Внутренний контроль. 
Банковское право

В соответствии со ст. 10 и 24 Закона о банках в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях, а организационная структура кредитной организации в части распределения полномочий между членами совета директоров (наблюдательного совета) коллегиального исполнительного органа, определения полномочий единоличного исполнительного органа, полномочий, подотчетности и ответственности всех подразделений кредитной организации, служащих должна соответствовать характеру и масштабам проводимых операций.

Внутренний контроль определяется Положением об организации внутреннего контроля в кредитных организациях и банковских группах, утвержденным ЦБ РФ 16.12.2003 № 242-П, как деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) в целях обеспечения:

— эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками, под которым понимается:

выявление, измерение и определение приемлемого уровня банковских рисков, присущих банковской деятельности, типичных возможностей понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий;

постоянное наблюдение за банковскими рисками;

принятие мер по поддержанию на не угрожающем финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков уровне банковских рисков;

• — достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности, а также информационной безопасности^[1];
• — соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации;

исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством РФ сведений в органы государственной власти и Банк России.

Для обеспечения вышеуказанных целей кредитные организации обязаны создавать систему внутреннего контроля как совокупность системы органов и направлений внутреннего контроля, обеспечивающую соблюдение порядка осуществления и достижения целей, установленных законодательством РФ, нормативными актами Банка России, учредительными и внутренними документами кредитной организации.

Внутренний контроль должны осуществлять в соответствии с полномочиями, определенными учредительными и внутренними документами кредитной организации:

• — органы управления кредитной организации, предусмотренные ст. 11.1 Закона о банках;
• — ревизионная комиссия (ревизор);
• — главный бухгалтер (его заместители) кредитной организации;
• — руководитель (его заместители) и главный бухгалтер (его заместители) филиала кредитной организации;
• — подразделения и служащие, осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами кредитной организации, включая службу внутреннего контроля (внутреннего аудитора), ответственного сотрудника (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, и иные структурные подразделения и (или) ответственных сотрудников кредитной организации.

Система внутреннего контроля кредитной организации должна включать следующие направления:

• — контроль со стороны органов управления за организацией деятельности кредитной организации;
• — контроль за функционированием системы управления банковскими рисками и оценка банковских рисков;
• — контроль за распределением полномочий при совершении банковских операций и других сделок;
• — контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности. Данное направление в настоящее время является приоритетным для банков и приобретает для них «дополнительную значимость, если учитывать зависимость продолжения эффективной хозяйственно-экономической деятельности клиентуры кредитной организации от степени защищенности ее информационных ресурсов»^[2];
• — осуществляемое на постоянной основе наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности кредитной организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля кредитной организации.

Кредитная организация должна принять внутренние документы по основным вопросам, связанным с осуществлением внутреннего контроля, в частности:

• — учет (учетная политика);
• — управление банковскими рисками;
• — кредитная и депозитная политика;
• — порядок осуществления кредитования связанных лиц;
• — открытие (закрытие) и ведение счетов и вкладов;
• — процентная политика;
• — осуществление расчетов (наличных, безналичных);
• — совершение операций с валютными ценностями;
• — осуществление валютного контроля;
• — совершение операций с ценными бумагами;
• — выдача банковских гарантий;
• — совершение кассовых операций, инкассация денежных средств и других ценностей;
• — политика информационной безопасности;
• — правила внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

В соответствии с Методическими рекомендациями Банка России по разработке кредитными организациями Правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (сообщены письмом ЦБ РФ от 13.07.2005 № 99-Т) кредитная организация должна учитывать характер и основные направления деятельности самой кредитной организации, клиентской базы и уровня типичных банковских рисков, в том числе касающихся:

• — идентификации кредитной организацией своих клиентов, установления и идентификации выгодоприобретателей;
• — выявления в деятельности клиентов операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма;
• — проверки информации о клиенте или операции клиента, о выгодоприобретателе для подтверждения обоснованности подозрений осуществления клиентом легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма;
• — документального фиксирования и хранения информации, указанной в ст. 7 Закона о противодействии отмыванию доходов;
• — порядка организации в кредитной организации работы по отказу от заключения договоров банковского счета (вклада) с физическими и юридическими лицами и отказу в выполнении распоряжения клиента об осуществлении операции;
• — регламентации в кредитной организации работы по приостановлению операций с денежными средствами или иным имуществом, полученным преступным путем;
• — организации в кредитной организации работы по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

Правила внутреннего контроля организации, осуществляющей операции с денежными средствами или иным имуществом, должны включать порядок документального фиксирования необходимой информации, порядок обеспечения конфиденциальности информации, квалификационные требования к подготовке и обучению кадров, а также критерии выявления и признаки необычных сделок с учетом особенностей деятельности этой организации.

Основным принципом их разработки является обеспечение участия всех сотрудников кредитной организации независимо от занимаемой должности в рамках их компетенции в выявлении в деятельности физических лиц, индивидуальных предпринимателей и юридических лиц, находящихся на обслуживании в кредитной организации, операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма.

Нестабильность на финансовых рынках, глобальный экономический кризис и связанные с ними внешние и внутренние угрозы ликвидности банковской системы страны привели к необходимости разработки комплекса мер, направленных на обеспечение бесперебойного функционирования кредитной организации в любых условиях.

Указанием Банка России от 05.03.2009 № 2194-У введена обязанность кредитных организаций по обеспечению непрерывности и (или) восстановления деятельности (ОНиВД), нарушенной в результате непредвиденных обстоятельств.

