Ориентируясь на риски, или как оценивать внутренний контроль

1. «Государство, бывшее веками органом угнетения и ограбления народа, оставило нам в наследство величайшую ненависть и недоверие масс ко всему государственному»¹

Финансовое сообщество готовится к переменам, ясный сигнал о которых подан Банком России: в начале июля 2003 года он разрешил своим территориальным подразделениям не применять меры воздействия к банкам-нарушителям положений Указания № 603-У от 7 июля 1999 г. «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях», а в конце августа объявил о замене в ближайшие месяцы Положения № 509 от 28 августа 1997 г. «Об организации внутреннего контроля в банках» принципиально новым документом, основанном на рекомендациях Базельского комитета по банковскому надзору.

Не остаются в стороне и другие регулирующие органы: Федеральная комиссия по рынку ценных бумаг (ФКЦБ) активно занимается анализом и совершенствованием требований к системе внутреннего контроля в финансовых организациях, работающих на рынке ценных бумаг, вовлекая в проверки внутреннего контроля саморегулируемые организации. После принятия Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем» Правительство России, Банк России и ФКЦБ выпустили документы, в которых обязали все финансовые организации использовать внутренний контроль как инструмент в борьбе с легализацией преступных доходов.

Только вот понимание внутреннего контроля и способы оценки его эффективности у различных регулирующих органов, а часто и различных их подразделений «на местах» весьма различаются. Поэтому для финансовых организаций ключевым остается один вопрос: изменится ли на практике подход регулирующих органов к оценке эффективности внутреннего контроля, или по-прежнему отсутствие документа под названием «Инструкция о внутреннем контроле» (sic!), выявленное расхождение в две копейки или случайный сбой системы будут безапелляционно признаны свидетельством неэффективности работы системы внутреннего контроля в целом, и службы внутреннего контроля в частности?

Для такой постановки вопроса, к сожалению, есть основания. Все первоначальные редакции нормативных документов, регулирующих деятельность внутреннего контроля, имели нечто общее с мечтой основателя Советского государства о «…победоносном и беспощадном походе против нарушителей этого контроля или беззаботных насчет контроля». Основная причина, на наш взгляд, – концепция тотального контроля, глубоко пустившая корни в сознании многих людей, занятых в финансовом секторе экономики России, и уходящая этими корнями в ее далекую историю.

Эта концепция подразумевает в идеале установление всеобъемлющего свода правил, регулирующих все аспекты деятельности организации, и создание такого режима работы, который не позволял бы отклоняться от установленных стандартов (намеренно или случайно). Основным инструментом воздействия на управленческие процессы является демонстративное наказание нарушившего, а задачу соблюдения такого режима обычно возлагают на выделенное штатно и организационно подразделение (службу внутреннего контроля), имеющее статус «особо доверенного» и подчиняющееся «лично» самому высокому руководителю организации.

Сама по себе идея полного регулирования всех аспектов деятельности не несет негативного характера, и во многих случаях оправдана (вспомним, например, про воинские уставы, каждый параграф которых основан на реальных человеческих потерях). Более того, канонически контроль и представляет собой процесс управления, состоящий из трех элементов: определение стандартов деятельности системы, сравнение достигнутых ею результатов с установленными стандартами, и, в случае расхождений, корректировка процессов управления.

Одна беда – при воплощении этой концепции в жизнь, по крылатому выражению В.С. Черномырдина, постоянно «получается как всегда». Основными слабостями этой концепции является умозрительность при первоначальном определении стандартов, изумляющая простота и формальность проверок («… что противоречит п. x.x.x Инструкции №NNN»), а также, что более существенно, трудность своевременного и точного распознавания некорректного управленческого процесса, приведшего к отклонению от стандарта. К тому же детальная регламентация деятельности и сосредоточение функций контроля в одном подразделении, свойственное для концепции тотального контроля, неизбежно приводит к бюрократизации всего процесса внутреннего контроля. Такая система перестает реагировать на новые, актуальные вызовы и угрозы, поскольку основой для оценки деятельности внутреннего контроля (и службы внутреннего контроля как его главного воплощения) является формальное соответствие заданным правилам и регулирующим документам. Только два вида событий могут внести возмущение в такую систему: во-первых, смена руководителя и реорганизация, во-вторых – пересмотр внутренних правил вследствие кризиса управления системой, или, как частный случай, иное «толкование» старых правил в угоду новому руководству. Ответом на несовершенство идеи тотального контроля стала концепция контроля, ориентированного на риск, известная в профессиональном мире как модель COSO. Пояснить эту модель можно на житейском примере. Задумываясь о последствиях происходящих с нами и вокруг нас событий, в большинстве бытовых ситуаций мы оперируем понятиями «повезло» – «не повезло», «судьба» и т.д. Разумный и ответственный человек часто может предотвратить нежелательные последствия, действуя в соответствии с нормами поведения, общепринятыми или выработанными им самим, в основном в целях личной безопасности и безопасность семьи, сохранения нажитого имущества и репутации: закрывает дверь, когда выходит из дома (потому что могут ограбить), ставит на сигнализацию машину (потому что могут угнать), интересуется у знакомых, где лучше отдохнуть (потому что можно сэкономить), и т.д. Но поступать так или нет – дело добровольное, и многим людям это, увы, не свойственно. Для российского менталитета, как это принято считать, свойственно прямо противоположное стремление полагаться на «русский авось».

