Контроль в системе управления филиалом ЗАО "Банк Русский Стандарт"

По характеру материала, на основе которого проводится контроль подразделяется на документальный (формальный), фактический и компьютерный.

Источниками информации для документального (формального контроля) служат первичные документы, регистры бухгалтерского учета, бухгалтерская, статистическая и оперативно-техническая отчетность, нормативная, проектно-конструкторская, технологическая и другая документация [29. С. 54].

Фактический контроль базируется на изучении фактического состояния проверяемых объектов по данным их осмотра (пересчета проверяемых объектов по данным их осмотра (пересчета, взвешивания, лабораторного анализа и т.п.), а поэтому он не может быть всеобъемлющим из-за непрерывности хозяйственных ситуаций.

Полноценность и неопровержимая доказательность первичных документов и учетных записей при необходимости устанавливаются с помощью специальных приемов фактического контроля. Поэтому оба вида контроля существуют не изолированно, а дополняют друг друга.

По методам проведения финансовый контроль подразделяется на такие, как: проверка, обследование, анализ финансовой деятельности, надзор, наблюдение (мониторинг), ревизия [23. C.54].

Проверка производится по отдельным вопросам финансово-хозяйственной деятельности на основе отчетных, балансовых и расходных документов. В ходе проверок выявляются нарушения финансовой дисциплины и намечаются мероприятия по устранению их негативных последствий.

Обследование в отличие от проверки охватывает более широкий спектр финансово-экономических показателей обследуемого экономического субъекта для определения его финансового состояния и возможных перспектив развития. При этом не обязательно проверяются первичные бухгалтерские документы, могут проводиться контрольные замеры работ, расход топлива, электроэнергии, проверка скрытых объектов финансирования и налогообложения путем опроса, анкетирования, инспекции на месте, наблюдения и т.п.

Анализ как метод финансового контроля должен быть системным и пофакторным. Он предполагает детальное изучение периодической или годовой финансово-бухгалтерской отчетности с целью общей оценки результатов финансовой деятельности и ликвидности, обеспеченности собственным капиталом и эффективности его использования.

Наиболее глубоким и всеобъемлющим методом финансового контроля является ревизия. Можно сформулировать определение ревизии, как «полное обследование финансово-хозяйственной деятельности экономического субъекта с целью проверки ее законности, правильности, целесообразности и эффективности» [29. С.47].

2. Анализ состояния и оценка системы внутреннего контроля в коммерческом банке

2.1 Внутренняя и внешняя оценка организации системы внутреннего контроля. Сравнительный анализ зарубежного и отечественного подходов

Наличие системы внутреннего контроля в кредитной организации является обязательным условием её успешного функционирования. Для её совершенствования необходимо регулярно проводить оценку ее функционирования. Такая оценка может осуществляться разными субъектами (рисунок 2.1).

110

Рисунок 2.1 - Оценка организации системы внутреннего контроля

Внешняя оценка системы внутреннего контроля проводится при помощи: внешнего аудита, надзора за участниками финансового рынка и банковский надзор. Центральный банк Российской Федерации осуществляет надзор за состоянием внутреннего контроль в кредитной организации в форме дистанционного и контактного (в виде инспекционных проверок) надзора [37. С. 8]. В США, Германии, Франции, Японии существует смешанная система банковского надзора, в рамках которой центральный банк разделяет обязанности по надзору с другими государственными органами. В Великобритании, Италии, Нидерландах банковский надзор уполномочены осуществлять исключительно центральные банки. В Канаде и Швейцарии органы надзора отделены от центрального банка [46]. Банковский надзор в широком смысле включает в себя собственно надзор за банками, называемый дистанционным, или документарным, и инспектирование (инспекционные проверки на местах). В зависимости от особенностей отдельных стран надзор неодинаково трактуются. В ряде стран, например в Великобритании, акцент делается на документарный надзор; в других, например в США, -- на регулярное и всестороннее изучение состояния каждого банка при проведении инспекции на месте. Для большинства стран характерно сочетание дистанционного контроля за деятельностью банков на основе анализа отчетных документов с выездом инспекторов для проверки в банки. При этом органы надзора взаимодействуют со службами внешнего и внутреннего аудита банков [37. С. 6].

Банк России оценивает деятельность службы внутреннего контроля по набору показателей, характеризующих организацию работы в банке, и наличию регулирующих внутрибанковских документов [44. С. 56]. К ним относятся документы, определяющие:

процедуры принятия решений;

распределение функций и полномочий между подразделениями и сотрудниками банка;

политику банка при проведении операций по привлечению и размещению средств;

требования по регламентации операций на финансовых рынках;

деятельность службы внутреннего контроля.

Кроме того, учреждения Банка России вправе при проведении инспекционных проверок кредитных организаций осуществлять проверки как системы внутреннего контроля в целом, так и отдельных операций (процедур) на предмет получения подтверждения [5]:

соблюдения внутренних методик, программ, правил, порядок и процедур, а также установленных лимитов;

достоверности, полноты и объективности систем учета и отчетности, сбора, обработки и хранения иных сведений в соответствии с законодательством Российской Федерации;

надежности установленных и применяемых кредитной организацией отдельных способов (методов) контроля.

