К вопросу о стандартизации процессов управления рисками и внутреннего контроля
Авторегулирование свидетельствует создание отраслевых и опытных стандартов, предъявляющих унифицированные минимальные требования к продукции и деятельности банка. // А.В. Акулов, Д.В. Малыхин, Н.Е.
Малюта, Н.Н. Рыжих. «Управление в кредитной организации» № 1(35)/2007
Стратегией развития финсектора РФ на период до 2008 года[1по поводу предусматривается развитие авторегулирования в банковской отрасли. Авторегулирование, в первую очередь, свидетельствует создание отраслевых и опытных стандартов, предъявляющих унифицированные минимальные требования к продукции и деятельности банка. Такие стандарты, вероятнее, должны быть более твёрдыми в некоторых качествах, чем требования национальных регуляторов (в т.ч.
ЦБ РФ), потому, что темпы развития законодательства, в большинстве случаев, отстают от хозяйственной практики. Одновременно с этим, при твёрдой стандартизации силами отраслевых и опытных саморегулируемых организаций (СРО), как ожидается, будет учитываться многообразие моделей функционирования разных банков в зависимости от сложности, масштаба, других факторов и региона деятельности, воздействующих на выбор менеджментом банка конкретных схем организации управления. В данной статье предлагается последовательность принципиальных мыслей по организации разработки стандартов управления рисками и внутреннего контроля, с учетом длящегося дискуссии в банковском сообществе.[2]
Неспециализированные мысли о подходе к стандартизации процессов.
Необходимость увеличения эффективности управления рисками и внутреннего контроля в русском банковской совокупности есть на сегодня очень актуальной проблемой. И совсем не новой: задача организации строжайшего и контроля и всенародного учёта за распределением и производством продуктов ставилась органами управления страной еще в 1918 г.[3] Само собой разумеется, с того времени очень многое изменилось: научно-технический прогресс, интернациональные и социальные процессы создали способы производства и новые средства, вовлекли более широкие веса людей в управление капиталами, изменилось интернациональное разделение труда и большое количество второе.
Взяла методология управления и серьёзное развитие корпорациями. Тем более необычным выясняется, что многих сотрудников до сих пор нужно убеждать в том, что без контроля и надлежащего учёта не может быть и речи о увеличении, в общенациональном масштабе, производительности труда. Для обеспечения высокой скорости роста и устойчивой тенденции русском финансовой системы ответствен не только количественный, но и качественный рост.
Улучшение качества работы банков должно включать в себя множество направлений, среди них и увеличение качества управления. Переход совокупности управления банком от структурно-функциональной к процессно-ролевой технологии требует трансформации подходов к построению совокупностей внутреннего контроля. При переходе к процессному управлению появляются своеобразные требования к контролю, управлению рисками, изменяется процесс планирования.
Эти нюансы перехода нужно понять как самим банкам, так и регулирующим органам.
Последовательность материалов, представленных для дискуссии на конференциях и в прессе, кое-какие нормативные акты ЦБ РФ, подготовленные аналитиками и методологами, настораживают экспертов-практиков, трудящихся конкретно в «объектах стандартизации» и в далеком прошлом уже самостоятельно осуществляющих локальные программы стандартизации. Разногласия между «практиками» и «теоретиками» лежат, как нам представляется, в двух областях: а) недостаточное и/либо непоследовательное признание широкого международного практического опыта в области управления рисками и б) излишние формализация и детализация регулирующими органами требований к внутренним процессам.
Что именно стандартизуем: процессы управления рисками либо уровень качества продукции?
самый важный вопрос, появляющийся в связи с адаптацией практического опыта, может показаться не совсем очевидным. С позиций регулятора, защищающего интересы кредиторов и широкого круга инвесторов, основное – стандартизировать продукт, генерируемый кредитной организацией, т.к. все услуги всех банков должны иметь минимально гарантированное уровень качества, которое неимеетвозможности самостоятельно проверить неумелый потребитель банковских одолжений.
И эта позиция конкретно согласится банковским сообществом. Но в случае если те же подходы, что используются к стандартизации качества продуктов, регулятор либо СРО использует к стандартизации некоторых внутренних процессов, это встречает отторжение у сотрудников банков.
Очевидно, внутренние и внешние стороны банковской деятельности взаимосвязаны, и во многих случаях практикой уже выработаны такие однотипные решения по управлению внутренними процессами, что регулятор может ожидать от банка применения конкретных схем управления а также советовать их. Но наряду с этим весьма необычными выглядят попытки навязать всем банкам конкретные способы управления внутренними процессами, применимые лишь для определенного узкого круга банков, или предложения ввести классификации и новые понятия, не подтвержденные практикой (к примеру, «организационные риски»[4]).
В обустройстве организационного тыла заинтересовано, в первую очередь, собственники и руководство банка, потому, что они оптимизируют в долговременном замысле затраты на управление и знают: уровень качества в менеджменте дает уровень качества на рынке[5]. Но навязывание определенной модели всем подряд лишает конкретную организацию свободы творчества.
