Организация внутреннего контроля: версия Центрального банка

Законодательная и нормативная база

В банковском законодательстве о внутреннем контроле в коммерческих банках говорится крайне скупо. Точнее, в Законе «О банках и банковской деятельности» эта проблема упоминается два раза (см. ниже).

Из Закона «О банках и банковской деятельности»

Ст. 10, Устав кредитной организации

(...)

Устав кредитной организации должен содержать:

(...)

6) сведения о системе органов управления, в том числе исполнительных, и органов внутреннего контроля, о порядке их образования и их полномочиях;

с.)

Ст. 24. Обеспечение финансовой надежности кредитной организации

(...)

Кредитная организация обязана организовывать внутренний контроль, обеспечивающий надлежащий уровень надежности, соответствующей характеру и масштабам проводимых операций.

Главный нормативный акт Банка России, посвященный рассматриваемому вопросу, также фактически один — Положение «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16 декабря 2003 г. № 242-П (до этого действовало Положение «Об организации внутреннего контроля в банках» от 28 августа 1997 г. № 509, к качеству которого у специалистов было много претензий).

В Положении № 242 определен общий для всех отечественных банков порядок организации внутреннего контроля, который обязывает их иметь системы внутреннего контроля и особые службы внутреннего контроля, а сведения о такой службе, порядке ее образования и полномочиях отразить в своих уставах.

Цели внутреннего контроля

Документ исходит из того, что внутренний контроль в банке необходим для того, чтобы обеспечивать:

• эффективность финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективность управления активами и пассивами, рисками. В последнем случае имеются в виду: выявление, измерение и определение приемлемого для банка уровня рисков; постоянное наблюдение за рисками; принятие необходимых мер для поддержания рисков на уровне, не угрожающем финансовой устойчивости банка, интересам его кредиторов и вкладчиков;

• достоверность, полноту, объективность и своевременность составления и представления финансовой, бухгалтерской, статистической и иной отчетности, получаемой и используемой внутренними и внешними пользователями, а также информационную безопасность банка;

• соблюдение нормативных правовых актов, стандартов саморегулируемых организаций (если банк является членом таких организаций), норм учредительных и внутренних документов банка;

• недопущение вовлечения банка и его служащих в противоправную деятельность. Такой широкий перечень целей является свидетельством того, что внутренний

контроль охватывает почти все направления жизнедеятельности банка. В то же вре-

мя в данный перечень почему-то не вошли цели, связанные, например, с организацией и критериями результативности управления в банке, развитием внутрибанковских (в том числе трудовых и социальных) и межбанковских отношений, отношений с клиентурой и некоторые другие, имеющие первостепенное значение.

Участники (система органов) внутреннего контроля

В Положении отмечается, что в соответствии с полномочиями, определенными в учредительных и внутренних документах банка, внутренний контроль в нем должны вести: органы управления, предусмотренные в Законе «О банках и банковской деятельности»; ревизионная комиссия (ревизор); главный бухгалтер (его заместители); руководитель (его заместители) и главный бухгалтер (его заместители) филиала; подразделения и служащие, выполняющие функции внутреннего контроля в соответствии со специальными полномочиями, определяемыми во внутренних документах банка.

В последнем случае имеются в виду:

1) служба внутреннего контроля (СВК), или внутреннего аудита, как отдельное структурное подразделение банка. Здесь трудно согласиться с фактическим отождествлением функционально разных служб — внутреннего контроля и внутреннего аудита;

2) ответственный сотрудник (или структурное подразделение) по противодействию легализации доходов, полученных преступным путем, и финансированию терроризма как отдельное должностное лицо (структурное подразделение), ответственное за разработку и реализацию правил внутреннего контроля в целях противодействия легализации доходов, полученных преступным путем, программ его осуществления и иных внутренних организационных мер в указанных целях, а также за представление в соответствующий уполномоченный орган федеральной власти сведений в соответствии с Законом «О противодействии легализации... доходов, полученных преступным путем, и финансированию терроризма» и нормативными актами Банка России (см. далее);

3) иные структурные подразделения и/или ответственные сотрудники банка, к которым, как полагают составители Положения, могут относиться:

• контролер профессионального участника рынка ценных бумаг (РЦБ) как ответственное должностное лицо и/или структурное подразделение, проверяющее соответствие деятельности банка как профессионального участника РЦБ требованиям законодательства РФ о ценных бумагах, нормативных правовых актов федерального органа исполнительной власти по РЦБ (так называемый комплаенс-контролер)1;

• ответственный сотрудник по правовым вопросам как должностное лицо и/или структурное подразделение, проверяющее соблюдение нормативных правовых актов, стандартов саморегулируемых организаций, учредительных и внутрен-

От англ. compliance (соответствие) - способность в разумных пределах обеспечить соблюдение и выполнение внутренних предписаний, планов, процедур, законов, нормативных актов и контрактов, а также от complaisance - услужливость, обязательность, обходительность, любезность.

