Рекомендации Базельского комитета по банковскому надзору "Система внутреннего контроля в банках: основы организации" (Базельский комитет по банковскому надзору, Базель, сентябрь 1998 г.)

Система внутреннего контроля в банках:
основы организации
(Базельский комитет по банковскому надзору, Базель, сентябрь 1998 г.)
Подгруппа по управлению рисками Базельского комитета по банковскому надзору

Сопредседатели:

Г-н Роджер Коул - Совет Федеральной Резервной Системы, Вашингтон, О.К.

Г-жа Кристин Камминг - Федеральный Резервный Банк Нью-Йорка

Национальный Банк Бельгии, Брюссель                г-н Филип Лефевр

Банковская и финансовая комиссия, Брюссель         г-н Джос Меулмэн

Офис Директора Финансовых Институтов, Оттава       г-жа Аина Лепин

Банковская комиссия, Париж                         г-жа Бриджит Деклерси

Дойче Бундесбанк, Франкфурт-на-Майне               г-жа Магдалена Хейд

Банк Италии, Рим                                   г-н Паоло Паска

Банк Японии, Токио                                 г-н Нориюки Томиока

Финансовое надзорное агентство, Токио              г-н Козо Ишимура

Центральный Банк Люксембурга                       г-жа Изабелла Губин

Банк Нидерландов, Амстердам                        г-н Джоб Сванк

Банк Нидерландов, Амстердам                        г-н Паул Бенсшоп

Финансовая инспекция, Стокгольм                    г-н Ян Хедквист

Айдгеноссих Банкенкомиссион, Берн                  г-жа Рената Лишер

Управление финансовых служб, Лондон                г-н Стан Береза

Федеральная Корпорация Страхования Депозитов, г-н Марк Шмидт Вашингтон, О.К.

Офис Валютного Контролера, Вашингтон, О.К.         г-н Курт Вильгельм

Европейская Комиссия, Брюссель                     г-н Николае Кук

Секретариат Базельского комитета по банковскому надзору,

Банк Международных Расчетов                        г-жа Бетси Робертс

Основы организации внутреннего контроля в банках

Введение

ГАРАНТ:

См. также Рекомендации Базельского комитета по банковскому надзору "Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов"

1. Настоящий документ "Система внутреннего контроля в банках: основы организации" был издан Базельским комитетом по банковскому надзору*(1) в рамках постоянно ведущейся работы по вопросам банковского надзора и его совершенствованию путем рекомендаций, стимулирующих эффективное управление рисками. Эффективная система внутреннего контроля является критически важным компонентом управления банком и основой для обеспечения безопасности и устойчивости банковских операций. Эффективная система внутреннего контроля призвана обеспечивать реализацию целей и задач банковских учреждений, с тем чтобы банки могли достигать долгосрочных целей в области рентабельности и поддерживать надежную систему финансовой и управленческой отчетности. Помимо этого, такая система будет способствовать соблюдению законов и регулятивных норм, а также политики банка в разных областях деятельности, принятых планов, внутренних правил и процедур и снижать риск непредвиденных убытков или подрыва репутации банка. В настоящем документе содержится описание основных элементов действенной системы внутреннего контроля, опирающейся на опыт стран - членов Комитета, и принципов, изложенных в предыдущих изданиях Комитета. Настоящий документ был составлен с целью изложения ряда принципов, рекомендуемых для применения банковскими органами надзора при оценке систем внутреннего контроля банков.

2. Базельский комитет и банковские органы надзора во всем мире все большее внимание уделяют надежности систем внутреннего контроля. Отчасти такой повышенный интерес к внутреннему контролю объясняется существенными убытками, понесенными рядом банковских учреждений. Анализ проблем, вызвавших эти убытки, показывает, что их можно было избежать, если бы банки имели эффективные системы внутреннего контроля. Такие системы помогли бы предотвратить или своевременно выявить проблемы, которые привели к убыткам, тем самым уменьшая ущерб, понесенный банковскими организациями. При разработке данных принципов Комитет опирался на уроки, извлеченные из анализа проблемных ситуаций в банковской сфере в некоторых странах - членах Комитета.

3. Предполагается, что общий характер этих принципов позволит банковским органам надзора применять их при оценке собственных методов и процедур надзора, используемых для мониторинга организации внутреннего контроля в банках. Несмотря на то что конкретные методы, применяемые отдельными надзорными органами, будут зависеть от целого ряда факторов, включая технику проведения инспекции на местах и дистанционного надзора и степень использования внешних аудиторов в целях надзора, все члены Базельского комитета считают, что при оценке банковских систем внутреннего контроля должны применяться принципы, изложенные в настоящем документе.

4. Базельский комитет адресует настоящий документ органам банковского надзора во всем мире, рассчитывая, что изложенные в нем принципы представляют собой основу для эффективного надзора за системами внутреннего контроля. Комитет считает необходимым подчеркнуть, что эффективная система внутреннего контроля является необходимым условием надежного функционирования банков и обеспечения стабильности финансовой системы в целом. Несмотря на то что Комитет признает, что не все банковские учреждения в состоянии полностью применить все аспекты предлагаемых принципов, в целом банки движутся в сторону их применения.