Косвенным подтверждением сложности вопроса может служить то, к примеру, событие, что наука управления до сих пор не выработала единого методологического подхода к описанию процесса управления главной производственной деятельности, например, банка, и по большому счету – хозяйственного предприятия: экспериментируют не только любая страна, но и отрасль, организация. А в отношении корпоративного управления, управления рисками, внутреннего контроля таковой подход выработан на интернациональном уровне и в каждой конкретной стране, отрасли уточняется с учетом местных законодательства и особенностей.
Только сравнительно не так давно Университет управленческих бухгалтеров (CIMA) внес предложение первое универсальное описание процесса управления главной производственной (денежно-хозяйственной) деятельностью (business-governance), противопоставляя его второй части управления предприятием — процессу корпоративного управления (corporate governance).[6] Эти части управления предприятием преследуют различные, не смотря на то, что и связанные, цели: корпоративное управление – контролируемость бизнеса, хозяйственное управление – эффективность, результативность бизнеса. Процессы корпоративного управления, в большинстве случаев, имеют малое яркое влияние на объёмы и качество производства продукции, одолжений, и напротив, распределение полномочий между собственником и менеджментом, транспарентность отчетности практически не зависят от схемы организации главного производственного процесса[7].
Следовательно, в случае если мы (и опытное сообщество, и регулятор, и СРО) желаем стандартизовать процессы управления рисками и внутреннего контроля для русских банков, то нужно, в первую очередь,
- изучить широкий опыт стандартизации внутренних банковских процессов в других отраслях и странах, разработать замысел внедрения таких стандартов, совершить массовый всеобуч экспертов тех банков, каковые не имеют широких возможностей независимого доступа к интернациональной базе знаний (не требуется изобретать заново тот велосипед, что уже давно и исправно ездит),
- определить список качеств, неурегулированных конкретно в интернациональной практике либо по большому счету остающихся неформализованными, но актуальными,
- четко выяснить конечный список местных технологических и законодательных изюминок, каковые направляться учесть при адаптации западных стандартов (совершить «тюнинг» базисной модели велосипеда).
Актуальный для всех юрисдикций вопрос: эффективность контроля.
Различие целей процессов требует и разных подходов не только к описанию процессов, но и к оценке их эффективности, и тут отмечается вторая обстановка: способы оценки эффективности производственных ответов весьма развиты, а вот в области оценки эффективности контроля литературы совсем не большое количество, и тем более – в банковской отрасли. Вследствие этого, любая новая концепция оценки контроля перед ее внедрением должна быть шепетильно протестирована.
Такими концепциями оценки внутреннего контроля, к примеру, являются предложенные регулятором «Методические советы по проведению проверки организации внутреннего контроля в кредитных организациях» (Письмо ЦБ РФ от 24.03.2005 № 47-Т), и проект Стандарта качества организации внутреннего контроля в банках, презентованный АРБ в январе 2006 г. для дискуссии. Согласно нашей точке зрения, эти документы имеют последовательность недочётов, ограничивающих возможности применения.
С одной стороны, документы предполагают наличие определенных количественных оценок, что подразумевает их применение как инструментов сравнения (benchmarking) разных банков, показателей одного и того же банка в динамике и т. п. Иначе, эти оценки в значительной степени основаны на качественных суждениях, и наряду с этим отсутствуют четкие и объективные параметры, разрешающие с достаточной степенью однозначности классифицировать состояние внутреннего контроля на тех либо иных участках. Во многих случаях выговор сделан на исполнение чисто формальных, и одновременно с этим не в полной мере конкретизированных параметров (см. примеры).
————————————————————————————
Примеры 1 и 2 из Письма № 47-Т.
Приложение 1, таблица 1: «наличие тех либо иных документов, всецело / частично соответствующих установленным требованиям»
Приложение 1, таблицы 2-7: «оценки «да, полностью», «да, по большей части», «да, частично»
Пример 3 из проекта Стандарта качества организации внутреннего контроля в банках:
«Акты испытаний достаточно полные и подробные».
————————————————————————————
Сочетание указанных факторов ведет к тому, что полученные оценки полностью основаны не на объективных параметрах, а на экспертном суждении, достоверности и степень обоснованности которого прямо пропорциональна степени зрелости финансовой системы, опыту применения соответствующих практик, квалификации специалистов, осуществляющих оценку. Методика Письма № 47-т основана на анализе показателей оценки:
- Совокупности внутреннего контроля кредитной организации (П1);
- Деятельности работы внутреннего контроля (П2);
- Контроля за управлением информационными потоками и обеспечения информационной безопасности, испытаний, созданных кредитной организацией замыслов действий на случай непредвиденных событий (П3);
- Контроля за управлением банковскими рисками (П4);
- Контроля за распределением прав и обязанностей, согласования ответов, делегирования полномочий при совершении банковских операций (П5);
- Контроля за понятием информации и отчётов (П6).