Надзор со стороны Банка Англии за деятельностью коммерческих банков осуществляется посредством сбора статистической информации, отчетов бухгалтеров, посещений банков и регулярных официальных собеседований с их руководством. Встречи с руководством банка -- одна из главных особенностей надзора в Великобритании. Кроме того, Банк Англии практикует проведение трехсторонних совещаний, в которых помимо названных должностных лиц участвуют также ответственные за финансовый отчет бухгалтеры банков, назначаемые Банком Англии. В их функции входят проверка работы систем учета и контроля банка и периодический отчет о его финансовом состоянии, подтверждение выполнения банками указаний Банка Англии, а также информирование последнего о достоверности и полноте предоставляемой ему статистической отчетности. По Закону о банках эти лица имеют право в случае необходимости извещать руководство Банка Англии о результатах проверки, если они вызывают сомнения. Кроме того, в Банке Англии создан специальный отдел расследований, в состав которого входят 11 бухгалтеров, проводящих консультации и при необходимости вместе с правоохранительными органами участвующих в расследованиях с целью выявления противоправной деятельности отдельных банков, отражающейся на состоянии банковского сектора в целом.

В Италии банковский и финансовый надзор осуществляется Межминистерским комитетом по кредитам и сбережениям, Банком Италии и национальной комиссией по контролю за финансовыми компаниями и фондовой биржей.

В Нидерландах надзор за деятельностью банков, а с 1991 г. и инвестиционных компаний, осуществляется Управлением надзора центрального банка. В штат Управления входят 50 человек, включая заведующего, его 4 ассистентов, советника, специалистов в области анализа, секретаря. Каждый из ассистентов руководит работой 2 главных ревизоров, имеющих в своем подчинении 2 сотрудников (ревизоров). Большинство работников управления (30 человек) -- профессиональные дипломированные аудиторы. Ревизоры несут полную материальную ответственность за деятельность закрепленных за ними банков, осуществляют документарный надзор, при необходимости выезжают с проверкой в курируемые ими кредитные учреждения. Более опытные ревизоры курируют большее число банков или банки находящиеся в затруднительном положении. На одного ревизора в среднем приходится 7-8 небольших или имеющих незначительные проблемы банков, или 1 крупный банк, у которого возникли серьезные проблемы.

Ревизор действует в тесном контакте с внешним аудитором, проверяющим его поднадзорный банк. Он тщательно изучает ежемесячные и годовые отчеты банка и письма внешнего аудитора в адрес правления по итогам проведенных им проверок. Не реже 1 раза в год проводится встреча работников банковского надзора с внешним аудитором соответствующего банка, во время которой ревизор имеет возможность получить дополнительную информацию по результатам аудиторских проверок расчетов годовых финансовых показателей банков.

Каждые 2-3 года проводится встреча руководства коммерческого банка и центрального банка страны, в ходе которой обсуждаются направления деятельности коммерческого банка. По итогам совещания подписывается документ, фиксирующий заключенные сторонами соглашения.

Во Франции функции надзора и контроля за банковской деятельностью возложены на Банковскую комиссию -- государственный административный орган, независимый от Банка Франции, но тесно с ним взаимодействующий.

В своей работе Банковская комиссия руководствуется прежде всего результатами периодических проверок финансовой документации поднадзорных учреждений, но при необходимости проводит и инспекционные проверки на местах. Ревизии проводятся в соответствии с распоряжениями на проверку любой банковской документации.

Комиссия может применять разнообразные дисциплинарные санкции. Помимо предупреждения и порицания предусматриваются запрещение или ограничения деятельности, временное отстранение одного или нескольких руководителей от работы и их официальное разжалование, аннулирование лицензий, денежные штрафы. При необходимости Комиссия может назначать временного руководителя кредитно-финансового учреждения или председателя ликвидационной комиссии.

Аудиторскими компаниями в России проводится оценка при аудите финансовой отчетности как непосредственно путем проверки наличия и соблюдения банком внутренних регламентирующих документов, так и путем проверки сделок и операций. Такая оценка позволяет аудиторской компании получить дополнительное подтверждение полученного мнения о состоянии дел в кредитной организации, поскольку эффективность организации внутреннего контроля отражается в той или иной мере на качестве совершаемых банком операций, соблюдении экономических нормативов, конечных финансовых результатах (таблица 2.1) [28. С. 50]. Внутренняя оценка в банке органами надзора может проводиться путем проверки процесса внутреннего контроля и тестирования отдельных операций. Тестирование операций осуществляется таким образом, чтобы проверить: адекватность и соблюдение внутренних правил, процедур и лимитов; достоверность и полноту отчетов для руководства и финансовых отчетов; надежность (функционирование в соответствии с руководящими установками) отдельных методов контроля, играющих ключевую роль в проверяемой области системы контроля.[30. С. 276]

Таблица 2.1 - Сравнение российского и западного подходов к проведению аудиторских проверок