5. Как правило, в предыдущих руководствах, издаваемых Базельским комитетом, рассматривалось, каким образом системы внутреннего контроля влияют на конкретные виды банковской деятельности, например, риск изменения процентных ставок, казначейские операции и сделки с финансовыми производными инструментами. В отличие от этого в данном руководстве излагаются основополагающие принципы, которые Базельский комитет рекомендует применять при оценке организации внутреннего контроля всех операций банков (включая забалансовые) и банковских холдингов. В руководстве не рассматриваются отдельные области или виды деятельности банковского учреждения. Точность применения рекомендаций, изложенных в руководстве, зависит от характера, сложности и рисков банковской деятельности.

6. Комитет дает вводный обзор в разделе I, излагает основополагающие цели и роль внутреннего контроля в разделе II и приводит 13 принципов оценки систем внутреннего контроля, применяемых органами надзора за банками, в разделах III и IV. Помимо этого, в Приложении I содержится список использованной литературы, а в Приложении II излагаются уроки по надзору, извлеченные из сбоев в функционировании систем внутреннего контроля в прошлом.

Принципы оценки систем внутреннего контроля

Управление и культура контроля

Принцип 1:

Совет директоров должен нести ответственность за утверждение и периодический пересмотр общей банковской стратегии и документов по различным аспектам политики банка (далее все указанные документы именуются политикой); понимать основные риски, принимаемые на себя банком, устанавливать приемлемые уровни этих рисков и обеспечивать принятие высшим руководством банка мер, необходимых для выявления, измерения, отслеживания и контролирования таких рисков; утверждать организационную структуру банка; обеспечивать, чтобы высшее руководство банка контролировало эффективность системы внутреннего контроля. Совет директоров несет ответственность за создание и функционирование адекватной и действенной системы внутреннего контроля.

Принцип 2:

Исполнительное руководство банка (далее именуется менеджментом, а отдельные руководители - менеджерами) должно нести ответственность за реализацию стратегии и политики банка, утвержденной советом директоров; развивать процессы, призванные выявлять, измерять, отслеживать и контролировать банковские риски; поддерживать такую организационную структуру, которая четко разграничивает сферы ответственности, полномочий и отчетности; обеспечивать эффективное осуществление делегированных полномочий; разрабатывать соответствующие правила внутреннего контроля; отслеживать адекватность и действенность системы внутреннего контроля.

Принцип 3:

Совет директоров и менеджмент банка несут ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность внутреннего контроля. Все сотрудники банка должны осознавать, понимать свою роль в процессе внутреннего контроля и принимать полноценное участие в этом процессе.

Признание и оценка риска

Принцип 4:

Эффективная система внутреннего контроля требует, чтобы существенные риски, которые могут оказать отрицательное влияние на достижение целей банка, выявлялись и оценивались на постоянной основе. Данная оценка должна охватывать все риски, принимаемые на себя банками на индивидуальной и консолидированной основе (кредитный риск, страновой риск и риск введения валютных ограничений, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и риск подрыва деловой репутации). Для того чтобы должным образом решать проблемы новых или ранее неконтролируемых рисков, может возникнуть необходимость внесения изменений в систему внутреннего контроля.

Деятельность по осуществлению контроля и разделение полномочий

Принцип 5:

Деятельность по осуществлению контроля должна быть составной частью повседневной деятельности банка. Эффективная система внутреннего контроля требует создания надлежащей структуры контроля, при которой контрольные функции определяются для каждого уровня деятельности банка. Сюда должны входить проверки, осуществляемые менеджментом; система согласований и делегирования прав; надлежащий контроль за различными подразделениями; проверка соблюдения лимитов на риски и последующий контроль устранения выявленных нарушений; система сверки счетов и перекрестной проверки; инвентаризация имущества.

Принцип 6:

Эффективная система внутреннего контроля предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудника допускает конфликт интересов. Сферы потенциальных конфликтов интересов должны быть выявлены, минимизированы и поставлены под строгий и независимый контроль.

Информация и система ее передачи

Принцип 7:

Эффективная система внутреннего контроля требует наличия адекватной и всеобъемлющей информации финансового, операционного характера и сведений о соблюдении установленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.

Принцип 8:

Эффективная система внутреннего контроля требует наличия надежных информационных систем, охватывающих все основные виды деятельности банка. Такие системы, включая электронные, должны находиться под независимым контролем и в отношении них должны быть разработаны соответствующие мероприятия по поддержке при чрезвычайных обстоятельствах.

Принцип 9:

Эффективная система внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой информации до соответствующих сотрудников.

Мониторинг деятельности и исправление недостатков

Принцип 10:

Общая эффективность внутреннего контроля банка должна отслеживаться на постоянной основе. Мониторинг ключевых рисков и их периодическая оценка, проводимые подразделениями банка и внутренними аудиторами, должны быть частью повседневной деятельности банка.

Принцип 11:

Необходимо наличие эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля, проводимого независимыми в операционном отношении, адекватно подготовленными и компетентными сотрудниками. Служба внутреннего аудита как часть мониторинга системы внутреннего контроля должна быть подотчетна совету директоров (или его комитету по аудиту) и менеджменту банка.