В мире серьезного бизнеса «расчет на авось» противопоказан, особенно если предпринимателю дано право распоряжаться чужими деньгами или имуществом. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Поэтому должен также существовать процесс мониторинга изменений, который позволит применить разработанные ранее меры тогда, когда «пациент скорее жив», а не при посмертном вскрытии. Причина очевидна: в худшем случае в бытовой ситуации пострадает конкретная семья, а результаты кризиса российской финансовой системы 1998 года почувствовали на себе миллионы людей…

Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие называть «рисками», а события, которые могут оказать позитивное воздействие – «возможностями». Поскольку многие из рисков имеют одинаковый характер или одинаковую природу, им стали присваивать названия, которые условно выражали их характер (например, «кредитный риск», «операционный риск», «рыночный риск» и т.д.). В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности (предприятием²) изначально связаны специфические (свойственные, inherent) риски, и избежать их возможно только одним способом – в это предприятие не вступая. Однако можно и нужно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Тогда внутренний контроль (или, следуя английской грамматике, контроли) – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного, residual) риска.

Давайте вернемся к примеру с закрываемой перед уходом дверью и зададим себе ряд вполне риторических вопросов для оценки эффективности «бытовых» контролей:

 – Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь?
 – Неизвестно. Вроде бы с ней надежней…
 – Переформулируем вопрос. Уменьшится ли риск, если металлическую дверь поставить, а на замок ее не закрывать?
 – Ответ очевиден – нет.
 – Может ли установка металлической двери уменьшить риск ограбления (другими словами – является ли контролем установка металлической двери)?
 – Нет, если дверь останется открытой; да – если дверь закрыта.
 – Является ли контролем ежедневная проверка состояния двери перед уходом?
 – Да.
 – Усиливает ли установка металлической двери степень контроля, при условии ежедневной проверки перед уходом состояния двери?
 – Конечно, да.

Этот пример, несмотря на его условность, показывает одну важную характеристику внутреннего контроля: только с точки зрения целей процесса становится важным, какие элементы контроля (в нашем примере – двери, замки, ежедневная проверка, сигнализация и т.д.) в него включены, и только с этой точки зрения можно оценить их эффективность. В концепции риск-ориентированного внутреннего контроля в роли стандарта выступает уровень риска, приемлемый для предприятия, проверка уровня остаточных рисков проходит постоянно и неотъемлемо от основной деятельности предприятия, а в случае выявления отклонений от стандартного уровня коррекции подлежит именно тот бизнес-процесс, контроли которого не обеспечивают смягчения воздействия риска.

При этом выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности предприятия, окружающей средой и соответствующим набором свойственных рисков. Не обязательно поручать осуществление всех видов контроля отдельному подразделению. Можно распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, и знать, где и какие контроли установлены. При этом основную ответственность за правильное функционирование системы внутреннего контроля несет руководство предприятия, а владельцы предприятия кровно заинтересованы в ее эффективности, так как она способствует снижению рискованности их вложений.

Тем не менее, без выделенного подразделения и в этом случае не обойтись. Одна функция в системе внутреннего контроля не может быть распределена или совмещена с другой деятельностью – это внутренний аудит. Независимо от его формального названия, должно быть создано независимое подразделение, осуществляющее мониторинг состояния системы внутреннего контроля и ее адекватности рискам в динамике. Согласно профессиональным стандартам³, выработанным международным Институтом внутренних аудиторов (IIA), профессиональные внутренние аудиторы играют ключевую роль в оценке и гарантировании эффективности систем управления рисками, контроля и корпоративного управления. В функцию внутреннего аудита входит оценка достоверности отчетности (как внешней, финансовой и регуляционной, так и внутренней, управленческой), проверка целесообразности и экономической эффективности операций, сохранности активов, и, безусловно, проверка соблюдения законодательства, требований нормативных документов регулирующих органов и контрактных обязательств предприятия.

Но в отличие от роли подобного подразделения в модели тотального контроля, внутреннему аудиту важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание виновных, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков.