Показатели рассчитываются на основании балльных и весовых оценок, выставляемых рабочей группой Банка России по ответам на вопросы, относящимся к этим показателям. Подход к значимости весов (Письмо № 47-Т, п.3.3 Приложения 2), основанный на степени формализации тех либо иных качеств организации совокупности внутреннего контроля в нормативных актах Банка России, кроме этого не может быть признан всецело соответствующим главным целям внутреннего контроля.
Данный подход не учитывает, что последовательность значительных сегментов совокупности внутреннего контроля в принципе не смогут быть регламентированы нормативными актами Банка России, потому, что относятся к внутренним нюансам деятельности (управленческая структура, организация бизнес-процессов) той либо другой кредитной организации. Помимо этого, подобный подход свидетельствует, по сути, приоритет формального наличия тех либо иных процедур над их результативностью. К примеру, соблюдения проверок лимитов и проведение отчётов (Письмо № 47-Т, Приложение 1, таблица 6) имеет вес 3, а их результативность – вес 1, не смотря на то, что как раз эффективность аналогичных мероприятий и обязана по идее означать более высокую оценку совокупности внутреннего контроля.
Наряду с этим регламентации по большей части подвержены нюансы, которые связаны с функциями совокупности внутреннего контроля по направлениям, в основном ориентированным на соблюдение пруденциальных норм. При подобном подходе в стороне остаются вопросы экономической эффективности совокупности внутреннего контроля, включая соотношение «затраты/результаты» в отношении осуществляемых механизмов внутреннего контроля. А кроме оценки со стороны надзорного органа, важна оценка состояния внутреннего контроля со стороны акционеров, менеджмента (как сторон, выделяющих соответствующие бюджеты на исполнение функций внутреннего контроля), потребителей одолжений (вступающих в подверженные риску отношения с банком, уровень которого они предпочли бы полагать более определенным, и желающих иметь уверенность, что принятые процедуры снабжают достаточное уровень качества сервиса).
Проект Стандарта создан АРБ с применением документа CoBIT, обрисовывающего полноценный бизнес-процесс управления информационными ресурсами. Стандарт включает понятие «зрелость процесса», степень зрелости варьируется по 6 уровням.
Как мы знаем, что внутренний контроль – не независимый процесс, существует сначала создания любой организации (наличие Устава организации предполагает уже минимальную совокупность внутреннего контроля) и кратко его цель формулируется следующим образом: «внутренний контроль действен, в случае если организация трудится так, как задумано хозяином, достигая поставленных целей». Каковы же критерии зрелости для того чтобы несамостоятельного процесса?
Как нам представляется, предложенные в проекте Стандарта критерии зрелости процесса внутреннего контроля не достаточно обоснованы. Увлекательная попытка оценить зрелости процессов и степень эффективности предпринята в работе отечественных сотрудников, изучавших статистику результатов операционных ответов одного большого банка с применением важного математического аппарата.[8] По всей видимости, без сложных математических расчетов не окажется совершить четкое разграничение уровней зрелости внутреннего контроля.
И в случае если такие расчеты будут проводиться, возможно предложить всего 3 уровня зрелости (либо уровня эффективности контроля): недостаточный, тождественный, и чрезмерный («перезрелый»). Различие между уровнями задается хозяином в виде затрат результатов и соотношения контроля на его проведение, и практически не зависит от наличия формальных подробности и документов описания нарушений в актах испытаний.
Отвечая на прошлый вопрос, мы хорошо подходим к второму вопросу: кто выяснит достаточность развития совокупности, в случае если хозяин сам еще не детализировал требования к совокупности? В интернациональной практике такую функцию делает внутренний аудитор, проводящий внутренние оценки адекватности контроля, осуществляемого менеджерами, и предоставляющий хозяину разумные обеспечения в том, что совокупность трудится в соответствии с задуманным замыслом.
В случае если же внутренний аудитор не находит консенсуса с контролируемым менеджером по вопросу об оценке адекватности принимаемых контрольных мер, кроме того при формальных противоречий, внутренний аудитор (руководствуясь опытными стандартами[9]) может принимать менеджерскую оценку риска (с последующим докладом вышестоящему управлению и анализом данной ситуации). В предложенных ЦБ РФ (напомним, не считая Письма № 47-т, ЦБРФ издал в 2003 г. Положение № 242-П[10направляться, регулирующее организацию внутреннего контроля в банках) и АРБ документах концепция менеджерской оценки риска кроме этого отсутствует.
Имеющийся потребность и опыт в стандартизации.
Одним из основных правил, каковые, согласно точки зрения авторов, нужно воплотить, есть реализация на практике декларируемого (совсем обоснованно!) Банком России положения, что компоненты совокупности внутреннего контроля должны соответствовать масштабам и характеру проводимых конкретным банком операций. Соответственно, модели организации совокупности внутреннего контроля не должны являться, образно выражаясь, проекциями одной и той же типовой строительной схемы, отличающейся только размерами, а содержать комплект типовых элементов, из которых возможно «собирать» разные по планировке строения.
