Внутренний контроль

Для того чтобы обеспечить эффективную  оценку риска и соответственно систему  внутреннего контроля, менеджмент должен постоянно оценивать риски, влияющие на достижение поставленных целей, и  реагировать на меняющиеся обстоятельства и условия. Для эффективного отслеживания новых или до этого неконтролируемых рисков может понадобиться пересмотр системы внутреннего контроля. Например, при появлении новшеств на финансовом рынке банк должен оценить новые финансовые инструменты и рыночные операции и проанализировать риски, связанные с такой деятельностью. Зачастую такие риски лучше всего поддаются анализу при рассмотрении того, как различные сценарии (экономические и прочие) могут повлиять на движение денежных средств и доходы от финансовых инструментов и операций. Тщательное рассмотрение всего диапазона возможных проблем, начиная от непонимания со стороны клиента и кончая операционным сбоем, поможет обратить внимание на наиболее важные аспекты контроля.

Деятельность  по осуществлению контроля и разделение полномочий.

Принцип 5. Деятельность по осуществлению контроля должны быть составной частью повседневной деятельности банка. Для эффективной системы внутреннего контроля требуется установления надлежащей структуры контроля в сочетании с определением соответствующих мер на каждом уровне операционной деятельностью. Эти меры включают: проведение обзоров на высшем уровне; осуществление необходимых мер контроля за деятельностью отделов и подразделений; контроль за сохранностью материальных активов; проверка соблюдения лимитов подверженности рискам и последующий контроль в случае их несоблюдения; система разграничения полномочий и принятия решений, а также система сверки и согласования.

Проведение  контроля включает две стадии: 1) разработку правил 
и процедур контроля; 2) проверку исполнения таких правил и процедур. Осуществление контроля распространяется на всех сотрудников банка, включая менеджмент и сотрудников, работающих с клиентами.

Проверки  на высшем уровне - Совет директоров и менеджмент 
часто запрашивают информацию и отчеты о результатах деятельности, 
которые дают возможность проверки хода достижения банком поставленных целей и задач. Например, менеджмент может рассматривать отчеты, в которых действительные финансовые результаты сопоставляются с запланированными (бюджетными).

Вопросы, возникающие у менеджмента в  результате такой проверки, и последующие  разъяснения руководства низшего  звена представляют собой контрольную  деятельность, которая может помочь выявить такие проблемы, как недостатки контроля, ошибки в финансовой отчетности или мошенничество.

Контроль  за деятельностью - Руководители подразделений (департаментов, управлений, отделов) получают и проверяют стандартные отчеты о работе и отклонениях от поставленных целей на ежедневной, еженедельной или ежемесячной основе. Такие (функциональные) проверки проводятся более часто, чем проверки на высшем уровне, и обычно являются более подробными. Например, руководитель отдела коммерческого кредитования может проверять еженедельные отчеты по просроченной задолженности, погашению кредитов и получению процентных доходов по кредитному портфелю, тогда как топ - менеджер, ответственный за кредитование, может рассматривать аналогичные отчеты на ежемесячной основе и в более сжатом виде, включающие все области кредитования. Как и в случае проверки на высшем уровне, вопросы, которые возникают в результате анализа отчетов и получения соответствующих разъяснений представляют собой контрольную деятельность.

Материальный (физический) контроль - Фактические проверки производятся с целью контроля за ограничением доступа к материальным активам, включая кассовую наличность и ценные бумаги. Контрольная деятельность включает физические ограничения доступа к материальным ценностям, дублирование систем охраны и периодические инвентаризации.

Проверка соблюдения установленных лимитов риска.

Установление  разумных лимитов на риски является важным аспектом управления рисками. Например, соблюдение лимитов на заемщиков  и других участников сделок снижает  концентрацию банковских кредитных рисков и помогает диверсифицировать виды риска. Следовательно, важным аспектом внутреннего контроля является процесс проверки соблюдения таких лимитов и последующих действий в случае их несоблюдения.

Система согласований и делегирования прав (утверждение и предоставление полномочий) - требования по утверждению и предоставлению специальных полномочий на совершение сделок, превышающих определенные лимиты, являются залогом того, что руководство соответствующего уровня знает о сделках или ситуации и обеспечивает систему отчетности по таким сделкам.   