них документов банка. Этот последний пункт можно полагать совсем уж надуманным, поскольку в любом банке и так имеется и действует юридическая служба.

Документ содержит и такую достаточно мягкую норму (п. 2.4): структурные подразделения (ответственные сотрудники), перечисленные выше, за исключением ответственного сотрудника (структурного подразделения) по противодействию легализации доходов, полученных преступным путем, могут быть включены в состав СВК. Но в этом случае такие сотрудники (подразделения) не имеют права осуществлять функции СВК по направлениям своей непосредственной деятельности, т.е. проверять работу контролера (подразделения внутреннего контроля) профессионального участника РЦБ, ответственного сотрудника (структурного подразделения) по правовым вопросам.

Представленный раздел документа вынуждает сделать также следующие замечания. Во-первых, безусловно верно, что внутренний контроль в банке «вершит» не только СВК, что участников этого процесса действительно много. Но в обоснованно широком перечне его участников почему-то не нашлось места рядовым сотрудникам банка. Во-вторых, остается без удовлетворительного ответа старый вопрос — о структурных подразделениях и штатных должностях в банках, которые их в административном порядке обязывает вводить, содержать и оплачивать Центральный банк, хотя он не является для банков «вышестоящей организацией» и не финансирует их. В-третьих, что еще важнее, остается также старый и болезненный вопрос — о месте и роли СВК в общей структуре органов, участвующих во внутреннем контроле (см. далее).

Система внутреннего контроля

Положение обязывает каждый банк и соответствующие его органы на постоянной основе вести контроль по следующим направлениям: организация деятельности банка; функционирование системы управления банковскими рисками и оценка таких рисков; распределение полномочий при совершении банковских операций и других сделок; управление информационными потоками (получение и передача информации) и обеспечение информационной безопасности; мониторинг самой системы внутреннего контроля (наблюдение за функционированием указанной системы в целях оценки степени ее соответствия задачам деятельности банка, выявления недостатков, разработки предложений и контроля за реализацией решений о ее совершенствовании).

Но можно ли полагать, что перечисленные направления контроля образуют систему, потенциально способную уберечь банк от любых неожиданностей и неприятностей на всех направлениях его функционирования, для чего, собственно, и нужен внутренний контроль? Очевидно, что нет. «Система» вырисовывается -какая-то урезанная.

Служба внутреннего контроля

В соответствии с рассматриваемым нормативным актом СВК банка создается для внутреннего контроля и содействия органам управления банка в обеспечении его эффективного функционирования. Внутренний документ; регулирующий деятельность СВК, — Положение о СВК. Должное содержание последнего в акте ЦБ РФ характеризуется общими словами.

В некотором роде больше ясности с функциями СВК. В качестве таковых названы: а) проверка и оценка эффективности системы внутреннего контроля; б) проверка полноты применения и эффективности методики оценки банковских рисков и процедур управления такими рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок, управления банковскими рисками); в) проверка надежности внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и/или использования, наличие планов действий на случай непредвиденных обстоятельств; г) проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности и своевременности сбора и представления информации и отчетности; д) проверка достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России; е) проверка применяемых способов (методов) обеспечения сохранности имущества банка; ж) оценка экономической целесообразности и эффективности проводимых банком операций; и) проверка соответствия внутренних документов банка нормативным правовым актам, стандартам саморегулируемых организаций; к) проверка процессов и процедур внутреннего контроля; л) проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения; м) оценка работы службы управления персоналом; н) другие вопросы, предусмотренные во внутренних документах банка.

Этот список функций нуждается в комментариях. Во-первых, он значительно шире, чем это вытекает из того, что ранее было названо «системой внутреннего контроля», но в то же время согласуется (с учетом функции «ж») с тем, что СВК «обязана осуществлять проверки по всем направлениям деятельности кредитной организации. Объектом проверок является любое подразделение и служащий кредитной организации» (подп. 4.10.1 Положения). В этом видится определенное внутреннее противоречие документа.