Так, первая аналогия с целью проведения отраслевой стандартизации – отраслевые стандарты и строительство – СНиПы. СНиПы существуют в далеком прошлом и на интернациональном уровне, развиваются с развитием техвозможностей.
Еще пример из второй, но более близкой отрасли – внешнего аудита. Базисные (Федеральные) стандарты внешнего аудита, утверждаются Правительством РФ, но при их разработке использованы как источник Западные стандарты аудита. Аудиторские СРО наряду с этим издают собственные более детальные стандарты и реализовывают контроль качества работы аудиторских компаний.
При разработке первых федеральных стандартов была совершена огромная работа по четкому определению многих новых терминов, создан глоссарий.
Наконец, в банковской отрасли кроме этого имеется много примеров успешной стандартизации. В первую очередь, это относится оказываемых банками одолжений: по расчетно-кассовому обслуживанию клиентов (к примеру, Положения № 205-П, № 2-П), ведению интернет-сайтов банков, предоставлению потребительских кредитов (документ создан совместно с антимонопольной работой), и сравнительно не так давно изданная подробная инструкция по ведению депозитов и счётов клиентов (Инструкция № 28-И). Возможно привести и другие примеры.
Формально остаются не столь детально стандартизированы услуги банков по кредитованию юрлиц, вексельному обращению, совершению вторых операций, требования к документированию которых изложены конкретно в законодательных актах.
Что касается проводимой Банком России громадной и ответственной работы по стандартизации процессов управления рисками, внутреннего контроля, нерешенных вопросов остается все еще довольно много. Учитывая современное состояние нормативной базы корпоративного и банковского регулирования в Российской Федерации, применяемый в рассмотренных методиках понятийный аппарат кроме этого есть препятствием к адекватной оценке того, что и как обязана делать совокупность внутреннего контроля.
Последовательность главных качеств (в частности, полноценное разделение понятий «внутренний аудит» и «внутренний контроль», выделение функции «комплайенс», роль и место аудиторских комитетов в совокупности органов внутреннего контроля, требования к внешней оценке качества работы подразделений, осуществляющих внутренний аудит и внутренний контроль, результаты аналогичной оценки и др.), функционирования уровня и анализ развития которых есть одним из главных компонентов оценки совокупности внутреннего контроля, проектом Стандарта качества организации внутреннего контроля в банках, мягко говоря, не затронуты. Так, вопрос о развитии методики оценки совокупности внутреннего контроля есть одним из приоритетных и, при верной постановке вопросов, в качестве «обратной связи» может служить средством выработки и ускорения неспециализированного понимания того, что и как нужно развивать и настраивать в совокупности внутреннего контроля.
Следовательно, приводит к озабоченности, что при недостаточности развития методологической базы в августе 2006 г. Банком России предложен новый документ — проект Указания Банка России «Об оценке экономического положения кредитных организаций», предусматривающий классификацию кредитных организаций в одну из пяти групп.
Согласно точки зрения Банка России, классификация кредитных организаций обязана производиться по итогам оценок исполнения необходимых нормативов, денежной устойчивости (денежного положения, качества управления, прозрачности структуры собственности), наличия примененных в отношении кредитной организации мер действия. Наряду с этим, уровень качества управления Банк России определяет как совокупность совокупности управления рисками, совокупности управления и внутреннего контроля стратегическим риском.
Расчет соответствующих показателей в целом сходится с подобным расчетом по методике Письма Банка России № 47-Т, в частности: каждому ответу на вопрос присваивается балл и вес. Ответственным, согласно нашей точке зрения, представляется тот факт, что присваиваемый ответу балл зависит только от наличия либо отсутствия фактов применения Банком России мер действия по отношению к кредитной организации.
Так, мы сталкиваемся с подходом оценки совокупности состояния внутреннего контроля на основании формальных показателей. А ведь нередкими являются случаи, в то время, когда результаты применения аналогичной методики оценки демонстрируют самый хороший итог, тогда как фактическое состояние совокупности внутреннего контроля кредитной организации есть неудовлетворительным. Более того, такая кредитная организация может воображать настоящую угрозу стабильности финансовой системы.
Инструментарий.
Одним из самые существенных качеств, без которых сопоставление и оценка разных качеств совокупности внутреннего контроля являются проблематичными, направляться признать необходимость определения базовой терминологии, на базе которой было бы вероятно «разложить на составляющие» в терминах процедур и компонентов внутреннего контроля функционал и любую структуру управления бизнес-процессов.
На данный момент разными организациями создан последовательность стандартов (standards) или концепций (frameworks), разрешающих оценить разные нюансы совокупности внутреннего контроля, и, во многих случаях, совокупность в целом.