Принцип 12:

Недостатки внутреннего контроля, выявленные сотрудниками подразделений банка, службой внутреннего аудита или другими контрольными службами, должны своевременно доводиться до сведения руководителей соответствующего уровня и оперативно устраняться. О существенных недостатках внутреннего контроля необходимо сообщать менеджменту и совету директоров.

Оценка систем внутреннего контроля надзорными органами

Принцип 13:

Органы банковского надзора должны требовать от всех банков независимо от размера наличия эффективной системы внутреннего контроля, которая должна соответствовать характеру и сложности деятельности банка, рискам, принимаемым им в процессе осуществления балансовых и забалансовых операций. Система внутреннего контроля должна также быть способна реагировать на изменения внешней среды и условий осуществления банком своей деятельности. В случаях, когда надзорные органы приходят к выводу, что система внутреннего контроля банка неадекватна или неэффективна применительно к специфическому характеру рисков, принятых на себя данным банком (например, не удовлетворяет всем принципам, содержащимся в настоящем документе), они обязаны предпринять надлежащие меры.

I. Общий обзор

1. Для того чтобы выявить основные источники недостатков внутреннего контроля, Базельский комитет изучил проблемы, возникавшие в банках за последнее время. Выявленные проблемы подтвердили, что членам совета директоров и менеджменту банка, внутренним и внешним аудиторам, а также органам банковского надзора следует обращать большее внимание на усиление систем внутреннего контроля и проводить оценку их эффективности на регулярной основе. Ряд примеров из практики последних лет наглядно показывает, что слабый внутренний контроль может привести к существенным убыткам для банков.

2. Недостатки контроля, обычно присущие проблемным банкам, можно разделить на пять категорий:

- Отсутствие надлежащего управленческого контроля и системы подотчетности, неумение сформировать высокую культуру контроля в банке. Во всех случаях без исключения крупные убытки отражают невнимание и пренебрежение руководства к вопросам формирования культуры контроля в банке, недостаточного руководства и контроля со стороны совета директоров и менеджмента, отсутствия четкой системы управленческой подотчетности, базирующейся на разграничении круга задач и обязанностей. Такие случаи также отражают отсутствие у руководства банка достаточных стимулов для осуществления надлежащего "линейного" контроля и поддержания на высоком уровне понимания важности контроля в подразделениях банка.

- Недостаточно эффективное выявление и оценка риска, связанного с некоторыми видами балансовых и забалансовых операций банка. Многие банковские учреждения, потерпевшие крупные убытки, не выявляли и не оценивали риски, связанные с новыми продуктами или видами операций, или не модернизировали системы оценки риска при значительных изменениях условий ведения банковской деятельности. Многие случаи, происшедшие за последнее время, показывают, что системы контроля, вполне подходящие для традиционных или простых банковских продуктов, неэффективны в отношении нетрадиционных или более сложных продуктов.

- Отсутствие или слабость ключевых контрольных структур и видов деятельности, таких как разделение обязанностей, санкционирование операций, выверка счетов, перекрестные проверки, проверки операционной деятельности. Отсутствие разделения полномочий сыграло особенно существенную роль в случаях получения банками значительных убытков.

- Неудовлетворительный обмен информацией между различными уровнями руководства в банке, особенно при сообщении о проблемах на верхний уровень. Документы, определяющие политику банка и внутренние процедуры, могут быть эффективными лишь в том случае, если они доведены до всех сотрудников, участвующих в данной деятельности. Некоторые убытки в банках были вызваны тем, что соответствующие сотрудники не знали или не понимали политики, проводимой банком. В некоторых случаях сведения о нарушениях, которые должны были быть переданы вышестоящему руководству, не доводились до сведения совета директоров или менеджмента до тех пор, пока проблемы не вырастали до угрожающих размеров. В других случаях информация, содержащаяся в отчетах для руководства, была неполной или неточной, создавая видимость благополучного положения дел.

- Неадекватный или неэффективный аудит (или) мониторинг устранения недостатков. Во многих случаях недостаточно строгие аудиторские проверки не смогли выявить и указать на недостатки внутреннего контроля, обычно присущие проблемным банкам. В других случаях, несмотря на то что аудиторы сообщали о проблемах, отсутствовал механизм, обеспечивающий исправление недостатков силами руководства банка.

3. Основные принципы внутреннего контроля, лежащие в основе настоящего руководства, базируются на практике, существующей в настоящее время во многих крупных банках, фирмах, специализирующихся на операциях с ценными бумагами, нефинансовых компаниях и обслуживающих их аудиторских фирмах. Более того, настоящие принципы были составлены с учетом все большего внимания, уделяемого органами банковского надзора рассмотрению управления банковскими рисками и процессов внутреннего контроля. Важно подчеркнуть, что в обязанности совета директоров и менеджмента банка входит обеспечение наличия адекватного внутреннего контроля и создания благоприятных условий для того, чтобы сотрудники хорошо понимали и исполняли свои обязанности в данной области. В свою очередь, органы банковского надзора обязаны оценивать работу совета директоров и менеджмента банка по организации внутреннего контроля.

II. Основополагающие цели и роль внутреннего контроля

4. Внутренний контроль - это процесс, осуществляемый советом директоров*(2), менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях внутри банка. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе. Осуществление внутреннего контроля преследует следующие основные цели*(3):

1) Производственная и финансовая эффективность деятельности (производственно-финансовые цели).