Специальным органом, способным оценить систему внутреннего контроля, выстроенную в кредитной организации, является ревизионная комиссия. Хотя обязанность её создания в банке, предусмотрена нормативными актами, конкретнее функции этого контрольного органа практически не описаны. Отдельные банки в целях усиления роли ревизионной комиссии в деятельности кредитной организации разрабатывают положение «О ревизионной комиссии», которое утверждается общим собранием акционеров. В нем за ревизионной комиссией наряду с основными положениями, касающимися проверки финансово-хозяйственной деятельности банка, закреплена обязанность по оценке эффективности системы внутреннего контроля, в том числе проверка деятельности службы внутреннего контроля. Такой опыт функционирования ревизионной комиссии способствует повышению эффективности системы внутреннего контроля в кредитных организациях. Ревизионная комиссия имеет очень серьезные контрольные полномочия, крайне важные для поддержки регулярной деятельности службы внутреннего контроля и (или) внутреннего аудита [31. C.32].

Как показывает анализ опыта использования терминов «внутренний контроль» и «внутренний аудит» в хозяйственной практике, отличия между этими явлениями обусловлены их местом и функциями в структуре организации системы внутреннего контроля. Так сложилось, что вопросы внутрифирменного управления решает сама организация, законодательно они не регламентируются. Поэтому централизованное нормативное регулирование внутреннего контроля и внутреннего аудита отсутствует и каждая организация вправе самостоятельно определять состав и цели субъектов системы внутреннего контроля. Исключением из этого правила в российской хозяйственной практике является только деятельность банков, для которых вопросы внутреннего контроля и внутреннего аудита регламентированы достаточно четко [15]. Для эффективной работы системы контроля в организации необходимо разграничивать компетенцию входящих в систему внутреннего контроля подразделений, непосредственно осуществляющих разработку, утверждение, применение процедур контроля и оценивающих систему внутреннего контроля. В утвержденных регламентах и положениях для каждого контролирующего подразделения организации (субъекта контроля) должны быть определены области полномочий, ответственности, взаимодействия с другими контрольными подразделениями, перечень, периодичность и порядок осуществления процедур контроля.

Проанализировав российский и международный опыт внедрения и мониторинга систем внутреннего контроля, можно предложить следующее разграничение компетенции субъектов внутреннего контроля (таблица 2.2) [37. С.10]. Совет директоров ответствен за общее состояние бизнеса, в том числе контроля в организации и утверждение политики контроля. Руководство и специальные подразделения контроля ответственны за разработку и утверждение контрольных процедур и осуществление ежедневного мониторинга их работоспособности и эффективности. За построение эффективной системы внутреннего контроля в организации полностью ответственно руководство организации.

Таблица 2.2 - Разграничение компетенции субъектов внутреннего контроля

Служба внутреннего аудита ответственна за оценку эффективности системы внутреннего контроля и управления рисками, выстроенной менеджментом организации, и информирование о результатах акционеров. Согласно этому можно представить логичную классификацию внутреннего аудита в соответствии с целями внутреннего контроля на следующие виды [52. С. 5]:

операционный аудит - проверка функционирования организации в целях оценки производительности и эффективности операций;

аудит «на соответствие» - проверка соблюдения в организации существующих внутренних правил и процедур, бюджета, а также законодательства;

аудит финансовой отчетности - проверка отчетности организации на предмет ее достоверности, соответствия учетной политике, общепринятым бухгалтерским принципам, налоговому законодательству.

Основным органом кредитной организации, ответственным за создание и функционирование внутреннего контроля, является совет директоров. В его компетенцию входит своевременное осуществление проверки соответствия внутреннего контроля характеру, масштабам и условиям деятельности кредитной организации в случае их изменения. При этом уставом кредитной организации может быть предусмотрена обязательная проверка советом директоров службы внутреннего контроля как основного элемента системы внутреннего контроля [2]. Свои функции по осуществлению проверки и оценке системы внутреннего контроля, а также по проверке службы внутреннего контроля в зарубежных странах совет директоров может делегировать специально созданному внутреннему органу - комитету по аудиту. Опыт создания подобных комитетов отмечается уже в некоторых российских банках (например, во Внешторгбанке)[30.С. 279].

2.2 Анализ состояния внутреннего контроля в российских банках

С целью оценки состояния и перспектив развития внутреннего контроля и аудита в российских банках проанализируем сложившуюся ситуации в сфере регулирования внутреннего контроля и аудита. В исследовании участвовали банки Москвы и других регионов: на долю московских приходится 65% выборки, на долю региональных банков - 35% [46]. Анализ будем проводиться по следующим направлениям:

роль высшего руководства и его удовлетворенность работой службой внутреннего контроля;

соблюдение требований Центрального банка Российской Федерации;

кадровая политика;

влияние размера и сложности структуры банка;

виды деятельности, осуществляемой службой внутреннего контроля.