Очевидно, направляться отметить документы, подготовленные Базельским комитетом по банковскому надзору, включая, но и не ограничиваясь следующим перечнем:
l “The International Convergence of Capital Measurement and Capital Standards: a Revised Framework” (BCBS 118) – «Базель 2»
l “Framework for Internal Control Systems in Banking Organisations” (BCBS 40)
l “Internal Audit in Banks and the Supervisor’s Relationship with Auditors” (BCBS 84)
l “Compliance and the Compliance Function in Banks” (BCBS 113)
l “Sound Practices for the Management and Supervision of Operational Risk” (BCBS 96)
Эти документы, среди них и благодаря переводу на русский язык (первые три – Банком России[11], четвертый – авторами данной статьи[12]) легендарнырусскому банковскому сообществу и в значительной мере употребляются в качестве собственного рода «дорожной карты» при построении совокупности управления и внутреннего контроля рисками.
Громадный пласт вопросов, связанных со стандартизацией, как процессов, так и продуктов по разным отраслям, конечно же, представлен в документах Интернациональной Организации по Стандартам (ИСО). Для банков, например, в контексте данной статьи, воображают интерес стандарты, обрисовывающие требования к совокупности контроля качества. Последовательность русских банков уже прошли процедуры стандартизации собственных совокупностей по этим стандартам, но подобная практика до тех пор пока еще не распространена.
Среди вторых важнейших и глобально признанных документов по этому направлению нужно выделить COBIT, SAC, COSO and SAS 55/78, сравнительный анализ которых разрешает сделать выводы о том, какие конкретно элементы, нужные для оценки и построения совокупности внутреннего контроля, определенно должны находиться (см. приложение 1). Справедливо отмечается, что, не обращая внимания на последовательность различий (обусловленных, в первую очередь, целевой аудиторией и назначением соответствующих документов), по последовательности самые существенных качеств отмечается рвение к применению в каждом из элементов и документов идей, представленных в остальных документах/
Так, отмечается отчетливая и обоснованная конвергенция, которая разрешает с определенной степенью оптимизма сделать вывод о том, что неприятность инструментария (собственного рода стандартизованных «строительных блоков» для построения строений разных планировок) в принципе решаема. Ниже приведены главные, по нашим расчетам, составляющие, каковые нужны для создания интегрированной модели оценки совокупности внутреннего контроля.
1. Составные компоненты совокупности внутреннего контроля.
Анализ указанных документов говорит о том, что в значительных качествах определение компонентов совокупности внутреннего контроля (в частности, в документе Базельского комитета «Внутренний контроль в банках: базы организации» (BCBS 40), в стандартах SAS 55/78) основано на определении, сформулированном COSO в 1992 г., которое определяет следующие компоненты совокупности внутреннего контроля:
l Контрольная среда
l Оценка Контрольные
процедуры и риска
l коммуникации и Информация
l Мониторинг
Указанный компонентный комплект конкретизируется в зависимости от соответствующих целей внутреннего контроля (операционные, денежные, комплайенс) и направлений проверки (функции, подразделения) каковые являются соответствующие слои «куба COSO». Так, применительно к информации, содержащейся в денежной отчетности, стандарт SAS 55/78 определяет, как указанные компоненты должны снабжать тождественный уровень контроля за подготовкой денежной отчетности.
2. Критерии, в отношении которых должна быть выяснена эффективность совокупности внутреннего контроля.
Характерные примеры из вышеприведенных стандартов и концепций:
l Применительно к информации, применяемой бизнесом, COBIT определяет в качестве главных параметров следующие: эффективность; экономическая оправданность затрат; конфиденциальность чувствительной информации; целостность; доступность; соответствие содержания требованиям внешнего и внутреннего регулирования; надежность;
l Применительно к денежной отчетности, в соответствии с SAS 55/78, результатом есть разумная степень уверенности в достоверности аудиторских суждений в отношении последовательности компонентов денежной отчетности.
3. Глоссарий.
Должен быть достигнут консенсус в отношении последовательности главных определений, потому, что в другом случае нереально будет обеспечить сопоставимость результатов оценки.[13]
l Внутренний контроль;
l Внутренний аудит;
l Комплайенс;
l Разумная степень уверенности.
4. Процедуры, основанные на уровне и процессах их развития.
Проект Стандарта качества организации внутреннего контроля в банках предполагает подход в целом верный, но список процессов, в отношении которых нужно определять уровень внутреннего контроля, согласно нашей точке зрения, должен быть приближен к компонентам, включенным в структуру «куба COSO».
5. Совокупность целевых показателей (scorecards) применительно к процессам.
6. Уникальность роли внутреннего аудита.
Одним из главных источников оценки совокупности внутреннего контроля являются результаты внутреннего аудита. Обычная схема, по которой возможно организована процедура оценки, основана на взвешенной оценке данных внутреннего аудита, внешнего аудита, надзорных органов, результатов самооценки. Информация возможно или заблаговременно организована в виде соответствующих вопросников (рабочие документы внутреннего аудитора, вопросники для самооценки, согласованная с внешним аудитором программа оценки), или сгруппирована по соответствующим направлениям по итогам анализа данных испытаний внешних надзорных органов.
Стихийная стандартизация.
Обратимся к второму корпусу документов, публикаций по аудиту и внутреннему контролю с целью о создания самоё полного представления об источниках: диссертации, пособия и учебники для студентов Институтов, традиционно делающие функцию методической базы для проектов внутренних нормативных документов.