Во-вторых, перечисленные функции условно можно разделить на две группы: преимущественно организационно-методические (функции «а», частично «б» и «в», «е», «и», «к») и собственно контрольные (остальные функции). Но первые — это скорее прерогатива службы внутреннего аудита (контроль инструментария и технологий контроля). Что касается второй группы названных функций, то тут ситуация совсем иная. Так, в соответствии с функциями «г» и «м» СВК должна постоянно проверять, правильно ли выполняют свои обязанности бухгалтерия и отдел кадров банка, функция «ж» предполагает, что сотрудники СВК должны все время экзаменовать работников функциональных подразделений банка на профессиональную пригодность. Представить себе, как все это могло бы выглядеть на практике, более чем сложно.

Вопроса о том, нужна ли в коммерческих банках система внутреннего контроля, не было и нет. Есть другой вопрос — что именно следует понимать под «внутренним контролем в банках» и как его строить.

Актуальность проблемы внутреннего контроля всегда признавалась банковским сообществом. Практика повседневной работы, направленной на минимизацию своих

рисков, привела российские банки к осознанию необходимости создания в той или иной форме систем внутреннего контроля. Законодательно закреплен контроль со стороны владельцев через общее собрание, совет и ревизионную комиссию банка. Исполнительное руководство (правление) обязано постоянно вести оперативный контроль за всей деятельностью банка. Есть главный бухгалтер и подчиненные ему сотрудники. Каждое структурное подразделение банка в соответствии с законом и нормативными актами обязано вести внутренний контроль за совершаемыми операциями. Такой контроль и его процедуры предусмотрены в должностных инструкциях ответственных исполнителей, руководителей подразделений. Выдачу кредитов заемщикам контролирует кредитный комитет. Существуют, как правило, служба безопасности и различные аналитические подразделения. Существуют внутренний и внешний аудит. Наконец, сам Банк России имеет право проверять (контролировать) работу любого банка.

Этой сложной совокупности контрольных органов не хватает только одного — качества контроля. А низкое качество контроля, в свою очередь, обусловлено низким качеством управления деятельностью банков.

По мнению Банка России, проявившемуся еще в Положении № 509 от 1997 г., проблема состояла в том, что банки не имели четких формализованных ориентиров при формировании систем внутреннего контроля, а инспекторы Центрального банка, проверяя тот или иной банк, не располагали нормативно закрепленными критериями оценки эффективности внутрибанковского контроля. Это и послужило толчком к принятию Положения № 509. Указанный документ был свидетельством того, что проблема слабого банковского менеджмента достигла столь высокого уровня понимания всеми заинтересованными сторонами, что Центробанк предпринял неординарную попытку улучшить его с помощью введения нового механизма контроля. Однако попытка оказалась недостаточно продуманной.

Банк России фактически попытался создать как бы дополнительную, относительно автономную контрольную службу, «вписав» ее, как мог, в уже действовавшие банковские структуры, в которых функция контроля формально определена и должна и может осуществляться. Возложив на эту отдельную службу решение всех задач внутреннего контроля, Банк России изначально допустил две концептуальные ошибки: во-первых, подошел к проблеме качества внутреннего контроля автономно, т.е. без должной ее увязки с более общей проблемой внутрибанковского управления; во-вторых, поставил перед банками не действительно важную задачу доведения формально существующих систем внутреннего контроля до работоспособного состояния, а задачу совсем иного рода — сформировать СВК, которая своим появлением только запутывала все.

В этой связи напомним, что в приводившемся ранее документе Базельского комитета говорится именно и только о системе внутреннего контроля, многократно подчеркивается, что в данной работе должны участвовать все подразделения и службы, руководство и все остальные сотрудники банков. Между тем вариант Банка России отождествлял всю систему такого контроля со службой контроля, которая дублирует функции ответственных исполнителей и тем самым мешает им выполнять свои функции, снижает ответственность, инициативность и оперативность работы остальных подразделений и их сотрудников, поскольку они должны согласовывать свои действия с СВК, что не только отнимает дорогое время, но противоречит основополагающим принципам науки управления, которая предусматривает четкое разделе-

ние полномочий и ответственности между должностными лицами, работающими на разных уровнях управления, и, наконец, фактически исключает из внутреннего контроля рядовых работников банков.

Контроль — лишь элемент, часть управления; он должен органично вписываться в систему управления, а не выступать в качестве самоцели и дополнения к ней. Когда такое происходит, страдает качество управления. Искусственное «встраивание» СВК, стоящей отдельно от текущей деятельности и ответственности банка, способно разрушить естественную систему управления и внутреннего контроля. Конфликтность ситуации здесь просто запрограммирована.

Итак, без явной пользы для дела создается целый штат «контролеров». Мало того, в предложенной Центральным банком схеме не была предусмотрена никакая ответственность ни СВК в целом, ни отдельных ее сотрудников за свои действия или бездействие. Таким образом, ошибкой Банка России оказалось возложение на СВК чрезмерно большого объема операционных функций в ущерб ее аналитической и методической ролям.

