Надзорные органы в системе внутрибанковского контроля и аудита

В ходе аудиторской  проверки необходимо также установить действующую в банке систему  доступа к секретным сведениям  и мерам безопасности. Доступ к  конфиденциальным документам осуществляется на основании списка исполнителей на документе, который подписан руководителем  банка или руководителем подразделения, отвечающего за охрану конфиденциальности. При этом необходимо проверить, соблюдаются  ли необходимые условия охраны конфиденциальности. Из всей банковской документации должны быть выделены строго конфиденциальные и особо конфиденциальные документы. В нормативном документе банка  о порядке доступа к конфиденциальным сведениям должны быть определены технологии доступа и к компьютерной информации (включая магнитные носители, программы, файлы и т.п.). 

2.2 Информация и система  ее передачи. Информационная  политика 

Система внутреннего  контроля базируется на должной информационной политике, которая предполагает своевременность, надежность и доступность информации по направлениям деятельности кредитно-финансовой организации. Эта информация включает в себя сведения о результатах  деятельности кредитной организации, о соблюдении установленных требований нормативно-правовых актов, стандартов саморегулируемых организаций (для  профессиональных участников рынка  ценных бумаг), учредительных и внутренних документов кредитной организации. Форма представления информации определяется с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной  организации). Банки самостоятельно должны разрабатывать режим управления информационной деятельностью, включая  порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от ее использования  в личных целях.

Особое значение в рамках информационной политики имеет  своевременное предоставление руководству  банка, руководителям подразделений  и комитетов полной и достоверной  информации о проводимых операциях, уровне эффективности операций, выполнении лимитов и пр. В банках, как  правило, существует пакет так называемой управленческой отчетности, которая  предназначена для внутреннего  пользования руководством банка  и необходима при принятии решений  и оценке рисков, возникающих в  деятельности кредитной организации.

Эффективная система  внутреннего контроля требует наличия  адекватной и всеобъемлющей информации финансового, операционного характера  и сведений о соблюдении установленных  нормативных требований, а также  поступающей извне рыночной информации о событиях и условиях, имеющих  отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.

А также система  внутреннего контроля требует наличия  надежных информационных систем, охватывающих все основные виды деятельности банка. Такие системы, включая электронные, должны находиться под независимым  контролем и в отношении них  должны быть разработаны соответствующие  мероприятия по поддержке при  чрезвычайных обстоятельствах.

Эффективная система  внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой  информации до соответствующих сотрудников.

Использование внешних источников (аутсорсинг) во внутреннем аудите.

Договоренность  об аутсорсинге внутреннего аудита представляет собой контракт между  учреждением и продавцом услуг  по внутреннему аудиту из внешнего источника.

С одной стороны, аутсорсинг деятельности по внутреннему  аудиту, особенно когда он осуществляется на ограниченной и конкретно ориентированной  основе, может принести банкам значительную выгоду, такую, как доступ к специализированной экспертизе и опыт при специальной  аудиторской проверке объекта, которые  отсутствуют в организации. С  другой стороны, аутсорсинг может представлять риск для банка, такой, как утрата или ослабление контроля над деятельностью  внешнего провайдера внутреннего аудита. Этими рисками следует управлять  и вести их мониторинг. Более того, аутсорсинг может негативно повлиять на полномочия надзорного властного  органа по сбору информации или повлечь  изменения способа осуществления  аутсорсинговой деятельности. Аутсорсинг такого ключевого вида банковской деятельности, как внутренний аудит, может привести к размыванию сущности банковской лицензии. Аутсорсинг во внутреннем аудите. Независимо от использования аутсорсинга во внутреннем аудите совет директоров и менеджмент старшего звена несут  конечную ответственность за обеспечение  адекватного и эффективного функционирования службы системы внутреннего контроля и внутреннего аудита.

В некоторых  странах требуется, чтобы департамент  внутреннего аудита был достаточно компетентным для анализа ключевых видов деятельности банка и оценки функционирования, эффективности внутреннего  контроля над этими видами деятельности и отдачи от него. Однако общепринято, что внешний эксперт может  осуществлять некоторые проверки, по которым департамент внутреннего  аудита некомпетентен (или недостаточно компетентен). Тем не менее приводимые ниже факторы относительно аутсорсинга  во внутреннем аудите также применимы  к этому случаю. Кроме того, главе  департамента внутреннего аудита следует  проследить, когда это целесообразно, чтобы вклад экспертных знаний интегрировался в деятельность его департамента, возможно, путем участия одного или  нескольких его сотрудников в  работе внешнего эксперта.

В других странах  банки могут использовать продавца аутсорсинговых услуг для выполнения практически всей работы по внутреннему  аудиту. Тогда главой внутреннего  аудита учреждения надо назначать опытного сотрудника старшего звена и иметь  небольшой персонал в этом подразделении. Продавец аутсорсинговых услуг содействует  персоналу в определении анализируемых  рисков, дает рекомендации и осуществляет процедуры аудита в том виде, в котором они были одобрены главой департамента внутреннего аудита, и докладывает о своих выводах совместно с главой департамента по внутреннему аудиту либо всему совету, либо его комитету по аудиту. Однако во многих, если не в большинстве стран для крупного, активного на международной арене банка было бы необычным прибегать к аутсорсингу во всей деятельности внутреннего аудита или в ее значительной части.

В некоторых  странах от продавца услуг по аутсорсингу  требуется во всех отношениях быть независимым от внешнего аудитора или  от фирмы или группы последнего. В других странах разрешаются  договоренности об аутсорсинге с  той же фирмой или группой по внешнему аудиту, которая осуществляет аудит  финансовой отчетности. Однако, поскольку  подобная договоренность может на деле скомпрометировать независимость  внешнего аудитора или создать видимость  этого, банкам в этих странах следует  обращаться к руководству по независимости, выпущенному соответствующими профессиональными  органами внешних бухгалтеров, или  банковскими надзорными органами, или  другими властными правительственными органами.