Главные инструменты внутреннего аудитора – это концепция риск-ориентированного контроля и выстроенная на ее базе методология аудиторской деятельности. Именно эти инструменты позволяют приступить к анализу новой финансовой услуги, сформировать адекватный план проверки и распределить ресурсы. Именно эти инструменты позволяют отделить в ходе проверки случайную ошибку оператора от отсутствия или нарушения контролей и/или процессов. Именно эти инструменты дают возможность при обсуждении выявленных проблем противодействовать как упорству консерваторов («мы всегда так делали», «нас уже проверяли и ничего не нашли» и т.д.), так и оптимизму новаторов («да ничего не случится», «жутко выгодное дело» и т.д.), а при необходимости – эскалировать проблему до самого высокого уровня. Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск-ориентированного контроля по сравнению с идеей тотального контроля. Но пришли специалисты, бизнесмены и регулирующие органы к такому взаимопониманию пониманию не сразу.

2. «…их ознакомлением также в области того, что сделала современная наука буржуазного государства в деле постановки наилучшей работы служащих всякого рода»⁴

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 году в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций – AICPA (American Institute of Certified Public Accountants), Американская Ассоциация по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) – была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя, Джеймса С. Тредуэя (James C. Treadway), как Комиссия Тредуэя. Выпущенный ими в 1987 году отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям – спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 году под названием «Интегрированная концепция внутреннего контроля» (Internal Control – Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора, концепцией COSO, моделью COSO, или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля. В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

• Внутренний контроль – это процесс, то есть средство достижения цели, а не самоцель.
• Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
• От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но ни как не абсолютной гарантии безошибочной работы.
• Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности.⁵

Согласно COSO, внутренний контроль – это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

1. Целесообразность и финансовая эффективность⁶ деятельности (включая сохранность активов).
2. Достоверность финансовой отчетности
3. Соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

(1) контрольная среда и нравственный климат,
(2) оценка риска,
(3) мероприятия контроля,
(4) сбор и анализ информации и передача ее по назначению,
(5) мониторинг и исправление ошибок

Основанный Лондонской Фондовой Биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 году, принял в общем идентичные COSO определения контроля. С 1995 года высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля⁷ и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 году Лондонской Фондовой Биржей был издан Объединенный Кодекс Корпоративного Управления (Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 году Комитетом Гринбери. В Объединенный Кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 году Совет по критериям контроля (CoCo) Канадского Института Дипломированных Бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO, в руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на 4 категории: Назначение; Обязательства; Возможности; Наблюдение и Обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В CoCo нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 году была первая попытка создания официального нормативного документа по управлению рисками – Стандартов Австралии и Новой Зеландии по Управлению Рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 года.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology), впервые опубликованные в 1996 году, были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 года.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 году он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации №33 и 40), посвященных оценке эффективности внутреннего контроля в банках⁸. Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы – Оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 года и августе 2001 были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации №72 и 84). Дальнейшее развитие концепция риск-ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO – «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO, и в значительной мере – ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности. В настоящее время Enterprise Risk Management Framework проходит этап публичного обсуждения и будет издана в окончательном виде в начале 2004 года.

3. «Возможное возражение против этого плана: слишком много ревизоров, слишком много надзора, слишком много начальства, имеющего право требовать немедленного ответа и отрывающего служащих от своей прямой работы»⁹

Постепенный отход российских регулирующих органов и финансовых учреждений от использования концепции тотального контроля, происходящий на наших глазах, пока не завершился выработкой общепринятой концепции внутреннего контроля, близкой к модели COSO. Для Банка России и ФКЦБ среди всех целей внутреннего контроля наиболее значимой остается цель обеспечения соответствия деятельности кредитных организаций его нормативным актам и достоверность отчетности. Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, то есть оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет, прежде всего, ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков – важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO, главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны, путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналы об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляют и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

Однако для формирования эффективного внутреннего контроля необходима воля и согласованная работа менеджеров и владельцев банка. Естественной реакцией персонала банка на усиление системы внутреннего контроля будет определенное противодействие, явное или скрытое. Во-первых, в силу инерции. Во-вторых, в силу свойственного значительной части россиян отношения к контролируемому как к потенциальному объекту присвоения («что охраняешь, то и имеешь»). В-третьих, в силу не забытого еще опыта по подмене самого строгого контроля формальными отписками. В четвертых, из-за отсутствия опыта распознавания рисков и возможностей, и т.д. К тому же, как представляется, любой контроль просто невыносимо мешает работе.

В этом есть своя правда – ориентированный на риск внутренний контроль мешает работать по-старому, поскольку при встраивании контролей в повседневную деятельность существенно изменяется как сам процесс работы, так и критерии оценки персонала. Нельзя забывать и совет Никколо Макиавелли о том, что «должно быть твердо усвоено, что нет ничего более сложного для осуществления, более сомнительного для успеха и более угрожающего для ведения дел, чем инициировать изменения».