Новое Положение № 242 не копирует нормы прежнего Положения № 509 (в ряде моментов об этом можно только жалеть). Тем не менее в нем в значительной мере сохранена основная идеология последнего, проявляющаяся именно в дорогостоящем дублировании контрольных функций, в контроле над контрольными органами, в том числе высшими для данной организации. Эта ключевая проблема, как представляется, не находит приемлемого решения и в новом нормативном акте.

В соответствии с Положением № 242 банк обязан обеспечить постоянство деятельности, независимость и беспристрастность СВК, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.

СВК должна состоять из служащих, входящих в штат банка (в документе не уточнено, могут ли руководитель и сотрудники СВК заниматься в банке какой-либо другой работой кроме контроля). При этом не допускается передавать функции СВК банка сторонней организации. Только банк, входящий в банковскую группу, при определенных условиях может передать отдельные функции своей СВК (но не ответственность за их реализацию) службе внутреннего контроля другого банка, входящего в ту же группу.

Независимость СВК означает, в частности, что она действует под непосредственным контролем совета директоров (наблюдательного совета), не ведет никакой деятельности, подлежащей проверкам (кроме проверок со стороны аудиторской организации или совета директоров), по собственной инициативе докладывает совету директоров о вопросах, возникающих в ходе выполнения СВК своих функций, и предложения по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу КО.

Руководитель и служащие СВК не вправе участвовать в проведении банковских операций и других сделок, подписывать от имени банка платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми банк принимает риски, либо визировать такие документы.

Как уже отмечалось, в Положении записано, что СВК обязана проверять любое подразделение и любого сотрудника по всем направлениям деятельности банка, включая проверки эффективности мер, принятых подразделениями и органами управления по результатам первичных проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирования принятия руководством подразделения и/или органами управления решения о приемлемости выявленных рисков для банка. Если, по мнению руководителя СВК, руководство подразделения и/или органы управления взяли на себя риск, являющийся неприемлемым для банка, или принятые ими меры неадекватны уровню риска, то руководитель СВК обязан проинформировать об этом совет директоров банка.

Не реже одного раза в полгода СВК представляет информацию о принятых мерах по выполнению рекомендаций СВК и устранению выявленных ею нарушений совету директоров, единоличному исполнительному органу (его заместителям) и/или коллегиальному исполнительному органу банка.

К Положению имеются приложения, из которых можно отметить:

1. Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации;

2. Перечень основных вопросов, связанных с осуществлением внутреннего контроля, по которым кредитная организация должна принять внутренние документы;

3. Основные способы (методы) осуществления проверок службой внутреннего контроля.

В частности, в приложении 3 названы следующие способы (методы) проверок, которые может применять СВК:

финансовая проверка (цель — оценка надежности учета и отчетности);

проверка соблюдения законодательства РФ (банковского, о РЦБ, по вопросам противодействия легализации доходов, полученных преступным путем, о налогах и сборах, др.) и иных актов регулирующих и надзорных органов, внутренних документов банка и установленных им методик, программ, правил, порядков и процедур (цель — оценка качества и соответствия созданных в банке систем обеспечения соблюдения требований законодательства РФ и иных актов);

операционная проверка (цель — оценка качества и соответствия систем, процессов и процедур, анализ организационных структур и их достаточности для выполнения возложенных функций);

проверка качества управления (цель — оценка качества подходов органов управления, подразделений и служащих банка к рискам и методам контроля за ними в рамках поставленных целей деятельности банка).

Наконец, нельзя не отметить, что в новом Положении: не прописаны принципы организации внутреннего контроля (в Положении № 509 назывались определенные принципы, хотя некоторые из них были спорными); не выделены отдельно цели и задачи внутреннего контроля (в Положении № 509 они разделялись, хотя сделано это было не лучшим образом); исчезли понятия финансового и административного контроля, контроля предварительного, текущего и последующего, а также контроля на трех уровнях — индивидуальном (уровень сотрудника), микро- и макроуровне.

О контроле в целях противодействия легализации через банки доходов, полученных преступным путем

В соответствии с Законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 7 августа 2001 г. №115-ФЗ банк обязан выявлять операции своих клиентов с денежными средствами и/или иным имуществом, подлежащие обязательному контролю на основании данного Закона, связанные с легализацией доходов, полученных преступным путем, и финансированием терроризма, и сообщать о таких операциях уполномоченному органу, каковым до последнего времени являлся Комитет РФ по финансовому мониторингу (КФМ).