Рисунок 2.2 - Независимость СВК Рисунок 2.3- Удовлетворенность работой СВК

Рассматривая вопрос о независимости службы внутреннего контроля, что в сжатом виде характеризуют ее роль и развитость в деятельности банка, можно констатировать, что оценки независимости, которые были даны руководителями службой внутреннего контроля и руководителями банка, совпадают друг с другом. Результирующая оценка оказалась чуть более оптимистична у руководителей банков: на данный вопрос дали ответ «полностью» 29% руководителей банков и 27% руководителей службой внутреннего контроля, «в значительной степени» - 65% и 63% соответственно (рисунок 2.2). Оптимизм оценок подтверждает удовлетворенность работой СВК, которую выразили руководители службы внутреннего контроля. Большую критичность продемонстрировали руководители которые удовлетворены выполняемой ими работой на 86% (рисунок 2.3). Этот показатель демонстрирует возможность оценки уровня независимости СВК, которая почти совпадает с оценкой удовлетворенности и также продемонстрирована в ответах руководителей СВК на вопрос "Кому подотчетен руководитель СВК (СВА)", в скобках указан % поставленный руководителями банков (таблица 2.3).

Таблицы 2.3 - 2.4 - Подотчётность службы внутреннего контроля и пользователи отчетов.

Полная подотчётность совету директоров, в целом оцененная опрошенными руководителями СВК в 87%, есть не что иное, как распространенная практика. Оценка соответствия требованиям ЦБ РФ по организации внутреннего контроля составляет 68 %. Функцию внутреннего контроля осуществляет 90% служба внутреннего контроля, остальные совет директоров и главный бухгалтер. По представлению руководителей банков, функции внутреннего контроля осуществляются главным бухгалтером более чем на 50%, другими уполномоченными лицами - около 30%, единоличным исполнительным органом - 35%, ревизионной комиссией более 40%

Требования ЦБ РФ об организации СВК реализуются, как правило, непосредственно руководителями банка и под их ответственность. Эта в целом не самая лучшая практика непосредственно влияет на объективность работы СВК. В целом можно констатировать, что не менее чем в трети банков имеется еще вполне очевидная зависимость руководителей СВК от исполнительных органов, и эта зависимость негативно оценивается самими руководителями СВК. В дополнение к вышеизложенным доводам можно присоединить и предложенную респондентами сегментацию пользователей отчетов внутренних контролеров (аудиторов) (таблица 2.4). В связи с концентрацией пользователей отчетности внутренних аудиторов в сегменте "Линейное руководство" (81%), можно утверждать, что внутренний контролер (аудитор) в основном решает задачи, поставленные исполнительным органом и менеджерами среднего звена, а проблемы собственников банка уходят на второй план. Одним из основополагающих элементов внешних аудиторских проверок является оценка системы внутреннего контроля. Эта оценка основывается и на анализе отчетов, подготовленных внутренними контролерами (аудиторами) для внешних аудиторских проверок. Оценка этого сегмента пользователей от 0% до 10% может свидетельствовать либо о том, что изначально категория "внешние аудиторы" не предусматривается в качестве получателя отчетов внутренних аудиторов, либо о наличии двух отчетов внутреннего аудитора. Один из таких отчетов (видимо, более полный вариант) направляется руководству банка, а другой вариант отчета (менее содержательный) доступен внешнему аудитору. Вполне вероятно, что одновременно имеют место и оба варианта объяснения такой незначительной доли внешних аудиторов в пользовании отчетами внутренних контролеров.

Исследование показало, что 58% внутренних контролеров (аудиторов) имеют практику предыдущей работы по этой же специальности. Поддерживать правильные отношения с менеджментом возможно путем постоянного повышения своего профессионального уровня. Эта задача для внутренних контролеров (аудиторов) является актуальной, и в основной своей массе (84%) банки ориентированы на семинары с участием представителей ЦБ РФ и налоговых органов, это связано с постоянными изменениями нормативного регулирования, осуществляемого в основном ЦБ РФ и в налоговой сфере. 39% банков ответили, что в составе СВК имеются сертифицированные специалисты (дипломированные внутренние аудиторы (Certified Internal Auditor), специалисты с аудиторскими аттестатами Министерства финансов, аттестатами ФКЦБ) либо члены ведущих ассоциаций внутренних аудиторов (The IIA, ISACA) [41]. Сотрудники посещают тренинги и семинары по внутреннему контролю (аудиту) не менее 1 раза в квартал около 19%, не менее 1 раза в месяц - 6% [46].С одной стороны, это является довольно высоким показателем, а с другой - подчеркивает, что активность участников опроса связана с профессиональной солидарностью и ответственностью. Сотрудниками службы внутреннего контроля в кредитных организациях становиться внутренние аудиторы из других банков (58%), сотрудники из других отделов банка, представители аудиторских компаний, налоговых органов. Многие сотрудники банков считают, что анализ рисков в экономике не входит в функцию СВК (СВА), такой ответ отражает сложившееся представление об СВК как исключительно ревизионной службе. В функции такой СВК входит осуществление проверок выполнения работниками банка требований, установленных другими службами и основанных на оценке рисков, которые банк встречает во внешней среде. Альтернативная же оценка рисков и оценка качества работы служб, анализирующих риски на постоянной основе, не входит в функции СВК. Проведенный анализ показал, что в ближайшей перспективе в банках не планируется сокращать штат службы внутреннего контроля. Более того, 42% (59%) - половина банков - нацелены на расширение количества сотрудников СВК (СВА), а в качестве наиболее слабой стороны СВК (СВА) отмечается именно нехватка кадров (23% (6%) случаев) (таблица 2.5). В более чем половине опрошенных банков стаж руководителя СВК составляет от 3 до 15 лет - отметим, что это немало в период бурного развития банковской системы России (1990-2008 гг.). Можно предположить, что стабильность состава руководства СВК компенсирует нехватку персонала и его недостаточную квалификацию.