На данный момент в Российской Федерации существует довольно много работ, посвященных методологии контроля и формированию концепции, оценке эффективности совокупности внутреннего контроля, внутреннему контролю в российских денежных университетах, ревизии и внутреннему аудиту (см. сноски по тексту статьи и дополнительно приложение 2). направляться подчернуть, что большинство работ издана в 1996-2001 гг., воображая собой важную базу для детального изучения тематики внутреннего контроля.
К сожалению, во многих работах методика не актуализирована в соответствии с современными интернациональными и русскими тенденциями в области функционирования и создания действенной совокупности внутреннего контроля. В частности, не употребляются наработки проекта ТАСИС по реформе русского сектора аудита (в т.ч. внутреннего аудита[14]), а стандарты интернациональных опытных ассоциаций незаслуженно отодвигаются на периферию методологической базы.
направляться отметить последовательность работ (к примеру, работы Назаровой М.А. и ранееупомянутая статья Елина А.И. и Кобозева И.К.), авторы которых раскрыли изюминке применения математических способов при осуществлении оценки эффективности совокупности внутреннего контроля. Применение родных методик мы замечаем сейчас при изучении нормативных актов Банка России, в то время, когда во многих случаях расчет эффективности базируется на несложных математических моделях.
Увлекательным представляется пятилетний опыт разработки стандартов для группы банков (по большей части, в группе представлены банки «второго эшелона») силами неформального опытного сообщества внутренних аудиторов и контролёров форума Банкир.Ру, в рамках которого и в сотрудничестве с Университетом внутренних аудиторов создано большое количество программ проверок – и типовых документов регламентов, практически создан прообраз саморегулируемой опытной ассоциации,[15] совершены более 20 круглых столов и подготовлена серия статей, разъясняющих изюминки применения интернационального опыта, терминологии в русском практике.
Возможности.
Остается выразить пара пожеланий к опытному сообществу в отношении того, какие конкретно направления предстоящей работы по стандартизации представляются нам самые актуальными.
Прежде всего это классификация рисков и оценка состояния внутреннего контроля. Притом, что ЦБ РФ четко выразил собственный вывод в Письме «О обычных банковских рисках» № 70-т и последовательности вторых документов, многие организации, в т.ч. надзорные органы, применяют личные классификации, основанные на иных концептуальных подходах к корпоративному управлению. Представляется разумным, дабы все российские регуляторы, по примеру интернациональных ассоциаций, подготовили интегрирующий документ в данной сфере.
Нужно организовать работу по переводу на русский язык бессчётных документов интернациональных профессиональных ассоциаций и регуляторов, и на базе таковой работы составить неспециализированный официальный российский глоссарий денежных и управленческих терминов, что разумеется, будет пользоваться огромным спросом у учебных центров и финансовых организаций.
По всем нормативным документам Банка России возможно создать анкеты для самооценки банками свойства внутренних совокупностей делать требования регулятора (подобно тому, как сделано сравнительно не так давно по операционным рискам), что существенно облегчит работу менеджеров банка, внутренних и внешних аудиторов, и инспекторов ЦБ РФ.
Учитывая, что Положение № 242-П действует уже 2 года, Банк России имел возможность бы совершить обобщающий анализ (обезличенный, очевидно, без наименований конкретных банков) сведений, представленных банками в отчетах о состоянии внутреннего контроля (ежегодная форма 639), и на базе этого анализа предложить банковскому сообществу собственного рода усредненную модель совокупности управления рисками и внутреннего контроля российского банка[16]. Таковой документ стал бы самым лучшим и универсальным стандартом на ближайшие пара лет для всей финансовой системы страны, сэкономил бы сообществу средства и время, каковые возможно будет направить на более продуктивные занятия.
Приложение 1. Сравнение концепций внутреннего контроля: COBIT, SAC, COSO и SAS 55/78[17]
См. полный текст http://www.bankir.ru/analytics/svk/216/71629
Внутреннее и внешнее давление мотивирует бухгалтерских работников, аудиторов, менеджеров, юристов к продолжению повышения и развития качества концепций внутреннего контроля. Известность взяли пара документов, изданных с целью определения, оценки, усовершенствования и описания внутреннего контроля:
- Стандарт «Цели контроля при применении IT» (CoBIT), созданный Ассоциацией контроля и аудита информационных совокупностей ISACA[18] (the Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology),
- Доклад «аудит и Контроль совокупностей» (SAC), подготовленный Исследовательским фондом Университета внутренних аудиторов (the Institute of Internal Auditors Research Foundation’s Systems Auditability and Control),
- Доклад «Внутренний контроль: интегрированный подход» (COSO), подготовленный Комитетом спонсорских организаций Рабочей группы Тридуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal control – Integrated Framework),
- Указание о рассмотрении структуры внутреннего контроля при аудите денежной отчетности (SAS 55), утвержденное Американским Университетом дипломированных бухгалтеров (the American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее трансформациями (SAS 78).