2) Надежность, полнота и своевременность финансовой и управленческой информации (информационные цели).

3) Соблюдение действующих законодательных и нормативных актов (комплаенс-цели).

5. Производственно-финансовые цели внутреннего контроля касаются того, насколько эффективно и продуктивно банк управляет своими активами и другими ресурсами и какова вероятность убытков. Процесс внутреннего контроля направлен на то, чтобы сотрудники организации стремились к эффективному и честному достижению целей, избегая непродуманных или чрезмерных расходов или не ставя другие интересы (например, интересы сотрудника, партнера или клиента) выше интересов банка.

6. Информационные цели затрагивают подготовку своевременных, достоверных и адекватных отчетов, необходимых для принятия решений в банковском учреждении. Они также касаются необходимости составления достоверных годовых отчетов, прочей финансовой отчетности и других финансовых документов для акционеров, надзорных органов и прочих сторонних организаций. Информация, получаемая руководством, советом директоров, акционерами и надзорными органами, должна быть удовлетворительной с точки зрения качества и точности, чтобы получатели информации могли полагаться на нее при принятии решений. Термин "достоверный", применяемый к финансовой отчетности, означает подготовку объективных отчетов, составленных в соответствии с четко определенными и общепринятыми бухгалтерскими принципами.

7. Цели в сфере комплаенса касаются вопросов соблюдения всеми банковскими учреждениями положений действующего законодательства, требований надзорных органов, а также документов, определяющих внутреннюю политику и процедуры банка. Данная цель должна быть достигнута для защиты имени и репутации банка.

III. Основные элементы процесса внутреннего контроля

8. Процесс внутреннего контроля, который исторически служил в качестве механизма для минимизации случаев мошенничества, хищений или ошибок, приобрел более широкий характер, охватив все разнообразные риски, связанные с деятельностью банковских учреждений. В настоящее время признано, что эффективный процесс внутреннего контроля играет важнейшую роль в способности банка выполнять поставленные цели и сохранять финансовую жизнеспособность.

9. Внутренний контроль состоит из пяти взаимосвязанных элементов:

1) управленческий контроль и культура контроля;

2) выявление и оценка риска;

3) осуществление контроля и разделение полномочий;

4) информация и взаимодействие;

5) мониторинг и исправление недостатков.

Проблемы, характерные для банков, которые понесли крупные убытки в последнее время, могут быть соотнесены с этими пятью элементами. Надлежащее функционирование этих компонентов является важным условием эффективной деятельности банка, работы информационных систем и соблюдения нормативных требований.

А. Управленческий контроль и культура контроля

1. Совет директоров

Принцип 1: Совет директоров должен нести ответственность за утверждение и периодический пересмотр общей банковской стратегии и документов по различным аспектам политики банка (далее все указанные документы именуются политикой); понимать основные риски, принимаемые на себя банком, устанавливать приемлемые уровни этих рисков и обеспечивать принятие высшим руководством банка мер, необходимых для выявления, измерения, отслеживания и контролирования таких рисков; утверждать организационную структуру банка; обеспечивать, чтобы высшее руководство банка контролировало эффективность системы внутреннего контроля. Совет директоров несет ответственность за создание и функционирование адекватной и действенной системы внутреннего контроля.

10. Совет директоров обеспечивает руководство, управление и контроль за менеджментом. Он несет ответственность за утверждение и пересмотр общей стратегии банковской деятельности и документов, определяющих политику банка в ключевых областях, а также организационной структуры. Совет директоров в конечном счете несет ответственность за создание и функционирование адекватной и эффективной системы внутреннего контроля. Члены совета директоров должны быть объективными и компетентными, имеющими необходимые знания и опыт в области банковской деятельности и связанных с ней рисков. Кроме того, ожидается, что они должны быть готовы к детальному рассмотрению вопросов, связанных с управлением рисками. В тех странах, где имеется такая возможность, в состав совета директоров должны входить несколько лиц, не занимающихся повседневным управлением банком. Сочетание сильного и активного совета, эффективных информационных каналов, обеспечивающих поступление информации на высший уровень, и компетентных финансовой и юридической служб, а также внутреннего аудита является важным инструментом устранения проблем, мешающих наладить эффективную систему внутреннего контроля.

11. Деятельность совета директоров должна включать: 1) периодические обсуждения с руководством банка эффективности системы внутреннего контроля; 2) своевременное рассмотрение оценок внутреннего контроля, сделанных руководством, внутренними аудиторами и внешними аудиторами; 3) периодические мероприятия, обеспечивающие оперативное выполнение руководством рекомендаций и замечаний, высказанных аудиторами и надзорными органами по поводу недостатков внутреннего контроля; 4) периодическую проверку адекватности стратегии банка и лимитов на риски.