Разумеется, концепция ориентированного на риск внутреннего контроля описывает идеал, к которому нужно стремиться. Как же менеджерам и регулирующим органам оценить эффективность и адекватность системы внутреннего контроля? Учитывая, что одним из основных постулатов COSO является прямая ответственность как совета директоров (т.е. органа, представляющего интересы владельцев и устанавливающего исходя из этого общие принципы деятельности предприятия), так и менеджмента (т.е. исполнительного органа предприятия и его руководителей) за создание и обеспечение эффективного осуществления внутреннего контроля, можно сказать, что система внутреннего контроля может быть признана эффективной только когда:

• Утверждены и периодически пересматривается владельцами (Советом директоров) документы, устанавливающий стратегию и политику финансовой организации в области внутреннего контроля:
• установлены основные виды деятельности организации
• идентифицированы основные неотъемлемые риски, связанные с основными видами деятельности
• установлены приемлемые уровни риска, который может (должен) принимать на себя организация и его подразделения для достижения поставленных целей
• определены основные методы контроля и структура контроля, не позволяющие превысить установленные уровни риска
• Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков:
• проводится идентификация, оценка и контроль внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение организацией поставленных целей (идентификация, мониторинг и контроль за рисками)
• утверждена организационная структура и распределение полномочий
• разрабатываются необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками
• планируется и контролируется деятельность по мониторингу эффективности системы внутреннего контроля
• в организации создана контрольная среда, которая выражает и демонстрирует персоналу всех уровней важность внутреннего контроля и соблюдения этических норм
• Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей:
• процедуры контроля реализуются на всех уровнях управления
• осуществляются периодические проверки обеспечения соответствия всех областей деятельности установленным политикам и процедурам
• обеспечивается встроенность мероприятий контроля в ежедневные операции
• обеспечено разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей
• обеспечена адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений
• обеспечена адекватность, полнота и достоверность финансовой и управленческой отчетности
• обеспечено соответствие операций действующему законодательству
• Созданы эффективные и безопасные каналы доведения информации :
• весь персонал предупрежден о существующих политиках и процедурах, касающихся их обязанностей и ответственности
• обеспечена адресация и быстрота доведения необходимой информацией до соответствующего персонала
• обеспечено соответствие уровня информационных систем и всех видов деятельности организации
• обеспечена безопасность информационных систем, осуществляется их периодическая проверка
• Проводится независимый мониторинг эффективности системы внутреннего контроля:
• проводится на ежедневной основе мониторинг наиболее рискованных операций
• проводится оценка влияния на операции организации каждого вида риска по отдельности, и всеобъемлющая оценка риска с учетом существующих методов и мер контроля
• обеспечено проведение эффективного и всеобъемлющего внутреннего аудита системы внутреннего контроля независимыми в функциональном отношении, адекватно подготовленными и компетентными сотрудниками
• обеспечено своевременное доведение информации о недостатках внутреннего контроля до управляющих соответствующего уровня и ее правильная адресация,
• обеспечено доведение до менеджмента и Совета директоров информации о существенных недостатках внутреннего контроля и оценка ее эффективности.

Таким образом, при определении эффективности и адекватности системы внутреннего контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и владельцев предприятия, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективности мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может являться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глубокого анализа причин и понимания бизнес-процесса. А если после каждого выявленного нарушения требований нормативных документов, даже незначительного с точки зрения реального риска, упоминать о плохой работе службы внутреннего контроля, она лучше не заработает: согласно восточной пословице, «сколько не говори »халва« – во рту слаще не станет».

Для владельцев и менеджмента важно установить такие правила разработки процедур, которые не позволят выпустить на рынок новые услуги без учета всех неотъемлемых рисков и встраивания в процессы адекватных рискам мер контроля. Необходимо определить, будет ли персонал, осуществляющий функции независимого повседневного контроля, организационно входить в штат операционных подразделений, или должен быть выделен в отдельную структуру. Нужно определить такую линию подчинения внутреннего аудита, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее независимости, и при необходимости поддержать ее действия своим авторитетом.

И, в идеале, получить после проверки от регулирующего органа не перечень нарушенных пунктов инструкций и предписание о «приведении в соответствие», а квалифицированную оценку как специфических, относящихся к конкретной финансовой организации, так и системных рисков. Тогда и наказание может быть оправданным.

К сожалению, путь к идеалу еще далек. Поэтому и остается главным один вопрос: как скоро регулирующие органы смогут отойти от концепции тотального контроля и будут на практике применять к оценке эффективности внутреннего контроля финансовых организаций модель COSO и рекомендации Базельского комитета?