Документ CoBIT (1996 г.) – это совокупность взоров, снабжающая хозяина бизнес — процесса инструментом для разумного и действенного выполнения его обязанностей по контролю информационных совокупностей, глобально одобренный сбор целей контроля, организованных в зоны и процессы и связанных с бизнес — требованиями к информации.
Документ SAC (1991 г., с трансформациями в 1994 г.) предлагает помощь внутренним аудиторам в вопросах аудита и контроля информационных технологии и систем, детальное управление о влиянии разных качеств информационной разработке на совокупность средств внутреннего контроля.
Документ COSO (1992 г.)[19] дает советы менеджменту по вопросам оценки, совершенствования и описания совокупностей контроля, воображает неспециализированное определение внутреннего контроля совершает упор на том, что средства внутреннего контроля оказывают помощь организациям достигнуть действенных и целесообразных операций, надежной соответствия и финансовой отчётности с правилами и применимыми законами. Документ снабжает управлением по оценке совокупностей контроля, по предоставлению внешней отчетности о внутреннем контроле, по проведению оценок совокупностей контроля. Документ COSO использован в качестве базы для BCBS 40.
Документы SAS 55 (1986 г.) и SAS 78 (1995 г.) дают указание внешним аудиторам относительно влияния внутреннего контроля на проведение и планирование аудита денежной отчетности организации, адаптируют 5 компонентов внутреннего контроля документа COSO, обсуждает влияние внутреннего контроля организации на проведения и планирование аудита денежной отчетности, обращается к связи между средствами внутреннего контроля и риском контроля.
Приложение 2. Кое-какие публикации, пособия и диссертации по внутреннему аудиту[20]
| создатель | наименование | год |
| Андреев Валерий Дмитриевич
| Внутренний аудит. Москва. статистика и Финансы. | 2003 |
| Андреев Валерий Дмитриевич | практика и Теория ревизии и внутреннего аудита в условиях предпринимательской деятельности на современном этапе экономического развития. дис. д-ра экон. наук : 08.00.12 ВЗФЭИ | 2000 |
| Барышников Николай Петрович | Практикум внутреннего и внешнего аудита | 2003 |
| Богомолов Александр Михайлович | Внутренний аудит: Словарь-справочник | 2002 |
| Бурцев Владимир Владимирович
| Совокупность внутреннего контроля коммерческой структуре. дис. канд. экон. наук : 08.00.12 МГУ им. М.В.Ломоносова | 1999 |
| Вишневецкий Владислав Юрьевич
| Оценка совокупности внутреннего контроля коммерческого банка свободными аудиторами. дис. канд. экон. наук : 08.00.12
Денежная академия при Правительстве РФ | 1998 |
| Володин Станислав Николаевич
| Аудиторская проверка филиалов в совокупности внутреннего контроля коммерческого банка. Дис. канд. экон. наук: 08.00.12
Русский экономическая академия им. Г.В. Плеханова | 2001 |
| Дунаева Вера Ивановна
| Внутренний аудит в коммерческом банке. дис. канд.экон.наук: 08.00.12 ВЗФЭИ | 2001 |
| Ерофеева Вера Арсентьевна
| внутренний аудит и Бухгалтерский учёт в совокупности управления организацией в условиях становления рыночных взаимоотношений. Учебное пособие. Университет экономики и финансов, С.-П-г. | 1995 |
| Закарая Жанна Варламовна | Внутренний контроль в коммерческом банке. дис. канд. экон. наук: 08.00.12 МГУ им. М.В.Ломоносова | 1998 |
| Замиусская Е.Р. | Внутренний аудит банка. В соавторстве с Кочмола К.В., Лазарева Н.А., Чубарова Г.П. | 1997 |
| Макоев Олег Солтанович | методика и Организация проведения внутреннего аудита в коммерческих структурах. Дис. канд. экон. наук: 08.00.12 ВЗФЭИ | 2001 |
| Максимова Галина Васильевна | Методика организации внутреннего контроля в управлении хозяйствующим субъектом. Дис. д-ра экон. наук: 08.00.05, 08.00.12 | 1999 |
| Молотков Олег Викторович
| Внутренний аудит пути и банка его совершенствования | 1998 |
| Назарова Мариетта Александровна
| Оценка эффективности совокупности внутреннего контроля с применением математических способов | 2002 |
| Образцов М.В.