Продавцом аутсорсинговых услуг должна быть компетентная, финансово  надежная фирма с соответствующими знаниями и экспертным опытом.

Хорошей практикой  является заключение письменного контракта  между банком и продавцом услуг  по аутсорсингу. Менеджменту старшего звена следует создать условия  для того, чтобы банк заключил долгосрочный контракт с продавцом услуг по аутсорсингу, имеющим (с учетом характеристик  этого банка) необходимую профессиональную компетенцию.

В контракте  должны определяться задачи и обязанности  продавца аутсорсинговых услуг. В контракте  должно недвусмысленно предусматриваться, что менеджменту старшего звена  необходимо выразить свое предварительное  одобрение анализа рисков, выполненного продавцом аутсорсинговых услуг, и  составленного плана.

В контракте  также должно оговариваться, что  менеджмент старшего звена или его  представитель(и), внешний аудитор(ы) или его представитель(и) и надзорный  властный орган в любой момент имеют доступ к записям продавца аутсорсинговых услуг, касающимся его  задач, в том числе к его  рабочему плану аудита и к рабочим  документам.

В контракте  должно предусматриваться, что продавец аутсорсинговых услуг обязуется  использовать все требуемые ресурсы  для эффективного выполнения своих  задач по плану аудита. Должен составляться протокол на случай изменения условий  контракта, особенно при расширении работы по аудиту (если выявляются серьезные  проблемы).

Когда учреждение заключает соглашение об аутсорсинге, увеличиваются его операционные риски. Надзорные органы рассчитывают на то, что банки будут анализировать  воздействие аутсорсинга во внутреннем аудите на их общий профиль рисков и на систему внутреннего контроля банка. В случае неожиданного расторжения  соглашения учреждению следует иметь  план, рассчитанный на непредвиденные обстоятельства. С учетом наличия  ряда возможных альтернативных поставщиков  в сфере внутреннего аудита в  плане, рассчитанном на непредвиденные обстоятельства, чаще всего будет  говориться об альтернативном продавце. В связи с тем, что новому продавцу потребуется время, банку придется рассмотреть необходимость временно увеличить свои собственные возможности  в области внутреннего аудита.

Аутсорсинг внутренней аудиторской деятельности в мелких банках. Общепринято, что в некоторых  мелких банках, в которых размеры  и масштабы рисков не оправдывают  поручение проводить внутренний аудит по крайней мере одним сотрудником  на полной ставке, вся деятельность по внутреннему аудиту может осуществляться внешним провайдером. Все принципы, касающиеся внутреннего аудита, остаются применимыми в случае, когда внутренний аудит осуществляется внешним провайдером.

В таких обстоятельствах  менеджмент старшего звена несет  ответственность за выполнение рекомендаций аудиторской проверки и за определение  ответственного за их осуществление. 

2.3 Практика организации  системы внутреннего  контроля в российских  банках 

В российской практике основные требования по содержанию и  организации системы внутреннего  контроля изложены в Положении Банка  России N 242-П "Об организации внутреннего  контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П).

Система внутреннего  контроля, согласно Положению N 242-П, - это  совокупность системы органов и  направлений внутреннего контроля. В соответствии с международной  практикой Положением N 242-П предусматривается, что система органов внутреннего  контроля состоит из органов управления, а также подразделений и служащих, выполняющих функции в рамках системы внутреннего контроля. Направления  внутреннего контроля включают:

-контроль органов  управления за организацией деятельности  кредитной организации;

-контроль за  функционированием системы управления  банковскими рисками и оценку  банковских рисков;

-контроль за  распределением полномочий при  совершении банковских операций  и других сделок;

-контроль за  управлением информационными потоками  и обеспечением информационной  безопасности;

-постоянный  мониторинг системы внутреннего  контроля.

В соответствии с Базельскими принципами Банк России устанавливает в Положении N 242-П  требование наличия у всех кредитных  организаций эффективной системы  внутреннего контроля, не регламентируя  конкретно порядок ее построения. Главное - система внутреннего контроля должна соответствовать характеру  и сложности деятельности банка  и принимаемым им рискам. Для менеджмента  важно распределить ответственность  между различными подразделениями, встраивая контроль в их текущую  деятельность, и знать, где и какой  контроль установлен и насколько  эффективно работает.

Выбор наиболее эффективных методов и технологий внутреннего контроля определяется целями и видами деятельности банка, окружающей средой и соответствующим  набором неотъемлемых рисков, поэтому не обязательно поручать осуществление всех процедур контроля отдельно выделенному подразделению. Система внутреннего контроля должна разрабатываться с учетом специфики деятельности банка, так как единой системы управления рисками, которая подходила бы для всех кредитных организаций, не существует. Банки самостоятельно формулируют политику в отношении риск-менеджмента, критериев оценки, методик идентификации, контроля и управления рисками.

В Положении N 242-П  нашли отражение многие из международных  стандартов профессиональной деятельности внутренних аудиторов, применяющихся  в международном банковском сообществе, но, поскольку профессиональные стандарты  внутреннего аудита находятся в  постоянном развитии и имеют большую  детализацию, чем дано в Положении, целесообразно было бы указать в  этом Положении на наличие таких  стандартов, что дало бы банкам более  широкий инструментарий для решения  поставленных задач. В то же время  отдельные концепции профессиональных стандартов деятельности внутренних аудиторов  были не полностью учтены в Положении N 242-П, что вызывает некоторое несоответствие, в частности в вопросах отчетности.