 Проверки и  подтверждение счетов.   

  Проверки деталей сделок операций и результатов использования моделей управления банковскими рисками являются важными видами контроля.   

 Периодические  подтверждения счетов, например, сравнения денежных потоков с учетными записями и отчетами, помогают обратить внимание на операции и записи, нуждающиеся в корректировке. В случаях выявления существующих или потенциальных проблем результаты таких сверок должны сообщаться руководителям соответствующего уровня. Менеджмент обязан на регулярной основе получать подтверждение того, что все аспекты деятельности банка соответствуют указанным документам и что содержание документов продолжает оставаться адекватным.[6]

Принцип 6. Для эффективной системы внутреннего контроля требуется надлежащее разделение обязанностей и обеспечение того, чтобы на сотрудников не возлагалась ответственность, сопряженная с конфликтами интересов. Сферы потенциальных конфликтов интересов необходимо идентифицировать, сводить к минимальному и подвергать тщательному непредвзятому мониторингу. При проведении анализа крупных убытков банков, происшедших вследствие плохого внутреннего контроля, надзорные органы обычно приходят к выводу, что одной из главных причин таких убытков является отсутствие надлежащего разделения полномочий. Наделение сотрудника полномочиями, порождающими конфликт интересов, например, возложение на него обязанности руководить одновременно подразделением "фронт" и "бэк" офиса по торговле ценными бумагами, дает ему доступ к имуществу и возможность подтасовывать финансовую информацию в корыстных целях или с тем, чтобы скрыть понесенные убытки. Для снижения риска манипулирования финансовой информацией и риска хищения имущества, некоторые полномочия должны в максимально возможной степени быть разделены между несколькими сотрудниками банка.

Серьезные проблемы могут возникнуть в ситуации, когда один и тот же сотрудник отвечает за: санкционирование выплаты денежных средств и их фактическую выплату; ведение счетов, на которых отражаются операции клиентов, и счетов, отражающих собственные операции банка; ведение операций, относящихся как к "банковскому", так и к "дилерскому" портфелю; неформальное предоставление информации клиентам об их позициях при одновременном совершении маркетинговых операций с теми же клиентами; оценку адекватности кредитной документации при выдаче кредита и мониторинг заемщика после выдачи кредита.

Информация  и система ее передачи.

Принцип 7. Для эффективной системы внутреннего контроля требуются в достаточном объеме всесторонние данные по внутренней финансовой отчетности, операционной деятельности и соблюдению установленных требований, а также внешняя информация рыночного характера о событиях и условиях, имеющих значение для принятия решений. Информация должна быть достоверной, своевременной, доступной и поступать в совместимом формате.

Адекватная  информация и ее эффективная передача играют важную роль в надлежащем функционировании системы внутреннего контроля. С позиции банка, чтобы быть полезной, информация должна обладать следующими качествами: быть относящейся к делу, надежной, своевременной, доступной и должным образом оформленной. Информация включает в себя внутренние финансовые и операционные данные, данные о соблюдении установленных требований законодательства и нормативных актов, а также сведения, поступающие с внешнего рынка, о событиях и условиях, имеющих отношение к принятию решений. Внутренняя информация является частью процесса учета, который должен опираться на установленный порядок хранения учетных записей.

Принцип 8. Для достижения эффективности системы внутреннего контроля необходимо обеспечить рациональной размещение надежных информационных систем, охватывающих все значительные виды деятельности банка. Эти системы, включая те, при помощи которых хранятся и используются данные в электронной форме, должны удовлетворять требованиям безопасности, в их функционировании должны предусматриваться адекватные меры в случае возникновения непредвиденных обстоятельств.

Важным  компонентом банковской деятельности являются создание и поддержание  систем управленческой информации, охватывающих полный спектр деятельности банка. Такая  информация обычно предоставляется как на электронных, так и бумажных носителях. Банки должны уделять особое внимание организации обработки информации в электронном виде и требованиям к ней со стороны внутреннего контроля, а также необходимости осуществлять аудит данного процесса. На принятии управленческих решений может отрицательно сказаться ненадежная или искаженная информация, полученная от плохо разработанных и плохо организованных систем.