Таблица 2.5 - Сильные и слабые стороны службы внутреннего контроля

Формальное отношение к организации СВК (СВА) продолжает сохраняться. В 6% банков СВК состоит из одного человека. Вполне вероятно, что такая малая численность является следствием оптимизации административных затрат и перераспределением ответственности. В таком случае не вполне понятно, насколько эффективно осуществляются функции внутреннего и кто проводит внутренний аудит - объективную оценку состояния внутреннего контроля в банке.

Рисунок 2.4 - Стаж работы руководителей службы внутреннего контроля

Проведение внешних оценок состояния внутреннего контроля в банке, по мнению Института внутренних аудиторов, изложенному в Международных профессиональных стандартах внутреннего аудита (стандарт 1312), является не только образцовой практикой ведения дел, но и обязательной процедурой в организации процесса внутреннего аудита. Наличие планов по использованию таких оценок в будущем означает присутствие у руководства банков заинтересованности в развитии и понимание места СВК (СВА) в системе управления (таблица 2.6) [46].

Таблица 2.6 - Внешняя оценка сильных и слабых сторон службы внутреннего контроля.

На фоне нехватки кадров профессионализм определен сильной стороной в работе СВК (СВА) в 26% случаев, а также важнейшим персональным качеством - в 87%. Это в полной мере соответствует тому, что только в 39% банков в составе СВК (СВА) представлены сертифицированные специалисты. Дефицит времени - 13%, кадров - 23%, недостаток профессионализма - 20%, определенные респондентами как слабые стороны, показывают, в каком направлении совершенствовать применяемую методологию организации и проведения проверок. Объединив наиболее часто встречающиеся ответы, можно нарисовать сложившиеся образы СВК (СВА) [46].

По мнению руководителей банков:

сильные стороны работы СВК (СВА): профессиональное, результативное упреждение рисков совершения ошибок, мониторинг требований регулирующих органов (данная характеристика дана 12-47% респондентов);

слабые стороны работы СВК (СВА) слабо идентифицируются (четверть респондентов вообще воздержались от ответов): слабое техническое обеспечение, недостаточно профессиональные оценки рисков, только последующий характер контроля (эти черты представляются 6-12% респондентов).

По мнению руководителей СВК:

сильные стороны работы СВК (СВА): профессиональный, независимый мониторинг, основанный на современных технологиях и упреждение возможных ошибок (10-26% респондентов);

слабые стороны работы СВК (СВА): служба всегда недоукомплектована, зависит от мнения руководителей банка, испытывает негативное отношение к себе, плохо знает операции с ценными бумагами и иностранной валютой, неполно анализирует операции и, как правило, после ее совершения. Данную группу определили 7-23% опрошенных респондентов.

Получается противоречивый образ сложился у руководителей СВК (СВА) о своей службе, образ СВК (СВА), сложившийся у руководителей банков, более четкий, чем у самих руководителей СВК (СВА), хотя описания близки и по сильным, и по слабым качествам. Можно отметить противоречия: в оценках уровня профессионализма и качества работы СВК (СВА), даваемых руководителями банка и руководителями СВК (СВА); между желаемым результатом и фактическим состоянием дел.

Возможно, корни противоречий лежат в том, что руководители банков не очень хорошо представляют себе роль и задачи СВК (СВА) и выдают желаемое за действительное, в то время как руководители СВК (СВА) ежедневно решают различные практические проблемы обеспечения объективности своей работы, не пользуясь достаточной поддержкой у своих руководителей. Другое объяснение противоречий заключается, в том, что фактически сложились разные модели организации систем внутреннего контроля в разных банках. Однако при этом руководителям СВК не вполне ясно представляют, соответствует ли их конкретная модель формальным требованиям ЦБ РФ. Интересно, что, отвечая на вопрос об удовлетворенности работой СВК (СВА), руководители банков и СВК (СВА) опирались исключительно на собственные представления о критериях оценки деятельности СВК (СВА). Ни Положение N 242-П, ни другие нормативные акты ЦБ РФ не содержат практических рекомендаций по оценке эффективности работы СВК (СВА) [21]. В то же время и сами банки не выработали устойчивых методических подходов к решению этого вопроса. Одним из наиболее часто встречающихся на практике вопросов является вопрос об организации представительства СВК (СВА) головного офиса в филиалах. Более чем в половине случаев в банках, имеющих филиалы, функции СВК (СВА) во всех филиалах выполняются непосредственно службами головного офиса. Только в десятой части банков с филиалами в каждом филиале есть сотрудники ВК (ВА), а в четверти от общего числа банков с филиалами решение о наличии в филиале сотрудника, ответственного за ВК (ВА), не универсальное. Видимо, на принятие решения о создании в филиале службы (представителя) СВК (СВА) существенное влияние оказывают технологическое развитие банка, удаленность филиалов и другие индивидуальные причины.