12. Одним из альтернативных решений, применяемых банками во многих странах, является создание независимого комитета по аудиту для оказания помощи совету директоров в выполнении его обязанностей. Создание комитета по аудиту позволяет проводить подробное изучение информации и докладов, не отнимая времени у всех членов совета. Как правило, комитет по аудиту отвечает за общий надзор за подготовкой финансовой отчетности и функционированием системы внутреннего контроля. Комитет по аудиту в качестве одного из направлений своей деятельности обычно контролирует деятельность и непосредственно контактирует с подразделением внутреннего аудита банка, а также вовлечен в контакты с внешним аудитором и выступает по отношению к нему основным контрагентом. В тех странах, в которых имеется такая возможность, комитет по аудиту должен быть сформирован главным образом или полностью из независимых директоров (т.е. членов совета директоров, которые не являются сотрудниками банка или какой-либо его дочерней компании), которые компетентны в вопросах финансовой отчетности и внутреннего контроля. Необходимо подчеркнуть, что создание комитета по аудиту ни в коей мере не должно приводить к урезанию полномочий совета директоров, который один юридически уполномочен принимать решения.

2. Высшее руководство

Принцип 2: Исполнительное руководство банка (далее именуется менеджментом, а отдельные руководители - менеджерами) должно нести ответственность за реализацию стратегии и политики банка, утвержденной советом директоров; развивать процессы, призванные выявлять, измерять, отслеживать и контролировать банковские риски; поддерживать такую организационную структуру, которая четко разграничивает сферы ответственности, полномочий и отчетности; обеспечивать эффективное осуществление делегированных полномочий; разрабатывать соответствующие правила внутреннего контроля; отслеживать адекватность и действенность системы внутреннего контроля.

13. Менеджмент несет ответственность за выполнение указаний совета директоров, включая реализацию стратегии и политики и создание эффективной системы внутреннего контроля. Обычно менеджмент делегирует полномочия на разработку конкретных правил и процедур в сфере внутреннего контроля руководителям соответствующего подразделения. Делегирование полномочий и ответственности является важной частью управления; однако высшее руководство должно контролировать менеджеров, которым оно передало данные обязанности с тем, чтобы обеспечить разработку и исполнение надлежащих правил и процедур.

14. Соблюдение правил созданной системы внутреннего контроля во многом зависит от хорошо описанной и понятной организационной структуры с четко очерченными сферами отчетности, полномочий и эффективной системой обмена информацией в рамках всего банка. Разделение полномочий и ответственности должно осуществляться так, чтобы избежать пробелов в системе подотчетности и охватить все уровни банка и его структур эффективными мерами управленческого контроля.

15. Важно, чтобы высшее руководство принимало меры, обеспечивающие выполнение работы по внутреннему контролю высококвалифицированными сотрудниками, обладающими необходимым опытом и техническими возможностями. Сотрудники отделов контроля должны получать справедливое вознаграждение. Необходимо постоянно повышать квалификацию персонала. Высшее руководство должно проводить политику поощрения, вознаграждения и продвижения по службе отличившихся сотрудников и сводить к минимуму поощрение сотрудников, игнорирующих или нарушающих механизмы внутреннего контроля.

3. Культура контроля

Принцип 3: Совет директоров и менеджмент банка несут ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность внутреннего контроля. Все сотрудники банка должны осознавать, понимать свою роль в процессе внутреннего контроля и принимать полноценное участие в этом процессе.

16. Важным элементом эффективной системы внутреннего контроля является развитая культура контроля. В обязанности совета директоров и менеджмента входит привлечение внимания к значению внутреннего контроля своими действиями и заявлениями. Это включает этические ценности, которые руководители демонстрируют при ведении дел как внутри, так и за пределами самой организации. Высказывания, позиции и действия членов совета директоров и менеджмента влияют на профессиональные, этические и другие аспекты культуры банковского контроля.

17. Внутренний контроль является делом всех сотрудников, работающих в банке, хотя и в разной степени. Почти все сотрудники генерируют информацию, которая используется в системе внутреннего контроля, или совершают другие действия, необходимые для осуществления контроля. Существенным элементом сильной системы внутреннего контроля является признание всеми сотрудниками необходимости эффективного выполнения своих обязанностей и доведения до сведения руководства надлежащего уровня любых операционных проблем, случаев несоблюдения кодекса профессиональной этики или других нарушений правил или злоупотреблений. Лучше всего этого можно достичь, когда операционные процедуры описаны в четко составленных документах, доступных всем заинтересованным сотрудникам банка. Важно, чтобы все сотрудники банка понимали значимость внутреннего контроля и активно участвовали в процессе его осуществления.

18. Укрепляя этические принципы, банковские учреждения должны избегать правил и практики, которые могут неумышленно создавать стимулы или соблазн для совершения неправомерных действий. К таким правилам и практике относятся чрезмерный акцент на достижение показателей или других операционных результатов, особенно имеющих краткосрочный характер и игнорирующих более долговременные риски, схемы вознаграждения сотрудников, чрезмерно ориентированные на краткосрочные показатели, неэффективное распределение обязанностей или контроля, которое создает возможности для неправильного использования ресурсов или для сокрытия отрицательных показателей, и слишком незначительные или, наоборот, непомерно строгие наказания за нарушения и злоупотребления.

19. Несмотря на то что высокая культура внутреннего контроля не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для совершения ошибок или их необнаружения.