Электронные информационные системы и использование  информационных технологий связи сопряжены с рисками, которые банки должны эффективно контролировать для того, чтобы избегать потенциальных убытков и сбоев в ходе практической деятельности. Средства контроля за автоматизированными информационными системами и техническими средствами должны включать общий и программный контроль. Общий контроль - это контроль компьютерных систем (например, контроль за главным компьютером, системой клиент - сервер и рабочими местами конечных пользователей), проводимый с целью обеспечения их бесперебойной и непрерывной работы. Общие виды контроля включают внутренние резервные процедуры и процедуры восстановления функций, правила разработки и приобретения программ, процедуры сопровождения (изменения контроля) и контроль за безопасностью физического / логического доступа. Контроль за программным обеспечением представляет собой компьютерные шаги в программных приложениях и другие ручные процедуры, контролирующие обработку операций и другие виды банковской деятельности. Без адекватного контроля информационных систем и технических средств, включая системы, находящиеся в стадии разработки, банки будут сталкиваться с потерей данных и программ, возникающей из-за неадекватных мер обеспечения физической и электронной безопасности, неполадок оборудования или системных сбоев, а также из-за неадекватных внутренних резервных процедур и процедур восстановления функций.

Принцип 9. Для эффективной системы внутреннего контроля требуются эффективные каналы связи, позволяющие добиваться того, чтобы все сотрудники полностью понимали и поддерживали проводимые мероприятия и используемые при этом процедуры, затрагивающие их служебные обязанности и ответственность, и чтобы прочие виды необходимой информации доводились до сведения тех, кого они касаются.

Без эффективной системы передачи данных информация бесполезна. Руководство высшего звена банков должно создавать эффективные системы передачи информации, чтобы необходимая информация достигала нужного адресата. Это относится как к документам, определяющим операционную политику и процедуры деятельности банка, так и к фактической операционной деятельности организации.

Организационная структура банка должна обеспечивать адекватный поток информации - вверх, вниз и по горизонтали. При этом информация, поступающая снизу вверх, должна обеспечивать совет директоров и менеджмент необходимыми сведениями о принятых в ходе деятельности рисках и о текущем состоянии банка. Информация, которая направляется вниз, должна обеспечивать доведение целей банка, его стратегии, установленных порядков и процедур до руководства среднего и низшего звена и рядовых сотрудников. Такая структура передачи информации необходима для того, чтобы достичь слаженной работы всех сотрудников банка по выполнению его целей и задач. И, наконец, передача информации по горизонтали необходима, чтобы информация, которой владеет одно подразделение банка, была доступна другим его заинтересованным подразделениям.

Мониторинг  деятельности и исправление недостатков.

Принцип 10. За общей эффективностью предпринимаемых банком мер по осуществлению внутреннего контроля необходимо следить непрерывно. Мониторинг ключевых рисков должен быть частью повседневной деятельности банка, а также предметом периодических оценок, выполняемых операционными службами и подразделениями внутреннего аудита.

Поскольку банковское дело - это динамичный и стремительно развивающийся вид деятельности, банки должны проводить постоянный мониторинг и оценку систем внутреннего контроля с учетом меняющихся внутренних и внешних обстоятельств и укреплять эти системы по мере необходимости для обеспечения их эффективной работы.

Мониторинг  эффективности внутреннего контроля может осуществляться сотрудниками различных подразделений, включая  отделы, осуществляющие банковские операции, финансовый контроль и внутренний аудит. По этой причине важно, чтобы руководство высшего звена четко распределяло обязанности сотрудников, отвечающих за конкретные аспекты мониторинга. Мониторинг должен быть не только частью повседневной деятельности банка, но и включать также периодическое проведение оценки всего процесса внутреннего контроля. Периодичность мониторинга различных видов операций банка должна определяться исходя из связанных с ними рисков, периодичности и характера изменений, происходящих в условиях деятельности банка.

Преимущество  постоянного мониторинга заключается в быстром обнаружении и исправлении недостатков системы внутреннего контроля. Мониторинг наиболее эффективен, когда система внутреннего контроля интегрирована в операционную среду и предоставляет регулярные отчеты о ситуации. Примеры постоянного мониторинга включают проверку и подтверждение бухгалтерских записей, рассмотрение и утверждение руководством отчетов об отклонениях.