В ряде банков, прежде всего в крупных, а также в банках с участием иностранного капитала, как свидетельствуют результаты опроса (а также по информации из других источников), в структуре банка существуют и СВА, и СВК или другие специализированные контрольные службы, службы управления рисками. Разделение обязанностей между указанными службами более полно соответствует образцовой международной практике. Следует отметить, что наличие нескольких служб, как правило, значительно упрощает банку доказательство разделения противоречивых функций и объективного анализа в процессах управления рисками. В частности, только 42% респондентов дали ответ о наличии в их структурах специальных служб. В основной же массе банков эта функция осуществляется либо самой СВК (СВА) (48%), либо вовсе не выделена как функция. Требование ЦБ РФ о наличии СВК (СВА) в банке почти единственное в своем роде требование о создании конкретной службы в самостоятельном коммерческом банке (за исключением должности главного бухгалтера с довольно широкими возможностями по варьированию структуры бухгалтерской службы). Следствием такой исключительности и уже отмечавшейся нехватки квалифицированных кадров в сфере контроля и аудита является довольно часто встречающееся совмещение на практике противоречивых функций сотрудниками СВК (СВА). Несколько неожиданные ответы были получены на вопрос о проведении аудита в дочерних организациях, из 23% респондентов, имеющих дочерние банки, только 10% участвуют в контроле за дочерними банками. Похожая ситуация с небанковскими дочерними организациями: из 58% банков, имеющих дочерние небанковские организации, только 29% подключают СВК (СВА) к этой сфере деятельности [42]. Опрос также показал, что сформировалась довольно устойчивая структура основных видов аудита [46]:

финансовый (в том числе выполнение бюджета, соблюдение полномочий) - 90%;

операционный (в том числе рациональное, эффективное использование ресурсов) - 94%;

на соответствие деятельности нормативным актам - 84%;

аудит информационных систем - 68%.

Сложилось устойчивое понимание основных направлений функциональной деятельности СВК (СВА). По нашему мнению, функции СВК (СВА) можно структурировать следующим образом (таблица 2.8) [46].

Таблица 2.7 - Основные процедуры охватывают внутренний контроль

Следует отметить, что данные таблиц 2.7 - 2.8 свидетельствуют о насыщенности деятельности СВК (СВА) видами деятельности, относящихся к сфере внутреннего аудита, определяемого как "объективная оценка систем управления рисками и внутреннего контроля".

Таблица 2.8 - Функции службы внутреннего контроля (аудита).

Виды деятельности, относимые к сфере построения систем ВК (прежде всего к компетенции менеджмента других служб банка (кредитных, операционных и т.д.)), занимают значительное, хотя и не столь заметное место в "портфеле заказов" СВК (СВА).

С учетом изложенного анализа состояния внутреннего контроля в коммерческих банках выявляется пути эффективного функционирования службы внутреннего контроля:

предусмотреть возможность существования разных моделей систем внутреннего контроля для разных банков;

предусмотреть разделение функций внутреннего аудита и внутреннего контроля;

предложить критерии и процедуры оценки эффективности систем ВК;

организовать систему сертификации (подтверждения квалификации) сотрудников, занятых риск-менеджментом, внутренним контролем и внутренним аудитом в банках, с опорой на саморегулируемые организации;

провести совместно с саморегулируемыми организациями работу по адаптации международных стандартов управления рисками, внутреннего контроля и внутреннего аудита к российской практике.

2.3 Сравнительный анализ зарубежных концепций усовершенствования внутреннего контроля

В последние годы повышенное внимание внутреннему контролю уделяется со стороны аудиторов, менеджеров, бухгалтеров, юристов. Конкурентоспособность банка и его позиция на рынке напрямую зависят от качества продуктов/услуг, формализованности и стабильности бизнес-процессов, удовлетворенности и доверия клиентов. Особо актуальным это становится в периоды экономической нестабильности. Если говорить о качестве продуктов и бизнес-процессов банка в целом, то следует обратить внимание на международные и общепринятые стандарты, такие, например, как серия стандартов ISO 9000:2000 (Стандарты ISO 9000) [41. С. 27]. Многие западные банки уже имеют сертификаты соответствия ISO 9000, однако в России подобные сертификаты есть лишь у небольшого процента банков. Это объясняется многими объективными причинами: задержкой в освоении новых технологий и стандартов управления, кризисами и нестабильностью в экономике.

Тем не менее потребность в создании системы менеджмента качества в российских банках на основе международных стандартов только растет. В первую очередь в связи с интеграцией российской финансовой системы в мировое сообщество, повышением запросов и требований потребителей к банковским продуктам/услугам, обострением конкуренции в банковском секторе и приходом на рынок крупных западных банков с высокими стандартами обслуживания.

