Автор: А.Ю. Береговой, аудиторская фирма «Внешаудитконсалтинг»
Источник: журнал «Оперативное управление и стратегический менеджмент в коммерческом банке»№ 4-5 2004г
Дата публикации: 15 Сентября 2005
16 декабря 2003 года вышло Положение Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее—Положение № 242-П). Оно заменило собой действовавшее до этого более шести лет Положение от 28.0831'№ 509 «Об организации внутреннего контроля в банках». Автор в данной статье рассматривает существенные отличия нового Положения, устанавливающего правила организации внутреннего контроля в кредитных организациях и банковских группах, а также особенности порядка осуществления Банком России надзора за соблюдением указанных правил.
Первоначально проект документа, известного ныне как Положение № 242-П, предусматривал дополнительно введение таких понятий, как «банковский риск», «мониторинг внутреннего контроля» и «управление банковским риском». Но на стадии обсуждения они были из проекта убраны. Основным недостатком проекта, на который обращали внимание многие банки, являлось то, что в нем служба внутреннего контроля становилась элементом системы управления банком, в то время как задачи контроля и управления — это различные задачи, которые нельзя эффективно решать в рамках одного функционального подразделения. В Положении № 242-П, введенном в действие после консультаций с банками, внутреннему контролю отводится преимущественно роль наблюдателя, что лучше соответствует задачам именно контроля.
Целями внутреннего контроля по новому Положению являются:
Новой задачей для внутреннего контроля, отсутствовавшей ранее, стала борьба с легализацией доходов, полученных преступным путем.
Система внутреннего контроля и система органов внутреннего контроля
В Положении № 242-П отсутствует глава «Организация внутреннего контроля». Вместо нее появились две новых главы «Система органов внутреннего контроля» и «Система внутреннего контроля». Первая описывает, кто в банке должен заниматься внутренним контролем; вторая — что представляет собой внутренний контроль как процесс.
В главе «Система органов внутреннего контроля» следует выделить несколько новых моментов.
В соответствии со статьями 10 и 24 Федерального закона «О банках и банковской деятельности» в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях, а организационная структура кредитной организации в части распределения полномочий между членами совета директоров (наблюдательного совета), коллегиального исполнительного органа, определения полномочий единоличного исполнительного органа, полномочий, подотчетности и ответственности всех подразделений кредитной организации, служащих должна соответствовать характеру и масштабам проводимых операций.
В систему органов внутреннего контроля включается ответственный сотрудник (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, отвечающий за разработку и реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и иных внутренних организационных мер в указанных целях, а также за организацию представления в уполномоченный орган сведений в соответствии с Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и нормативными актами Банка России.
В систему органов внутреннего контроля могут входить иные структурные подразделения и(или) ответственные сотрудники кредитной организации, к которым (в зависимости от характера и масштаба деятельности кредитной организации) могут относится:
Структурные подразделения (ответственные сотрудники) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма) могут быть включены в состав службы внутреннего контроля. В этом случае указанные структурные подразделения (ответственные сотрудники) не имеют права осуществлять функции службы внутреннего контроля по направлениям своей непосредственной деятельности, то есть проверять работу контролера (подразделения внутреннего контроля) профессионального участника рынка ценных бумаг, ответственного сотрудника (структурного подразделения) по правовым вопросам. В главе «Система внутреннего контроля» в новом Положении отмечено, что система внутреннего контроля кредитной организации должна включать следующие направления:
Контроль со стороны органов управления
Новым в Положении № 242-П по сравнению с Положением № 509 является наличие рекомендаций по осуществлению контроля со стороны органов управления банка за организацией его деятельности.
К компетенции совета директоров (наблюдательного совета) рекомендуется отнесение следующих вопросов:
К компетенции исполнительных органов рекомендуется отнесение следующих вопросов:
Органам управления кредитной организации рекомендуется:
Контроль системы управления банковскими рисками
Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков включает:
Контроль за распределением полномочий при совершении банковских операций и других сделок подразумевает порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок, который устанавливается внутренними документами кредитной организации и должен включать в том числе такие формы (способы) контроля, как:
Кредитная организация должна обеспечить распределение должностных обязанностей служащих таким образом, чтобы исключить конфликт интересов (противоречие между имущественными и иными интересами кредитной организации и(или) ее служащих и(или) клиентов, которое может повлечь за собой неблагоприятные последствия для кредитной организации и(или) ее клиентов) и условия его возникновения, совершение преступлений и осуществление иных противоправных действий при совершении банковских операций и других сделок, а также предоставление одному и тому же подразделению или служащему права:
Кредитная организация должна установить порядок выявления и контроля областей потенциального конфликта интересов, проверки должностных обязанностей служащих, занимающих должности, предусмотренные частью третьей статьи 11.1 Федерального закона «О банках и банковской деятельности», а также иных служащих кредитной организации, с тем чтобы исключить возможность сокрытия ими противоправных действий.
