Приложение II. Уроки в области надзора, извлеченные из ошибок внутреннего контроля. Рекомендации Базельского комитета по банковскому надзору "Система внутреннего контроля в банках: основы организации" (Базельский комитет по банковскому надзору, Базель, сентябрь 1998 г.)

Приложение II

Уроки в области надзора, извлеченные из ошибок внутреннего контроля

А. Управленческий контроль и культура контроля

1. Многие сбои в системе внутреннего контроля, которые обернулись существенными убытками для банков, можно было бы минимизировать или даже избежать их, если бы совет директоров и менеджмент этих банков позаботились о создании соответствующей культуры контроля. Как правило, низкая культура контроля имела две общие составляющие. Во-первых, менеджменту не удавалось показать на словах и на деле значение сильной системы внутреннего контроля и, что самое важное, использовать для этого способы, применяемые для поощрения и продвижения сотрудников по службе. Во-вторых, менеджмент не смог создать четкую организационную структуру и систему подотчетности руководителей различного уровня. Например, не удалось своевременно наладить адекватный надзор за сотрудниками, принимающими ключевые решения, и за предоставлением отчетности о характере банковских операций и ходе их проведения.

2. Менеджмент может ослабить культуру контроля, если будет поощрять и продвигать по службе руководителей подразделений, успешных с точки зрения получения прибыли, невзирая на то что они не выполняют правил внутреннего контроля и не решают проблем, выявляемых сотрудниками службы внутреннего аудита. В глазах других сотрудников такие действия означают, что внутренний контроль занимает второстепенное место по сравнению с другими целями организации, что ослабляет желание сотрудников поддерживать на должном уровне культуру контроля.

3. Организационные структуры некоторых банков, где возникли проблемы с контролем, не имели строго очерченного порядка подотчетности. В результате подразделение банка не подчинялось никому конкретно из числа руководителей высшего звена. Это означало, что ни один из менеджеров не следил за деятельностью данного подразделения достаточно внимательно, чтобы заметить необычную финансовую или иную деятельность, и ни один из менеджеров не понимал полностью характера операций и способа получения прибыли. Если бы руководство понимало, чем занимается подразделение, то оно могло бы заметить соответствующие признаки (такие, как необычное соотношение прибыли и уровня риска), расследовать операции и принять меры по минимизации конечных убытков. Этих проблем можно было бы избежать, если бы руководство проверяло операции и управленческие отчеты и проводило обсуждение характера заключаемых сделок с соответствующими сотрудниками. Такой подход дает менеджменту возможность объективно взглянуть на процесс принятия решений и гарантирует, что сотрудники, занимающие ключевые посты, будут действовать в рамках параметров, установленных банком, и в соответствии с принципами внутреннего контроля.

Б. Выявление и оценка риска

4. В недалеком прошлом одной из причин, создающих проблемы в области внутреннего контроля и связанные с ними убытки в некоторых банках, были неадекватное выявление и оценка риска. В ряде случаев возможность получения высоких доходов от некоторых видов кредитов, инвестиций и производных инструментов отвлекала менеджмент от необходимости тщательно оценивать риски, связанные с этими операциями, и выделять значительные ресурсы на текущий мониторинг и анализ рисков. Также убытки происходили по причине того, что менеджмент не модернизировал процесса оценки риска при изменении операционной среды, в которой действует банк. Например, несмотря на появление более сложных банковских продуктов, ничего не делалось для расширения внутреннего контроля, чтобы эти продукты стали предметом его внимания. В других случаях банки осваивали новый вид деятельности без полной и объективной оценки связанных с нею рисков. Без такой оценки система внутреннего контроля не может адекватно справляться с рисками, сопутствующими новым видам деятельности.

5. Как уже говорилось, банки должны ставить перед собой цели достижения эффективности операций, достоверности и полноты финансовой и управленческой информации, а также соблюдения законодательных и нормативных актов. Оценка риска включает выявление и анализ рисков, связанных с достижением этих целей. Данный процесс позволяет обеспечить соответствие системы внутреннего контроля банка характеру, сложности и рискам его балансовых и забалансовых операций.