В целях реализации банками указанной обязанности Банк России выпустил «Рекомендации по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (приложение к документу ненормативного характера от 28 ноября 2001 г. № 137-Т).

Во-первых, в этих рекомендациях Банк России обязал кредитные организации разработать и утвердить в соответствии с порядком, установленным Правительством РФ1, Правила внутреннего контроля в целях противодействия легализации доходов, полученных преступным путем.

Центральной частью таких Правил должны быть программы осуществления указанного специфического контроля, а именно: программа идентификации и изучения банком своих клиентов; программа выявления в деятельности клиентов операций, подлежащих обязательному контролю в соответствии с Законом; программа проверки информации о клиенте или операции клиента для подтверждения обоснованности или опровержения подозрений в легализации им преступных доходов; программа документального фиксирования информации, указанной в ст. 7 Закона; программа хранения соответствующей информации и документов; программы обучения сотрудников по вопросам противодействия легализации доходов, полученных преступным путем; программа, в которой определен порядок отказа банка от заключения договоров банковского счета (вклада) с физическими и юридическими лицами и отказа от выполнения распоряжений клиента об осуществлении операции; программа, в которой определен порядок приостановления операций клиента; иные программы внутреннего контроля в целях противодействия легализации доходов преступного происхождения.

Во-вторых, ЦБ «рекомендовал» банкам ввести специальную должность ответственного сотрудника, который бы отвечал за разработку и реализацию указанных

См.: Положение «О комитете РФ по финансовому мониторингу» (утверждено постановлением Правительства РФ от 2 апреля 2002 г. № 211); постановление «О порядке утверждения правил внутреннего контроля в организациях, осуществляющих операции с денежными средствами или иным имуществом» от 8 января 2003 г. № 6; Положение «О представлении информации в Комитет РФ по финансовому мониторингу организациями, осуществляющими операции с денежными средствами или иным имуществом» (утверждено постановлением Правительства РФ от 17 апреля 2002 г. № 245).

выше Правил внутреннего контроля и программ его осуществления, а также иных внутрибанковских мер в тех же целях. Данный ответственный сотрудник должен быть независим в своей деятельности от других структурных подразделений банка и подотчетен только руководителю банка. Банкам также «разрешается» определить или сформировать структурное подразделение по противодействию легализации преступных доходов, которое бы на основании специального Положения работало под руководством ответственного сотрудника.

При этом в «Рекомендациях...» ЦБ подчеркивается, что осуществление функций названного ответственного сотрудника относится к его исключительной компетенции, хотя такое лицо может выполнять в банке и иные функции (за исключением функций, возложенных на СВК), но только при условии, что он не имеет права подписывать от имени банка платежные и бухгалтерские документы, иные документы, связанные с возникновением прав и обязанностей банка, их осуществлением и исполнением, а также визировать такие документы (кроме документов по вопросам, относящимся к исключительной компетенции данного ответственного сотрудника).

По данной проблематике см. также следующие документы Банка России:

• письмо «Методические рекомендации по вопросам организации работы по предотвращению проникновения доходов, полученных незаконным путем, в банки и иные кредитные организации» от 3 июля 1997 г. № 479;

• письмо «О Вольфсбергских принципах» (приложение 2 «Всеобщие директивы по противодействию «отмыванию» доходов в частном банковском секторе (Вольфсбергские принципы)») от 15 февраля 2001 г. № 24-Т;

• Положение «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных в... Законе «О противодействии легализации... доходов, полученных преступным путем, и финансированию терроризма» от 20 декабря 2002 г. № 207-П;

• письмо «Об исполнении... Закона «О противодействии легализации... доходов, полученных преступным путем, и финансированию терроризма» от 20 января 2003 г. № 7-Т;

• письмо «О применении к кредитным организациям мер принуждения за нарушения законодательства о противодействии легализации... доходов, полученных преступным путем, и финансированию терроризма» от 11 августа 2003 г. № 117-Т;

• Положение «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации... доходов, полученных преступным путем, и финансированию терроризма» от 19 августа 2004 г. № 262-П;

• письмо «Об осуществлении Банком России контроля за исполнением кредитными организациями (их филиалами)... Закона «О противодействии легализации... доходов, полученных преступным путем, и финансированию терроризма» от 19 августа 2004 г. № 103-Т.

• Методические рекомендации по проведению проверок соблюдения кредитными организациями требований законодательства РФ и нормативных актов Банка России в области противодействия легализации... доходов, полученных преступным путем, и финансированию терроризма (приложение к письму от 6 апреля 2005 г. № 56-Т).