Обеспечение информационной безопасности
Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности означает, что информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).
Порядок контроля за информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации и распространяться на все направления ее деятельности.
Внутренний контроль автоматизированных информационных систем и технических средств состоит из общего контроля и программного контроля.
Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой «клиент—сервер» и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы. Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.
Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).
Кредитная организация устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.
Мониторинг системы внутреннего контроля
Мониторинг системы внутреннего контроля осуществляется на постоянной основе. Во внутренних документах кредитной организации должен быть определен порядок осуществления мониторинга системы внутреннего контроля(методики,правила, периодичность, порядок рассмотрения результатов мониторинга и т.д.). Кредитная организация принимает необходимые меры по совершенствованию внутреннего контроля для обеспечения его эффективного функционирования, втом числе с учетом меняющихся внутренних и внешних факторов, оказывающих воздействие на деятельность кредитной организации.
Мониторинг системы внутреннего контроля осуществляется руководством и служащими различных подразделений, включая подразделения, осуществляющие банковские операции и другие сделки и их отражение в бухгалтерском учете и отчетности, а также службой внутреннего контроля. Периодичность осуществления наблюдения за различными видами деятельности кредитной организации определяется исходя из связанных с ними банковских рисков, частоты и характера изменений, происходящих в направлениях деятельности кредитной организации. Результаты рассмотрения документируются и доводятся до сведения соответствующих руководителей кредитной организации (ее подразделений).
Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и(или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Внутренними документами должны быть определены порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий.
Служба внутреннего контроля кредитной организации является ключевым органом системы внутреннего контроля банка, создается для осуществления внутреннего контроля и содействия органам управления кредитной организации в обеспечении эффективного функционирования кредитной организации.
Служба внутреннего контроля
Глава 4 «Служба внутреннего контроля» в новом Положении кардинально переработана. Если в Положении № 509 перечислялись только права службы внутреннего контроля, то в Положении № 242-П регламентируются внутренние документы, на основании которых функционирует служба, ее основные функции, требования по постоянству деятельности, независимости, беспристрастности, эффективности осуществления своих функций и др.
Внутренний документ, регулирующий деятельность службы внутреннего контроля (положение о службе внутреннего контроля) должен определять:
Положение о службе внутреннего контроля утверждается советом директоров (наблюдательным советом) кредитной организации в соответствии со статьями 48 и 65 Федерального закона «Об акционерных обществах» и статьей 32 Федерального закона «Об обществах с ограниченной ответственностью», если в уставе кредитной организации не предусмотрено иное.
Служба внутреннего контроля осуществляет следующие функции:
Кредитная организация обязана обеспечить постоянство деятельности, независимость и беспристрастность службы внутреннего контроля, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций. Постоянство деятельности службы внутреннего контроля означает, что служба внутреннего контроля кредитной организации должна действовать на постоянной основе.
Кредитная организация должна установить численный состав, структуру и техническую обеспеченность службы внутреннего контроля в соответствии с масштабами деятельности, характером совершаемых банковских операций и сделок. Служба внутреннего контроля должна состоять из служащих, входящих в штат кредитной организации.
В кредитной организации, входящей в состав банковской группы, допускается передача отдельных функций службы внутреннего контроля службе внутреннего контроля другой кредитной организации, входящей в банковскую группу. Основанием для принятия решения о передаче отдельных функций службы внутреннего контроля являются отсутствие у кредитной организации специалистов по подлежащим контролю видам деятельности и невозможность или нецелесообразность найма таких специалистов на постоянной основе с учетом характера и масштабов деятельности кредитной организации. Перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля должны быть согласованы между кредитными организациями в письменной форме. При этом ответственность за эффективность осуществления переданных функций несет кредитная организация, принявшая решение о передаче отдельных функций службы внутреннего контроля.
Сведения о передаче отдельных функций службы внутреннего контроля в кредитных организациях, входящих в состав банковской группы, содержащие перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля, представляются в территориальные учреждения Банка России по месту обслуживания каждой из указанных кредитных организаций, входящих в состав банковской группы, в составе справки о внутреннем контроле в кредитной организации.