Г. Информация и процесс ее передачи

9. Некоторые банки потерпели убытки потому, что информация, используемая в рамках организации, была ненадежной или неполной, или потому, что была плохо налажена система связи. Сотрудники банка могли предоставлять неправильную финансовую информацию; для оценки финансового положения могли использоваться недостоверные данные из внешних источников, а незначительные по объемам, но виды деятельности с высокой долей риска могли не отражаться в отчетах для руководства. В некоторых случаях банки не смогли адекватно довести до сотрудников информацию, касающуюся их обязанностей и функций в области контроля, или передавали информацию по таким каналам, как, например, электронная почта, которые не могли обеспечить ознакомление с нею, ее понимание и реализацию на практике. В результате в течение долгого времени основные документы о политике банка в соответствующих областях, разработанные руководителями высшего звена, не реализовывались. В других случаях отсутствовали адекватные каналы передачи информации о случаях подозрительного поведения некоторых сотрудников. Если бы были созданы сквозные каналы для передачи информации наверх, руководство смогло бы выявлять и исправлять злоупотребления гораздо более оперативно.

Д. Мониторинг и исправление недостатков

10. Многие банки, потерпевшие убытки в результате недостатков внутреннего контроля, не проводили эффективного мониторинга своих систем внутреннего контроля. Зачастую в эти системы не были встроены необходимые механизмы по регулярному проведению мониторинга, а отдельные проводившиеся проверки были неудовлетворительными или же руководство не принимало по ним надлежащих мер.

11. В некоторых случаях отсутствие мониторинга началось с того, что менеджмент и другие сотрудники не реагировали на ежедневную информацию о необычной деятельности, например, превышении лимитов риска, использовании клиентских счетов при проведении собственных операций банка или отсутствии текущей финансовой отчетности заемщиков. В одном банке убытки, связанные с дилерской деятельностью, скрывались на фиктивном клиентском счете. Если бы в этой организации был введен порядок, согласно которому выписки по счетам ежемесячно отправлялись клиентам по почте, а остатки на счетах клиентов периодически подтверждались, то скрываемые убытки были бы замечены раньше, чем они переросли в крупные проблемы для банка.

12. В некоторых случаях подразделение банка или вид деятельности, в котором имели место крупные убытки, характеризовалось многочисленными признаками повышенного риска, например, более высокой, чем обычно, рентабельностью по сравнению с уровнем принятого риска или быстрым ростом нового бизнеса в условиях географической удаленности от головной организации. Однако из-за неправильной оценки риска банки не выделяли достаточных дополнительных ресурсов для проведения контроля или мониторинга деятельности, связанной с повышенным риском. Фактически в некоторых случаях деятельность, связанная с повышенным иском, контролировалась слабее, чем деятельность, носящая менее рискованный характер, а многочисленные предупреждения внутренних и внешних аудиторов в отношении деятельности данного подразделения игнорировались руководством банка.

13. Несмотря на то что внутренний аудит может быть действенным средством проведения отдельных проверок, он оказался неэффективным во многих проблемных банках. Такое положение объясняется сочетанием трех факторов - фрагментарностью аудиторских проверок, отсутствием глубокого понимания банковской деятельности и бездействием в отношении выявленных проблем. Фрагментарный характер аудиторских проверок объяснялся тем, что программы внутреннего аудита были составлены в виде серии разрозненных проверок отдельных видов операций в рамках одного и того же подразделения, региона или юридического лица. Поскольку аудиторские проверки проводились фрагментарно, сотрудники службы внутреннего аудита были лишены возможности глубоко вникнуть в суть банковских операций. Если бы в ходе проверок аудиторы могли отслеживать весь процесс банковских операций с начала до конца (например, прослеживать отдельную операцию, начиная с ее возникновения и кончая этапом ее отражения в финансовой отчетности), то это позволило бы им лучше понимать данный процесс. Более того, это дало бы им возможность проверки и тестирования качества контроля на каждом этапе процесса.

14. В некоторых случаях проблемы внутреннего аудита усугублялись в результате некомпетентности и недостаточной подготовки сотрудников службы внутреннего аудита в области финансовых инструментов и рынков, систем электронной информации и других сложных областях. Поскольку сотрудники не имели необходимого опыта, они часто не решались задавать вопросы, когда подозревали наличие проблем, а если и задавали соответствующие вопросы, то удовлетворялись полученным разъяснением, не ставя его под сомнение.

15. Внутренний аудит не дает ожидаемых результатов в случаях, когда руководство своевременно не предпринимает мер по исправлению выявленных недостатков. Такие задержки могут происходить в силу того, что руководство не признает роли и значения внутреннего аудита. Помимо этого, эффективность внутреннего аудита страдает в случаях, когда менеджмент и члены совета директоров (комитет по аудиту) не получают своевременных и регулярных контрольных отчетов, в которых указываются недостатки и меры по их исправлению, принятые руководством. Такой вид периодических отчетов может помочь менеджменту оперативно и своевременно решать важные вопросы.