

Применение риск-ориентированной концепции даёт возможность лучше управлять ситуацией в условиях неопределённости, принимать более осознанные решения по вопросам управления рисками, обеспечивает разумные гарантии того, что организация и её подразделения выполнят свои цели и задачи, защитят деловую репутацию и финансовые активы. Модель зрелости организации по отношению к управлению рисками представлена на рисунке 2.

Наиболее важными с точки зрения современного внутреннего контроля в коммерческом банке являются следующие три фактора:

1) приверженность высшего руководства современному внутреннему контролю как при разработке системы внутреннего контроля, так и при создании эффективной культуры риска;

2) комплексный подход по контролю за финансовыми и нефинансовыми рисками во всех подразделениях центрального банка, реализуемый единой службой, относящейся или близкой к высшему уровню центрального банка. Конкретные пути достижения такого комплексного подхода могут быть различными, однако его обязательными атрибутами являются наличие группы по внутреннему контролю, созданной высшим руководством, которая регулярно рассматривает как финансовые, так и нефинансовые риски, т.е. постоянное внимание к отчётности о выявлении рисков и контролю за ними, а также наличие достаточного постоянного контроля со стороны группы;

3) стремление к тому, чтобы механизмы и практика внутреннего контроля были понятными, целесообразными и актуальными. Сложность методологии и процессов не только делает внутренний контроль высокозатратным и трудоёмким, но и препятствует привыканию к тому, что контроль рисков является стандартной, но обязательной повседневной задачей.

Практика Банка России в контексте моделей

В практике функционирования систем внутреннего контроля наличествует общая проблема качества профессионального суждения при разработке, внедрении и оценке эффективности системы внутреннего контроля. Эта проблема порождает недостатки регулирования системы внутреннего контроля коммерческих банков со стороны Банка России.

Во-первых, Банк России не может выстроить систему рисков, так называемую пирамиду рисков. Вроде бы главным провозглашён регуляторный риск, но отсутствует даже его элементарное описание. Есть ряд положений по направлениям рисков, но непонятно, какая концепция внутреннего контроля лежит в основе нормативного регулирования Банка России. Можно даже сказать, что Банк России в принципе избегает упоминания в своих документах какой-либо модели внутреннего контроля.

С точки зрения теории риск-менеджмента к рискам первого уровня относится регуляторный риск как риск применения мер надзорного реагирования Банком России по отношению к банку. К рискам второго уровня относятся стратегический риск как риск нереализации стратегии развития банка, риск ликвидности как потеря банком возможности осуществлять платёжные обязательства. К рискам третьего уровня относят по важности валютный, правовой, операционный и рыночный риски.

Во-вторых, основное значение Банк России придаёт проверкам служб внутреннего контроля (см. таблицу).

Области проверок служб внутреннего контроля

Экономическая среда - в принципе никак не оценивается	Правовая среда - главный предмет проверок служб внутреннего контроля Банком России
Бизнес-процессы - только постольку, поскольку затрагивается соответствие законодательству	Работа внутреннего контроля - остаточное значение

Складывается ситуация, когда сама идея внутреннего контроля профанируется самими проверками на соответствие деятельности подразделений банка правовой среде, т.е. действующему законодательству.

Не особенно удивляет в этой связи и написание актов проверок для собственников, когда описывается реальное положение вещей, и "официальные" акты, т.е. для Банка России. То есть внутренние бизнес-процессы вообще не изучаются, не проверяется, как функционирует корпоративное управление в банке. Главное приложение сил для российских служб внутреннего контроля - это последующий контроль на соответствие законодательству деятельности банка, и не более того.

В-третьих, Банк России не настроен уделять внимание РОВК как встроенному риск-модулю любого бизнес-процесса в банке. Только, ещё раз подчеркнём, проводятся последующие проверки на соответствие законодательству. А в связи с тем, что отсутствует соответствующее нормативное регулирование, у российских банков нет никакого желания развивать данные системы, и соответственно IT-компании таких решений предлагают очень мало. Как ни парадоксально, на сегодня встроенная риск-модель есть только в сфере финансового мониторинга. Говорить о выстроенной системе лимитов хотя бы в системе бизнес-процессов, как IT-решениях, не приходится. При этом отметим, что риск-модули давно встроены в информационные системы ведущих мировых банков по всем направлениям.

В-четвёртых, основным методом при исчислении рисков для Банка России остаётся балльный метод. В настоящее время в западном банковском мире широко применяется многомерное шкалирование угроз и мультифакторный анализ.

Многомерное шкалирование учитывает в нескольких плоскостях уровень нарастания напряжения системы и соответственно угроз в каждой точке прогнозного развития банка. Мультифакторный анализ позволяет выстроить систему факторов, воздействующих на банк, определённая совокупность которых может оказывать и критическое воздействие, приводя к дисфункции. Данные методы позволяют видеть картину развития банка в целом. Балльный метод не учитывает прогнозность деятельности банка, а оценивает только здесь и в настоящий момент конкретный параметр, и не более того.

В-пятых, Банком России не уделяется внимание взаимодействию системы внутреннего контроля и совета директоров, а именно в принципе не сформулирована работа комитета по аудиту и рискам совета директоров.

Целью управления рисками является снижение последствий отрицательного воздействия вероятных событий, которые могут явиться причиной изменений качества, затрат или сроков проведения операций, а также деловой репутации коммерческого банка.

Механизмы внутреннего контроля, которые рекомендует Банк России, потенциально служат для обеспечения внутренних мер по реагированию на выявленные риски. Вместе с тем неправильное внедрение механизмов внутреннего контроля может привести к неэффективному и нерациональному управлению рисками. Эффективная организация управления рисками ориентирована:

- на комплексность, системность и непрерывность;

- применение во всей организации и в каждом подразделении;

- чёткое разграничение ответственности за управление рисками;

- осуществление сотрудниками на всех уровнях организации;

- документирование процесса управления рисками.

В заключение

Надеемся, что настоящая статья позволила получить представление о моделях внутреннего контроля и их работе в определённых условиях. Обе модели опираются на ключевые понятия теории рисков, но в то же время есть и отличия. К сожалению, в настоящее время практика нормативного регулирования Банка России отстаёт от современной зарубежной регулятивной практики систем внутреннего контроля.

Одним из условий эффективного управления рисками является выстраивание в Банке России многоуровневой системы внутренних руководящих документов о политике в сфере управления рисками: концепция, положения, правила, процедуры, методические рекомендации, памятки. Они должны содержать систему требований к организации работы по управлению рисками во всей иерархической структуре и строго соблюдаться всеми участниками банковской системы.