Независимость службы внутреннего контроля подразумевает, что кредитная организация обеспечивает независимость службы внутреннего контроля в соответствии с порядком, в котором должно быть установлено, что служба внутреннего контроля:
Во внутренних документах кредитной организации должны быть предусмотрены:
Служба внутреннего контроля не вправе участвовать в совершении банковских операций и других сделок. Руководитель и служащие службы внутреннего контроля не имеют права подписывать от имени кредитной организации платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми кредитная организация принимает банковские риски, либо визировать такие документы.
Беспристрастность службы внутреннего контроля подразумевает, что:
Профессиональная компетентность руководителя (его заместителей) и служащих службы внутреннего контроля подразумевает, что:
Создание условий для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций предполагает, что служба внутреннего контроля обязана осуществлять проверки по всем направлениям деятельности кредитной организации. Объектом проверок являются любое подразделение и служащий кредитной организации.
Основные способы (методы) осуществления проверок службой внутреннего контроля:
Руководитель и служащие службы внутреннего контроля имеют право:
План проведения проверок, осуществляемых службой внутреннего контроля, должен включать график осуществления проверок и составляться исходя из принятой органами управления кредитной организации методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности кредитной организации. При составлении графика осуществления проверок должна учитываться установленная в кредитной организации периодичность проведения проверок по направлениям деятельности структурных подразделений и кредитной организации в целом.
Планы работы службы внутреннего контроля разрабатываются службой внутреннего контроля, должны утверждаться советом директоров (наблюдательным советом) кредитной организации. Планы работы службы внутреннего контроля могут согласовываться с единоличным и(или) коллегиальным исполнительным органом. Отчеты о выполнении планов проверок представляются службой внутреннего контроля не реже двух раз в год совету директоров (наблюдательному совету).
Программа проверок, осуществляемых службой внутреннего контроля, предусматривает разработку отдельной программы проверки каждого направления (вопроса) деятельности кредитной организации. Программа проверки должна содержать цели проверки и определять ключевые банковские риски и механизмы обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.
В рабочих документах проверок службы внутреннего контроля отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации.
Отчеты и предложения по результатам проверок представляются службой внутреннего контроля совету директоров (наблюдательному совету), единоличному (его заместителям) и(или) коллегиальному исполнительному органу, руководителям проверяемых структурных подразделений кредитной организации (филиала).
Отчеты должны содержать описание целей проверки, выполненных работ, выявленных нарушений, ошибок и недостатков в деятельности кредитной организации, которые могут создать угрозу интересам кредиторов и вкладчиков или оказать влияние на финансовую устойчивость кредитной организации, и рекомендации службы внутреннего контроля по улучшению работы и устранению нарушений, ошибок и недостатков.
Службой внутреннего контроля осуществляется контроль за эффективностью принятых подразделениями и органами управления по результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и(или) органами управления решения о приемлемости выявленных рисков для кредитной организации.
Если, по мнению руководителя службы внутреннего контроля, руководство подразделения и(или) органы управления взяли на себя риск, являющийся неприемлемым для кредитной организации, или принятые меры контроля неадекватны уровню риска, то руководитель службы внутреннего контроля обязан проинформировать совет директоров (наблюдательный совет) кредитной организации.
Кредитная организация должна установить порядок:
Особенности надзора Банка России за соблюдением правил организации внутреннего контроля
В заключение рассмотрим порядок контроля со стороны Банка России за состоянием внутреннего контроля в кредитных организациях. Он определен в главе 5 Положения № 242-П «Особенности надзора Банка России за соблюдением правил организации внутреннего контроля».
Для оценки состояния внутреннего контроля в кредитной организации Банком России кредитная организация представляет в территориальное учреждение Банка России справку о внутреннем контроле в кредитной организации по форме, предусмотренной Приложением 4 к Положению № 242-П.
Справка представляется в Банк России в составе годового отчета кредитной организации в порядке и в сроки, установленные нормативными актами Банка России.
Кредитные организации, имеющие филиалы, представляют сводную справку в территориальное учреждение Банка России по месту нахождения головного офиса кредитной организации.
В целях оценки состояния внутреннего контроля в кредитной организации территориальные учреждения Банка России в случае необходимости вправе запрашивать у кредитной организации дополнительную информацию по вопросам организации системы внутреннего контроля.
Кредитная организация в течение трех рабочих дней уведомляет территориальное учреждение Банка России о существенных изменениях в системе внутреннего контроля, в том числе о внесении изменений в положение о службе внутреннего контроля, о назначении на должность и освобождении от должности руководителя (его заместителей) службы внутреннего контроля.
При проведении проверок кредитных организаций может осуществляться проверка как системы внутреннего контроля в целом, так и отдельных операций (процедур) на предмет получения подтверждения: