Контроль в системе управления филиалом ЗАО «Банк Русский Стандарт»

Тем не менее  потребность в создании системы  менеджмента качества в российских банках на основе международных стандартов только растет. В первую очередь  в связи с интеграцией российской финансовой системы в мировое  сообщество, повышением запросов и  требований потребителей к банковским продуктам/услугам, обострением конкуренции  в банковском секторе и приходом на рынок крупных западных банков с высокими стандартами обслуживания.

В результате продолжающейся работы было выпущено несколько зарубежных документов, представляющих собой попытки определить, оценить, описать и усовершенствовать  внутренний контроль:

Документ COBIT (1996 г.) – это системный подход, обеспечивающий владельцев бизнес - процессов  инструментом для полного и эффективного исполнения его обязанностей по контролю за безопасностью информационных систем [53].

Документ SAC (1991 г.,1994 г.) предлагает поддержку внутренним аудиторам в вопросах контроля и  аудита информационных систем и технологии [52].

Документ COSO (1992 г.,1998 г., 2004 г.) дает рекомендации менеджменту  по вопросам оценки, описания и совершенствования  систем контроля [51].

Документы SAS 55 (1988 г.) и SAS 78 (1995 г.) дают руководства  внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации [54].

Сравнение пяти документов показывает, что каждый из них использует идеи предыдущих документов. COBIT включает материалы  первоисточников COSO и SAC. Определение  контроля по COBIT берется из COSO, а определение  целей ИТ контроля – из SAC. SAC включает концепции внутреннего контроля, разработанные в SAS 55, COSO использует концепции внутреннего контроля из обоих документов SAS 55 и SAC, а SAS 78 вносит изменения в SAS 55, отражая вклад COSO в концепцию внутреннего контроля. В частности, SAS 78 учитывает требование о согласованности концепций внутреннего контроля представленных в отчете COSO и SAS 55. Проанализируем 4 концепции (SAS 55/78 объединены в один) и представим в таблице 14 [34].

Таблица 2.9 - Краткое сравнение концепций контроля

Документы COBIT, SAC, COSO и SAS 55/78 дают определение внутреннему  контролю, описывают его компоненты и предусматривают инструменты  оценки. SAC, COSO и SAS 55/78 также предлагают варианты отчетности о проблемах  внутреннего контроля. COBIT дополнительно  предлагает всесторонний анализ реализации модели и обсуждение вопросов внутреннего  контроля. Хотя все 5 определений контроля содержат, по существу, одни и те же понятия, имеются некоторые различия. COBIT рассматривает внутренний контроль как процесс, который включает нормы, процедуры, приемы и организационные  структуры, поддерживающие бизнес - процессы и цели. SAC делает акцент на том, что  внутренний контроль – это система, то есть внутренний контроль – это  совокупность функций, подсистем и  людей и их взаимоотношений. COSO выделяет внутренний контроль как процесс, т.е. внутренний контроль должен быть составной  частью текущей бизнес - деятельности. Документы SAS 55/78, хотя и используют определение документа COSO, но делают акцент на надежности цели финансовой отчетности [34]. Люди – это часть системы внутреннего контроля. COBIT классифицирует людей (определенных как навыки сотрудников, осведомленность и продуктивность в планировании, организации, получении, поставке, поддержке и мониторинге информационных систем и услуг) как один из основных ресурсов, управляемый различными процессами информационной технологии. Участие людей становится более очевидным, когда возрастает количество документов [53]. SAC явно определяет людей как составную часть системы внутреннего контроля. COSO и SAS 55/78 отмечают, что люди, вовлеченные во внутренний контроль, - это члены совета директоров, менеджмент и другой персонал. Документы согласованно определяют, что менеджмент – это сторона, ответственная за создание, обеспечение и мониторинга системы внутреннего контроля.

При определении  понятия «внутренний контроль»  в документах предполагается, что  организация установила цели для  своих операций. COBIT допускает, что  эти цели поддерживаются бизнес –  процессами [59]. Эти процессы, в свою очередь, поддерживаются информацией, предоставленной посредством использования ресурсов информационной технологии. Бизнес-требования для этой информации удовлетворяются через адекватные контрольные меры. В докладе SAC утверждается, что достижение целей организации должно быть осуществлено эффективно, и подчеркивается, что цели должны быть переведены в измеряемые задачи [58]. СOSO классифицирует цели на операционные, цели финансовой отчетности и комплайенс-цели. В то время, как в докладах SAC и COSO рассматриваются цели во всех 3 категориях, документы SAS 55/78 концентрируют свое внимание преимущественно на целях финансовой отчетности. Доклад SAC описывает 3 компонента системы внутреннего контроля. Доклад COSO рассматривает 5 компонентов. В документе SAS 78 модернизируются положения SAS 55, чтобы использовать 5 компонентов отчета COSO. В COBIT объединяются 5 компонентов, представленных в докладе COSO, рассматриваются их особенности в высокотехнологичной контрольной среде. Модель COBIT заполняет пробелы между более широкими моделями бизнес – контроля, такими как COSO, и техническими моделями контроля информационных систем, доступных по всему миру. Хотя может показаться, что документы различаются в их подходах к средствам контроля, дальнейшее исследование выявляет много схожих элементов.

Контрольная среда. Документы COBIT, SAC, COSO и SAS 78, - все  включают в себя контрольную среду  как компонент и рассматривают, по существу, одни и те же понятия. Факторы, влияющие на контрольную среду, включают честность и этические ценности менеджмента, компетенцию персонала, философию менеджмента и стиль  руководства, то, как распределены полномочия и обязанности, а также указания, даваемые советом директоров. COBIT включает проявления контрольной среды во все подходящие цели контроля. Этот документ разделяет процессы на категории: планирование и организация, закупки  и внедрение, доставка и поддержка, мониторинг. Документ обращается к  контрольной среде, где это только возможно [59]. Документ SAC делит контрольную среду на меньшее количество категорий, он в основном ориентирован на информационные системы и включает намерения в состав контрольной среды, в то время как в других 3 документах намерения рассматриваются как часть другого компонента [58].

Информационные  и коммуникационные системы. COBIT, SAC, COSO и SAS 55/78 различаются подходом и  глубиной отношения к информационным системам. Главный фокус документа COBIT – создание системы связи  безопасности и контроля в информационной технологии. Документ определяет четкую связь между средствами контроля информационных систем и бизнес –  целями. Дополнительно предусматриваются  общепризнанные цели контроля для каждого  процесса информационной технологии, что дает практические рекомендации по контролю для всех заинтересованных сторон. COBIT также предоставляет средство для осуществления взаимодействия между менеджментом, пользователями и аудиторов относительно средств контроля информационных систем. Доклад SAC сфокусирован на автоматических информационных системах. Документ рассматривает взаимоотношения между внутренним контролем и системным программным обеспечением, прикладными системами, а также системами конечного пользователя и ведомственными системами. Системное программное обеспечение включает операционную систему, телекоммуникации, управленческую информацию и другие сервисные программы, требующиеся прикладным системам. Прикладные системы включают бизнес – системы организации, финансовые и операционные (например, по управлению трудовыми ресурсами, дебиторской задолженностью и производственным графиком, соответственно) системы. Системы конечного пользователя и ведомственные системы обслуживают нужды конкретных групп пользователей. Большая часть доклада SAC предоставляет руководство по внутреннему контролю, необходимое в каждой из этих областей. Документ COSO рассматривает и информацию, и коммуникации. В отношении информации COSO пересматривает потребности фиксировать подходящую внутреннюю и внешнюю информацию, потенциал стратегических и интегрированных систем, а также требования к качеству данных [57]. Описание коммуникаций фокусируется на передаче информации по вопросам внутреннего контроля, а также сборе конкурентной, экономической и законодательной информации. Документ SAS 55, измененный документом SAS 78, более короткий, чем другие документы; в нем излагаются цели системы учета и резюмируются материалы COSO.

Действия  по осуществлению контроля. Документы COBIT и SAC рассматривают процедуры  контроля, имеющие отношение к  автоматическим информационным системам организации; в COSO и SAS 55/78 обсуждаются  процедуры контроля и действия по осуществлению контроля, используемые во всей организации. В COBIT классифицируются средства контроля по 32 процессам, естественно объединенным в 4 зоны, применимые к любой среде обработки информации. В SAS используются 5 различных классификационных схем для процедур контроля информационных систем. В COSO и SAS 55/78 используется только 1 классификационная схема для процедур контроля информационных систем. При описании действий по осуществлению контроля в документе COSO делается акцент на то, кто реализует действия и операционные цели (в большей степени, чем цели финансовой отчетности). COSO также придает особое значение желательности объединения действий по осуществлению контроля и оценки риска. Документ SAS 78 заменяет список процедур контроля документа SAS 55 укороченным списком действий по осуществлению контроля из документа COSO. В отличие от COSO, документ SAS 55/78 содержит небольшое описание этих действий [34. C. 26].

Оценка риска. Документы COSO и SAS 78 определяют оценку риска как важный компонент внутреннего  контроля. COBIT дает определение оценки рисков как процесса в окружении  информационной технологии. Конкретный процесс принадлежит к зоне планирования и организации и имеет 6 специальных  целей контроля, связанных с ним. Хотя оценка риска не является явным  компонентом системы SAC внутреннего  контроля, документ содержит всестороннее рассмотрение риска. SAS 55/78 делит риск на неотъемлемый риск, риск контроля и  риск обнаружения [34. C.26]. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности, то есть риска недостижения целей финансовой отчетности. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля. В COBIT углубленно рассматриваются несколько компонентов оценки риска в среде информационных технологий. Эти компоненты включают в себя оценку бизнес – риска, подход к оценке риска, определение риска, измерение риска, план действий по реагированию на риск и принятие риска. Документ имеет дело непосредственно с информационно-технологическими типами риска, такими как технологический, нарушения безопасности, утраты бесперебойности и риски нарушения требований надзорных органов. Дополнительно, документ обращается к риску с обеих сторон – глобальной и системно-специфической [59]. Концепции риска, представленные в документах SAC и COSO, похожи. COSO рассматривает определение внешних и внутренних рисков всех организации и отдельных видов деятельности. COSO также рассматривает управленческий анализ риска: оценку значимости риска, вероятности возникновения, методы управления риском. SAC предусматривает детализированный анализ рисков информационных систем и исследует, как эти риски могут быть уменьшены. SAC и COSO делают акцент на соотношении затраты/результаты, на необходимости устанавливать взаимосвязь между целями организации и средствами контроля, на текущей природе определения и оценке риска, способности менеджмента настраивать систему внутреннего контроля организации. SAS 55/78 уделяет немного внимания операционному риску и риску комплайенс [60]. Внешние аудиторы изучают, тестируют и оценивают средства контроля относительно риска существенных неправильных записей в финансовой отчетности. SAS 55/78 делит риск на неотъемлемый риск, риск обнаружения и риск контроля. Так как внешние аудиторы не могут напрямую изменить средства внутреннего контроля, то они допускают приемлемый риск обнаружения, обратно пропорциональный оценке риска контроля.

Мониторинг. В отличие от документов COBIT, COSO и SAS 55/78, документ SAC явно не включает в  себя мониторинг как компонент системы  внутреннего контроля. Все документы  определяют менеджмент ответственным  за обеспечение должного функционирования средств контроля. COBIT видит ответственность  менеджмента в мониторинге всех процессов информационной технологии и обязанности добиться работоспособности средств контроля независимо. Документ классифицирует мониторинг как зону – в соответствии с циклом менеджмента. SAC идентифицирует обязанности внутренних аудиторов выбирать области информационной технологии, где независимая оценка может принести большие преимущества, и тестировать средства контроля для доказательства комплайенса и эффективности в текущем режиме. Так как средства внутреннего контроля предназначены для функционирования по прошествии длительного времени, то COSO определяет обязанности менеджмента наблюдать за всей системой внутреннего контроля по всем текущим видам деятельности, встроенным в систему контроля, и по всем специальным оценкам, направленным на специальные виды деятельности и области [60].

Период времени  в сравнении с моментом времени. Документ COBIT – модельная схема. Документ поддерживает проведение оценок и на момент времени, и за период времени в зависимости от предпочтения оценивающего лица. Хотя в SAC явно не утверждается, должна ли внутренняя эффективность рассчитываться на момент времени или за период времени, нам представляется, что этот документ больше поддерживает расчеты за период времени. Например, SAC говорит об обеспечении надежности финансовых и операционных данных, описывает использование встроенных аудиторских модулей, чтобы постоянно отслеживать и анализировать транзакции и рекомендовать изменение средств контроля для обеспечения стабильности прикладного и системного программного обеспечения. Хотя в COSO делается акцент на том, что внутренний контроль это процесс, документ говорит, что эффективность внутреннего контроля – это состояние или условие процесса на момент времени. Если недостатки внутреннего контроля исправлены на отчетную дату, то документ COSO разрешает составление управленческих отчетов для внешних сторон, в которых внутренний контроль описывается как эффективный. Документы SAS 55 и 78 определяют, что внешние аудиторы должны оценивать постоянство, с которым средства контроля функционировали в течение периода проверки.

2.4 Российские  методики оценки системы внутреннего  контроля коммерческого банка

Даже хорошо выстроенная и организованная система  внутреннего контроля нуждается  в оценке своей эффективности  как с точки зрения достижения поставленных целей, так и с точки  зрения экономичности. В настоящее  время в российской банковской практике в отношении подходов к оценке качества системы внутреннего контроля правовое поле определяется Письмом  ЦБ РФ от 24.03.2005 № 47-Т «О методических рекомендациях по проведению проверки и оценки организации внутреннего  контроля в кредитных организациях» [15]. В данном документе содержатся рекомендации по проведению проверки организации внутреннего контроля в кредитных организациях уполномоченными  представителями Банка России. В  самих кредитных организациях методики оценки их систем внутреннего контроля отсутствуют вовсе. В связи с  этим многими исследователями в  области внутреннего контроля в  коммерческом банке были разработаны  рекомендации по созданию методики оценки качества системы внутреннего контроля в кредитной организации. Зарубежные критерии эффективности внутреннего  контроля рассмотрим в таблице 2.10. Определение эффективности деятельности подразделений внутреннего контроля и аудита является непростой задачей по причине того, что эффект возникает не в месте проведения контрольных мероприятий в технологической цепочке, а в общем финансовом результате банка. Кроме того, появление эффекта часто отстоит по времени от проведения контроля. Помимо финансовых результатов контроль влечет ещё и качественные изменения системы управления отдельных процессов, что не всегда можно определить в денежном выражении. Рассмотрим отечественные оценки эффективности системы внутреннего контроля предложенные Банком России, исследователями А.А. Арсланбекова-Федорова, Е.Б. Морковкиной, С.А. Черкашина, А.Н.Сонина.