Б. Признание и оценка риска

Принцип 4: Эффективная система внутреннего контроля требует, чтобы существенные риски, которые могут оказать отрицательное влияние на достижение целей банка, выявлялись и оценивались на постоянной основе. Данная оценка должна охватывать все риски, принимаемые на себя банками на индивидуальной и консолидированной основе (кредитный риск, страновой риск и риск введения валютных ограничений, рыночный риск, процентный риск, риск ликвидности, операционный риск, правовой риск и риск подрыва деловой репутации). Для того чтобы должным образом решать проблемы новых или ранее неконтролируемых рисков, может возникнуть необходимость внесения изменений в систему внутреннего контроля.

20. Банковский бизнес по своей природе связан с принятием рисков. Следовательно, крайне важно, чтобы элементом системы внутреннего контроля были выявление и оценка рисков на постоянной основе. С точки зрения внутреннего контроля эта работа призвана выявлять и оценивать внутренние и внешние факторы, которые могут оказать отрицательное влияние на достижение системой внутреннего контроля производственных, финансовых, информационных и комплаенс-целей. Данный процесс должен включать все риски, принимаемые на себя банками, и действовать на всех уровнях внутри организации. Внутренний контроль отличается от процесса управления рисками, который обычно больше сосредоточен на проверке соблюдения стратегий развития бизнеса, разрабатываемых для максимизации соотношения риск/отдача в различных областях банковской деятельности.

21. Эффективная оценка риска выявляет и рассматривает внутренние факторы (такие, как сложность организационной структуры, характер банковской деятельности, уровень квалификации сотрудников, организационные изменения и текучесть кадров) и внешние факторы (такие, как изменения экономических условий и ситуации в банковской сфере, технологические новшества), которые могут оказать отрицательное воздействие на достижение банком поставленных целей. Такая оценка риска должна проводиться как на уровне банка (соло-база), так и на консолидированной основе, т.е. включая все дочерние и зависимые структуры банка. Оценка может производиться различными методами. Эффективная оценка риска касается как измеримых, так и неизмеримых аспектов риска и сопоставляет расходы на контроль с приобретаемыми от этого выгодами.

22. Процесс оценки риска также включает в себя анализ рисков на предмет того, чтобы определить, какие из них могут контролироваться банком, а какие - нет. В отношении контролируемых рисков банк должен решить, принимать ли ему эти риски в полном объеме или определить, в какой мере он хочет уменьшить их путем применения процедур контроля. В отношении неконтролируемых рисков банк должен решить: принимать эти риски, отказаться от связанной с ними деятельности или сократить ее масштабы.

23. Для того чтобы обеспечить эффективную оценку риска и соответственно систему внутреннего контроля, менеджмент должен постоянно оценивать риски, влияющие на достижение поставленных целей, и реагировать на меняющиеся обстоятельства и условия. Для эффективного отслеживания новых или до этого неконтролируемых рисков может понадобиться пересмотр системы внутреннего контроля. Например, при появлении новшеств на финансовом рынке банк должен оценить новые финансовые инструменты и рыночные операции и проанализировать риски, связанные с такой деятельностью. Зачастую такие риски лучше всего поддаются анализу при рассмотрении того, как различные сценарии (экономические и прочие) могут повлиять на движение денежных средств и доходы от финансовых инструментов и операций. Тщательное рассмотрение всего диапазона возможных проблем, начиная от непонимания со стороны клиента и кончая операционным сбоем, поможет обратить внимание на наиболее важные аспекты контроля.

В. Осуществление контроля и разделение полномочий

ГАРАНТ:

О совершении сделок со связанными с банком лицами и оценке рисков, возникающих при их совершении, см. Указание оперативного характера ЦБР от 17 января 2005 г. N 2-Т

Принцип 5: Деятельность по осуществлению контроля должна быть составной частью повседневной деятельности банка. Эффективная система внутреннего контроля требует создания надлежащей структуры контроля, при которой контрольные функции определяются для каждого уровня деятельности банка. Сюда должны входить: проверки, осуществляемые менеджментом; система согласований и делегирования прав; надлежащий контроль за различными подразделениями; проверка соблюдения лимитов на риски и последующий контроль устранения выявленных нарушений; система сверки счетов и перекрестной проверки; инвентаризация имущества.

24. Контрольная деятельность задумана и осуществляется для предотвращения рисков, выявленных банком в результате описанного выше процесса оценки риска. Проведение контроля включает две стадии: 1) разработку правил и процедур контроля; 2) проверку исполнения таких правил и процедур. Осуществление контроля распространяется на всех сотрудников банка, включая менеджмент и сотрудников, работающих с клиентами. Ниже приводятся примеры осуществления контроля:

- Проверки на высшем уровне - Совет директоров и менеджмент часто запрашивают информацию и отчеты о результатах деятельности, которые дают возможность проверки хода достижения банком поставленных целей и задач. Например, менеджмент может рассматривать отчеты, в которых действительные финансовые результаты сопоставляются с запланированными (бюджетными). Вопросы, возникающие у менеджмента в результате такой проверки, и последующие разъяснения руководства низшего звена представляют собой контрольную деятельность, которая может помочь выявить такие проблемы, как недостатки контроля, ошибки в финансовой отчетности или мошенничество.