| Внутренний контроль в русских банках — участниках фин.рынков | 1998 |
| Отажонов Бахтиер Омонбаевич
| методика и Организация финансового анализа и внутреннего аудита деятельности кредитных организаций. дис. канд. экон. наук: 08.00.12 МГУ им. М.В.Ломоносова | 2001 |
| Сотникова Людмила Викторовна
| аудит и Внутренний контроль: Учебник для студентов институтов, обучающихся по экономическим профессиям
| 2001 |
| Хассан Мохамед Раджаб
| Система внутреннего аудита для автоматизированных банковских совокупностей. дис. канд. техн. наук: 05.13.14 Азербайджанская гос. нефтяная академия | 2001 |
| Чая Георгий Владимирович
| Внутренний контроль в коммерческом банке. Дис. канд. экон. наук: 08.00.12 | 1996 |
| Щербаков Вячеслав Валерьевич
| Внутренний контроль в коммерческом банке: информационно-аналитический нюанс. дис. канд. экон. наук: 08.00.12 МГУ им. М.В. Ломоносова | 2001 |
[1] Совместное Центрального банка и заявление Правительства РФ от 5.04.2005, пункт 67
[2] Обсуждение активизировалось в 2005-06 г., по окончании проведения в 2005 и 2006 гг. конференций: «Увеличение функциональной роли финансовой системы через улучшение качества деятельности. Управление бизнес-процессами в кредитных организациях и Банке России» (организовано совместно ЦБ РФ и АРБ в г. Уфе), и «Организационные разработки в банке» (Москва)
[3] Ленин В.И. «Очередные задачи Советской власти», 1918 г. http://www.marxists.org/russkij/lenin/works/36-2.htm По всей видимости, возможно отыскать и другие, более ранние документы, в которых системно рассматривались главные экономические задачи власти, Что же, тем больше оснований для рассмотрения вопроса.
[4] Козлов А., Бурковская А., Космачев Д., Хмелев А. «Организационные риски». Аналитический банковский издание, №№ 7- 9, 2005 г.
[5] Пригожин А. «Рекомендации консультанта: С опаской: стандарты». «Ведомости» 14.12.2005, №235 (1516)
[6] «Enterprise Governance: Getting the Balance right». Chartered Institute of Management Accountants, 2004 г. www.cimaglobal.com
[7] См. подробнее в статье Michael Parkinson «A Strategy for Providing Assurance». KPMG Government (Australia). Издание Internal Auditor. декабрь 2004 г. Издание The IIA. www.theiia.org
[8] Елин А.И., Кобозев И.К., к.ф.-м. н. «Кое-какие подходы к оценке эффективности контрольных мероприятий в кредитных организациях» Контроллинг № 3, 2005 г. http://bankir.ru/analytics/svk/216/44073
[9] Интернациональные опытные стандарты внутреннего аудита. В редакции, вступившей в силу с 2004 г. Перевод на русский язык выполнен Университетом внутренних аудиторов. http://www.iia-ru.ru/
[10] Положение Банка России «Об организации внутреннего контроля в банковских группах и кредитных организациях» от 16.12.2003 № 242-П
[11] Письма Банка России «О советах Базельского комитета по банковскому надзору» от 13.05.2002 № 59-Т, от 10.07.2001 № 87-Т и рабочий вариант перевода «Базель II» на русский язык, размещенный на сайте Банка России
[12] Акулов А., Малыхин Д., Рыжих Н. «Кое-какие особенности организации комплайенс контроля в русских банках», Банки и Бухгалтерия, №№9, 10 за 2006 г. http://www.bankir.ru/analytics/svk/216/67032
[13] Подобная работа уже была проделана Национальной Фондовой Ассоциацией по стандартам управления рисками деятельности опытных игроков фондовой биржи
[14] См. данные о проекте ТАСИС («МСФО в Российской Федерации») в «Вестник АРБ», № 4, 2002 г. и статью Малыхина Д.В. «повышение и Подтверждение квалификации внутренних аудиторов и контроллеров банков». «банки и Бухгалтерия», №2, 2006
[15] Газиян С., Малыхин Д. «Внутренний аудитор: звучит гордо?!» http://www.bankir.ru/analytics/svk/216/51092
[16] Подробные предложения по совершенствованию нормативных документов по внутреннему контролю сделаны Университетом внутренних аудиторов по итогам изучения практики аудита и внутреннего контроля в банках http://www.bankir.ru/analytics/svk/216/37603, http://www.iia-ru.ru/doc/242p.doc
[17] Главное содержание доклада «Сравнение концепций внутреннего контроля», размещённого в «IS Audit and Control Journal», № IV, стр. 26-35, 1996 г. (Janet L. Colbert, Ph.D., CPA, CIA, и Paul L. Bowen, Ph.D., CPA. Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78). Полный текст доклада со сравнением стандартов приведен на Банкир.Ру отдельной статьей «Сравнение концепций внутреннего контроля» http://www.bankir.ru/analytics/svk/216/71629
[18] Ассоциация ISACA имеет российский филиал, см. www.isaca.ru. CoBIT использован в качестве базы для Стандарта информационной безопасности финансовой системы РФ (рекомендован ЦБ РФ).
[19] В 2004 г. COSO выпустил более неспециализированный документ «Управление рисками организации. Интегрированный подход» («COSO ERM», краткое содержание в переводе на русский язык, осуществленном «Делойтт», размещено на Банкир.Ру http://www.bankir.ru/analytics/svk/ отдельным документом). Документ 1992 г. есть составной частью документа 2004 г., и может в один момент употребляться как независимый документ.
[20] Очевидно, тут приведен далеко не полный перечень работ на тему «внутренний аудит в банках»