В результате продолжающейся работы было выпущено несколько зарубежных документов, представляющих собой попытки определить, оценить, описать и усовершенствовать внутренний контроль:

Документ COBIT (1996 г.) - это системный подход, обеспечивающий владельцев бизнес - процессов инструментом для полного и эффективного исполнения его обязанностей по контролю за безопасностью информационных систем [53].

Документ SAC (1991 г.,1994 г.) предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем и технологии [52].

Документ COSO (1992 г.,1998 г., 2004 г.) дает рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля [51].

Документы SAS 55 (1988 г.) и SAS 78 (1995 г.) дают руководства внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации [54].

Сравнение пяти документов показывает, что каждый из них использует идеи предыдущих документов. COBIT включает материалы первоисточников COSO и SAC. Определение контроля по COBIT берется из COSO, а определение целей ИТ контроля - из SAC. SAC включает концепции внутреннего контроля, разработанные в SAS 55, COSO использует концепции внутреннего контроля из обоих документов SAS 55 и SAC, а SAS 78 вносит изменения в SAS 55, отражая вклад COSO в концепцию внутреннего контроля. В частности, SAS 78 учитывает требование о согласованности концепций внутреннего контроля представленных в отчете COSO и SAS 55. Проанализируем 4 концепции (SAS 55/78 объединены в один) и представим в таблице 14 [34].

Таблица 2.9 - Краткое сравнение концепций контроля

Документы COBIT, SAC, COSO и SAS 55/78 дают определение внутреннему контролю, описывают его компоненты и предусматривают инструменты оценки. SAC, COSO и SAS 55/78 также предлагают варианты отчетности о проблемах внутреннего контроля. COBIT дополнительно предлагает всесторонний анализ реализации модели и обсуждение вопросов внутреннего контроля. Хотя все 5 определений контроля содержат, по существу, одни и те же понятия, имеются некоторые различия. COBIT рассматривает внутренний контроль как процесс, который включает нормы, процедуры, приемы и организационные структуры, поддерживающие бизнес - процессы и цели. SAC делает акцент на том, что внутренний контроль - это система, то есть внутренний контроль - это совокупность функций, подсистем и людей и их взаимоотношений. COSO выделяет внутренний контроль как процесс, т.е. внутренний контроль должен быть составной частью текущей бизнес - деятельности. Документы SAS 55/78, хотя и используют определение документа COSO, но делают акцент на надежности цели финансовой отчетности [34]. Люди - это часть системы внутреннего контроля. COBIT классифицирует людей (определенных как навыки сотрудников, осведомленность и продуктивность в планировании, организации, получении, поставке, поддержке и мониторинге информационных систем и услуг) как один из основных ресурсов, управляемый различными процессами информационной технологии. Участие людей становится более очевидным, когда возрастает количество документов [53]. SAC явно определяет людей как составную часть системы внутреннего контроля. COSO и SAS 55/78 отмечают, что люди, вовлеченные во внутренний контроль, - это члены совета директоров, менеджмент и другой персонал. Документы согласованно определяют, что менеджмент - это сторона, ответственная за создание, обеспечение и мониторинга системы внутреннего контроля.

При определении понятия «внутренний контроль» в документах предполагается, что организация установила цели для своих операций. COBIT допускает, что эти цели поддерживаются бизнес - процессами [59]. Эти процессы, в свою очередь, поддерживаются информацией, предоставленной посредством использования ресурсов информационной технологии. Бизнес-требования для этой информации удовлетворяются через адекватные контрольные меры. В докладе SAC утверждается, что достижение целей организации должно быть осуществлено эффективно, и подчеркивается, что цели должны быть переведены в измеряемые задачи [58]. СOSO классифицирует цели на операционные, цели финансовой отчетности и комплайенс-цели. В то время, как в докладах SAC и COSO рассматриваются цели во всех 3 категориях, документы SAS 55/78 концентрируют свое внимание преимущественно на целях финансовой отчетности. Доклад SAC описывает 3 компонента системы внутреннего контроля. Доклад COSO рассматривает 5 компонентов. В документе SAS 78 модернизируются положения SAS 55, чтобы использовать 5 компонентов отчета COSO. В COBIT объединяются 5 компонентов, представленных в докладе COSO, рассматриваются их особенности в высокотехнологичной контрольной среде. Модель COBIT заполняет пробелы между более широкими моделями бизнес - контроля, такими как COSO, и техническими моделями контроля информационных систем, доступных по всему миру. Хотя может показаться, что документы различаются в их подходах к средствам контроля, дальнейшее исследование выявляет много схожих элементов.

Контрольная среда. Документы COBIT, SAC, COSO и SAS 78, - все включают в себя контрольную среду как компонент и рассматривают, по существу, одни и те же понятия. Факторы, влияющие на контрольную среду, включают честность и этические ценности менеджмента, компетенцию персонала, философию менеджмента и стиль руководства, то, как распределены полномочия и обязанности, а также указания, даваемые советом директоров. COBIT включает проявления контрольной среды во все подходящие цели контроля. Этот документ разделяет процессы на категории: планирование и организация, закупки и внедрение, доставка и поддержка, мониторинг. Документ обращается к контрольной среде, где это только возможно [59]. Документ SAC делит контрольную среду на меньшее количество категорий, он в основном ориентирован на информационные системы и включает намерения в состав контрольной среды, в то время как в других 3 документах намерения рассматриваются как часть другого компонента [58].