- Контроль за деятельностью - Руководители подразделений (департаментов, управлений, отделов) получают и проверяют стандартные отчеты о работе и отклонениях от поставленных целей на ежедневной, еженедельной или ежемесячной основе. Такие (функциональные) проверки проводятся более часто, чем проверки на высшем уровне, и обычно являются более подробными. Например, руководитель отдела коммерческого кредитования может проверять еженедельные отчеты по просроченной задолженности, погашению кредитов и получению процентных доходов по кредитному портфелю, тогда как топ-менеджер, ответственный за кредитование, может рассматривать аналогичные отчеты на ежемесячной основе и в более сжатом виде, включающие все области кредитования. Как и в случае проверки на высшем уровне, вопросы, которые возникают в результате анализа отчетов и получения соответствующих разъяснений, представляют собой контрольную деятельность.

- Материальный (физический) контроль - Фактические проверки производятся с целью контроля за ограничением доступа к материальным активам, включая кассовую наличность и ценные бумаги. Контрольная деятельность включает физические ограничения доступа к материальным ценностям, дублирование систем охраны и периодические инвентаризации.

- Проверка соблюдения установленных лимитов риска - Установление разумных лимитов на риски является важным аспектом управления рисками. Например, соблюдение лимитов на заемщиков и других участников сделок снижает концентрацию банковских кредитных рисков и помогает диверсифицировать виды риска. Следовательно, важным аспектом внутреннего контроля является процесс проверки соблюдения таких лимитов и последующих действий в случае их несоблюдения.

- Система согласований и делегирования прав (утверждение и предоставление полномочий) - Требования по утверждению и предоставлению специальных полномочий на совершение сделок, превышающих определенные лимиты, являются залогом того, что руководство соответствующего уровня знает о сделках или ситуации и обеспечивает систему отчетности по таким сделкам.

- Проверки и подтверждение счетов - Проверки деталей сделок и операций и результатов использования моделей управления банковскими рисками являются важными видами контроля. Периодические подтверждения счетов, например, сравнения денежных потоков с учетными записями и отчетами, помогают обратить внимание на операции и записи, нуждающиеся в корректировке. В случаях выявления существующих или потенциальных проблем результаты таких сверок должны сообщаться руководителям соответствующего уровня.

25. Осуществление контроля является наиболее эффективным, когда руководство и все другие сотрудники банка считают его неотъемлемой частью ежедневной деятельности банка, а не дополнением к ней. Когда мероприятия по контролю воспринимаются в качестве дополнения к текущей деятельности, они часто недооцениваются или даже не выполняются в ситуациях, когда сотрудники вынуждены работать в спешке. Помимо этого, мероприятия по контролю, встроенные в ежедневные банковские операции, помогают оперативно реагировать на изменение условий и избегать неоправданных затрат. В целях совершенствования культуры контроля в банке менеджмент обязан следить за тем, чтобы адекватные мероприятия по контролю осуществлялись как составная часть соответствующих ежедневных обязанностей всех сотрудников банка.

26. Менеджмент не должен ограничиваться простым введением документов о политике и процедурах, регулирующих соответствующие сферы деятельности и работу подразделений банка. Он обязан на регулярной основе получать подтверждение того, что все аспекты деятельности банка соответствуют указанным документам и что содержание документов продолжает оставаться адекватным. Как правило, установление фактов является основной обязанностью службы внутреннего аудита.

Принцип 6: Эффективная система внутреннего контроля предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудника допускает конфликт интересов. Сферы потенциальных конфликтов интересов должны быть выявлены, минимизированы и поставлены под строгий и независимый контроль.

27. При проведении анализа крупных убытков банков, происшедших вследствие плохого внутреннего контроля, надзорные органы обычно приходят к выводу, что одной из главных причин таких убытков является отсутствие надлежащего разделения полномочий. Наделение сотрудника полномочиями, порождающими конфликт интересов, например, возложение на него обязанности руководить одновременно подразделением "фронт" и "бэк" офиса по торговле ценными бумагами, дает ему доступ к имуществу и возможность подтасовывать финансовую информацию в корыстных целях или с тем, чтобы скрыть понесенные убытки. Для снижения риска манипулирования финансовой информацией и риска хищения имущества, некоторые полномочия должны в максимально возможной степени быть разделены между несколькими сотрудниками банка.

28. Важность разделения полномочий не ограничивается областью наделения одного сотрудника одновременно функциями контроля над "фронт" и "бэк" офисом. Серьезные проблемы могут возникнуть в ситуации, когда один и тот же сотрудник отвечает за:

- санкционирование выплаты денежных средств и их фактическую выплату;

- ведение счетов, на которых отражаются операции клиентов, и счетов, отражающих собственные операции банка;

- ведение операций, относящихся как к "банковскому", так и к "дилерскому" портфелю;

- неформальное предоставление информации клиентам об их позициях при одновременном совершении маркетинговых операций с теми же клиентами;

- оценку адекватности кредитной документации при выдаче кредита и мониторинг заемщика после выдачи кредита;

- любые другие области, где может возникнуть существенный конфликт интересов, не смягченный другими факторами.

29. Области потенциального конфликта интересов должны быть выявлены, минимизированы, и их постоянный мониторинг должен быть поручен независимому третьему лицу. Также необходимо проводить периодические проверки обязанностей и функций сотрудников, занимающих ключевые посты, с тем чтобы они не имели возможности скрывать совершение неправомерных действий.

Г. Информация и процесс ее передачи

Принцип 7: Эффективная система внутреннего контроля требует наличия адекватной и всеобъемлющей информации финансового, операционного характера и сведений о соблюдении установленных нормативных требований, а также поступающей извне рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.

30. Адекватная информация и ее эффективная передача играют важную роль в надлежащем функционировании системы внутреннего контроля. С позиции банка, чтобы быть полезной, информация должна обладать следующими качествами: быть относящейся к делу, надежной, своевременной, доступной и должным образом оформленной. Информация включает в себя внутренние финансовые и операционные данные, данные о соблюдении установленных требований законодательства и нормативных актов, а также сведения, поступающие с внешнего рынка, о событиях и условиях, имеющих отношение к принятию решений. Внутренняя информация является частью процесса учета, который должен опираться на установленный порядок хранения учетных записей.

Принцип 8: Эффективная система внутреннего контроля требует наличия надежных информационных систем, охватывающих все основные виды деятельности банка. Такие системы, включая электронные, должны находиться под независимым контролем, и в отношении них должны быть разработаны соответствующие мероприятия по поддержке при чрезвычайных обстоятельствах.

31. Важным компонентом банковской деятельности являются создание и поддержание систем управленческой информации, охватывающих полный спектр деятельности банка. Такая информация обычно предоставляется как на электронных, так и бумажных (неэлектронных, в оригинале - non-electronic) носителях. Банки должны уделять особое внимание организации обработки информации в электронном виде и требованиям к ней со стороны внутреннего контроля, а также необходимости осуществлять аудит данного процесса. На принятии управленческих решений может отрицательно сказаться ненадежная или искаженная информация, полученная от плохо разработанных и плохо организованных систем.

32. Электронные информационные системы и использование информационных технологий связи сопряжены с рисками, которые банки должны эффективно контролировать для того, чтобы избегать потенциальных убытков и сбоев в ходе практической деятельности. Поскольку обработка транзакций и бизнес-приложений вышла за пределы применения мощных централизованных (главных) компьютеров (mainframe computers), доступ к которым осуществлялся через присоединение рабочих станций, и перешла к распределенным системам, осуществляющим программное обеспечение ключевых банковских операций, возрос и масштаб рисков. Средства контроля за автоматизированными информационными системами и техническими средствами должны включать общий и программный контроль. Общий контроль - это контроль компьютерных систем (например, контроль за главным компьютером, системой клиент/сервер и рабочими местами конечных пользователей), проводимый с целью обеспечения их бесперебойной и непрерывной работы. Общие виды контроля включают внутренние резервные процедуры и процедуры восстановления функций, правила разработки и приобретения программ, процедуры сопровождения (изменения контроля) и контроль за безопасностью физического/логического доступа. Контроль за программным обеспечением представляет собой компьютерные шаги в программных приложениях и другие ручные процедуры, контролирующие обработку операций и другие виды банковской деятельности. Например, контроль за программным обеспечением включает контроль результатов редактирования (контрольное редактирование) и конкретные виды контроля логического доступа, уникальные для каждой системы банковской деятельности. Без адекватного контроля информационных систем и технических средств, включая системы, находящиеся в стадии разработки, банки будут сталкиваться с потерей данных и программ, возникающей из-за неадекватных мер обеспечения физической и электронной безопасности, неполадок оборудования или системных сбоев, а также из-за неадекватных внутренних резервных процедур и процедур восстановления функций.

33. Помимо вышеупомянутых рисков и видов контроля, банкам органически присущи риски, связанные с полным прекращением или продолжительным перерывом в предоставлении услуг в результате действия факторов, лежащих вне сферы контроля банков. В крайних случаях, поскольку оказание услуг юридическим и физическим лицам является ключевым вопросом для деятельности, стратегии и репутации банка, такие проблемы могут вызвать серьезные трудности для банков и даже поставить под удар их способность осуществлять основные виды операций. Такая ситуация требует, чтобы банк разработал планы действий на случай непредвиденных обстоятельств с использованием дублирующих устройств, находящихся вне банка, включая восстановление критических для деятельности банка систем, поддерживаемых внешним провайдером услуг. Угроза убытков или масштабного прекращения основных банковских операций требует институциональных усилий по планированию непредвиденных ситуаций, включая восстановление управления всем банком, а не только центральной компьютерной системой. Программа восстановления банковских операций должна периодически тестироваться на предмет ее выполнимости в случаях возникновения непредвиденных обстоятельств.

Принцип 9: Эффективная система внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой информации до соответствующих сотрудников.

34. Без эффективной системы передачи данных информация бесполезна. Руководство высшего звена банков должно создавать эффективные системы передачи информации, чтобы необходимая информация достигала нужного адресата. Это относится как к документам, определяющим операционную политику и процедуры деятельности банка, так и к фактической операционной деятельности организации.

35. Организационная структура банка должна обеспечивать адекватный поток информации - вверх, вниз и по горизонтали. При этом информация, поступающая снизу вверх, должна обеспечивать совет директоров и менеджмент необходимыми сведениями о принятых в ходе деятельности рисках и о текущем состоянии банка. Информация, которая направляется вниз, должна обеспечивать доведение целей банка, его стратегии, установленных порядков и процедур до руководства среднего и низшего зве