Информационные и коммуникационные системы. COBIT, SAC, COSO и SAS 55/78 различаются подходом и глубиной отношения к информационным системам. Главный фокус документа COBIT - создание системы связи безопасности и контроля в информационной технологии. Документ определяет четкую связь между средствами контроля информационных систем и бизнес - целями. Дополнительно предусматриваются общепризнанные цели контроля для каждого процесса информационной технологии, что дает практические рекомендации по контролю для всех заинтересованных сторон. COBIT также предоставляет средство для осуществления взаимодействия между менеджментом, пользователями и аудиторов относительно средств контроля информационных систем. Доклад SAC сфокусирован на автоматических информационных системах. Документ рассматривает взаимоотношения между внутренним контролем и системным программным обеспечением, прикладными системами, а также системами конечного пользователя и ведомственными системами. Системное программное обеспечение включает операционную систему, телекоммуникации, управленческую информацию и другие сервисные программы, требующиеся прикладным системам. Прикладные системы включают бизнес - системы организации, финансовые и операционные (например, по управлению трудовыми ресурсами, дебиторской задолженностью и производственным графиком, соответственно) системы. Системы конечного пользователя и ведомственные системы обслуживают нужды конкретных групп пользователей. Большая часть доклада SAC предоставляет руководство по внутреннему контролю, необходимое в каждой из этих областей. Документ COSO рассматривает и информацию, и коммуникации. В отношении информации COSO пересматривает потребности фиксировать подходящую внутреннюю и внешнюю информацию, потенциал стратегических и интегрированных систем, а также требования к качеству данных [57]. Описание коммуникаций фокусируется на передаче информации по вопросам внутреннего контроля, а также сборе конкурентной, экономической и законодательной информации. Документ SAS 55, измененный документом SAS 78, более короткий, чем другие документы; в нем излагаются цели системы учета и резюмируются материалы COSO.

Действия по осуществлению контроля. Документы COBIT и SAC рассматривают процедуры контроля, имеющие отношение к автоматическим информационным системам организации; в COSO и SAS 55/78 обсуждаются процедуры контроля и действия по осуществлению контроля, используемые во всей организации. В COBIT классифицируются средства контроля по 32 процессам, естественно объединенным в 4 зоны, применимые к любой среде обработки информации. В SAS используются 5 различных классификационных схем для процедур контроля информационных систем. В COSO и SAS 55/78 используется только 1 классификационная схема для процедур контроля информационных систем. При описании действий по осуществлению контроля в документе COSO делается акцент на то, кто реализует действия и операционные цели (в большей степени, чем цели финансовой отчетности). COSO также придает особое значение желательности объединения действий по осуществлению контроля и оценки риска. Документ SAS 78 заменяет список процедур контроля документа SAS 55 укороченным списком действий по осуществлению контроля из документа COSO. В отличие от COSO, документ SAS 55/78 содержит небольшое описание этих действий [34. C. 26].

Оценка риска. Документы COSO и SAS 78 определяют оценку риска как важный компонент внутреннего контроля. COBIT дает определение оценки рисков как процесса в окружении информационной технологии. Конкретный процесс принадлежит к зоне планирования и организации и имеет 6 специальных целей контроля, связанных с ним. Хотя оценка риска не является явным компонентом системы SAC внутреннего контроля, документ содержит всестороннее рассмотрение риска. SAS 55/78 делит риск на неотъемлемый риск, риск контроля и риск обнаружения [34. C.26]. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности, то есть риска недостижения целей финансовой отчетности. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля. В COBIT углубленно рассматриваются несколько компонентов оценки риска в среде информационных технологий. Эти компоненты включают в себя оценку бизнес - риска, подход к оценке риска, определение риска, измерение риска, план действий по реагированию на риск и принятие риска. Документ имеет дело непосредственно с информационно-технологическими типами риска, такими как технологический, нарушения безопасности, утраты бесперебойности и риски нарушения требований надзорных органов. Дополнительно, документ обращается к риску с обеих сторон - глобальной и системно-специфической [59]. Концепции риска, представленные в документах SAC и COSO, похожи. COSO рассматривает определение внешних и внутренних рисков всех организации и отдельных видов деятельности. COSO также рассматривает управленческий анализ риска: оценку значимости риска, вероятности возникновения, методы управления риском. SAC предусматривает детализированный анализ рисков информационных систем и исследует, как эти риски могут быть уменьшены. SAC и COSO делают акцент на соотношении затраты/результаты, на необходимости устанавливать взаимосвязь между целями организации и средствами контроля, на текущей природе определения и оценке риска, способности менеджмента настраивать систему внутреннего контроля организации. SAS 55/78 уделяет немного внимания операционному риску и риску комплайенс [60]. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности. SAS 55/78 делит риск на неотъемлемый риск, риск обнаружения и риск контроля. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.