Требования и рекомендации Банка России в рассматриваемой области являются продолжением политики внедрения в банковскую практику рекомендаций Базельского комитета, который в течение 2004−2005 гг. обобщал практику необходимых требований по обеспечению деловой непрерывности, а в 2006 г. выпустил консультативный документ — A Business Continuity Plan (ВСР) — «Высокоуровневые принципы обеспечения непрерывности деятельности». Процедуры формирования плана ОНиВД основываются не только на указанных принципах, но и на опыте других стран, в частности США, где рекомендации по обеспечению непрерывности деятельности изложены в пособии Business Continuity Planning Booklet (ВСР), March 2008^[3].

В целях обеспечения непрерывности деятельности кредитная организация обязана разработать План действий (План ОНиВД) — внутренний документ (комплект документов), определяющий цели, задачи, порядок, способы и сроки осуществления мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования кредитной организации (ее подразделений), вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).

Указанный документ (комплект документов) разрабатывается кредитной организацией самостоятельно, с учетом рекомендаций Банка России, изложенных в приложении № 5 к Положению ЦБ РФ от 16.12.2003 № 242-П, а также норм Федерального закона от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» .

Целями Плана ОНиВД рекомендуется определить, в том числе:

• — поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России;
• — предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
• — снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
• — сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
• — обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
• — обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
• — обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.

План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера, или, в зависимости от характера, масштабов и условий деятельности кредитной организации, — межмуниципального, регионального или межрегионального характера в соответствии с классификацией, установленной постановлением Правительства РФ от 21.05.2007 № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» .

В План ОНиВД рекомендуется включать:

• — порядок его реализации, включая порядок принятия решения о переводе деятельности кредитной организации в режим, предусмотренный Планом ОНиВД, а также порядок управления кредитной организацией в чрезвычайном режиме;
• — перераспределение обязанностей и полномочий как между подразделениями, так и между служащими кредитной организации в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и (или) уполномоченных служащих;
• — перечень установленных в кредитной организации процедур, выполнение которых в режиме повседневного функционирования кредитной организации необходимо для успешной реализации Плана ОНиВД (например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг (работ), обеспечивающих реализацию Плана ОНиВД), а также очередность и сроки их выполнения;
• — порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
• — порядок информирования заинтересованных лиц о возникновении непредвиденных обстоятельств, порядок взаимодействия с заинтересованными лицами, в том числе с Банком России, по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации;
• — детальные инструкции для подразделений и служащих кредитной организации, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
• — порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования и иные направления деятельности.

С целью определения возможности выполнения Плана ОНиВД в случае возникновения непредвиденных обстоятельств Банком России рекомендовано предусматривать во внутренних документах кредитной организации проведение проверок (тестирования) данного Плана с периодичностью не реже одного раза в год.

Особое внимание во внутренних документах кредитной организации должно отводиться статусу, нравам и обязанностям службы внутреннего контроля. Она является независимой, беспристрастной и не вправе участвовать в совершении банковских операций и сделок.

К числу основных функций службы внутреннего контроля относятся:

• — проверка и оценка эффективности системы внутреннего контроля;
• — проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления ими;
• — проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности (включая достоверность, полноту и объективность) и своевременности сбора и представления информации и отчетности;
• — проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации;
• — оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций;
• — проверка соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг) и иные функции.

Внутренние документы (правила, процедуры, положения, распоряжения, решения, приказы, методики, должностные инструкции и иные документы в формах, принятых в международной банковской практике) могут приниматься кредитной организацией и по иным вопросам совершения банковских операций и других сделок.

Сочетание вопросов в принимаемых кредитной организацией внутренних документах определяется ею самостоятельно с учетом условий деятельности, включая в том числе объем и характер операций, виды и уровень банковских рисков, иные обстоятельства.

Таким образом, система внутреннего контроля в кредитной организации выполняет защитную функцию — минимизирует различные риски, которые банк вынужден принимать на себя. Она призвана обеспечить такой порядок проведения банковских операций (сделок) в банке, который будет способствовать достижению поставленных ориентиров и целей при соблюдении требований законодательства, нормативных актов Банка России, а также внутренних процедур, стандартов и правил, установленных для себя самим банком^[4].

Соблюдение кредитными организациями правил организации внутреннего контроля является предметом постоянного надзора со стороны Банка России. В частности, для оценки состояния внутреннего контроля кредитная организация обязана:

• — представлять в территориальное учреждение Банка России Справку о внутреннем контроле в кредитной организации по форме и в сроки, предусмотренные указанием ЦБ РФ от 12.11.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации». При этом территориальные учреждения вправе запрашивать у кредитной организации дополнительную информацию по вопросам организации системы внутреннего контроля;
• — уведомлять территориальное учреждение Банка России о существенных изменениях в системе внутреннего контроля в течение трех рабочих дней со дня их наступления.

При проведении проверок кредитных организаций Банком России может осуществляться проверка как системы внутреннего контроля в целом, так и отдельных операций (процедур) на предмет получения подтверждения:

• — соблюдения внутренних методик, программ, правил, порядков и процедур, а также установленных лимитов;
• — достоверности, полноты и объективности систем учета и отчетности, сбора, обработки и хранения иных сведений в соответствии с законодательством РФ;
• — надежности установленных и применяемых кредитной организацией отдельных способов (методов) контроля.

• [1] Информационная безопасность подразумевает защищенность интересов (целей) кредитной организации в информационной сфере, представляющую собой совокупность информации, информационной инфраструктуры субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (поди. 1.2.2 Положения об организации внутреннего контроля в кредитных организациях и банковских группах).
• [2] Лямин, Л. В. Три составные части и три источника информационной безопасности в кредитных организациях. Ч. 3 / Л. В. Лямин // Методический журнал «Управление в кредитной организации». 2006. № 4.
• [3] Юдениче, Ю. Н. Обеспечение непрерывности бизнеса для кредитных организаций / Ю. Н. Юденков // Внутренний контроль в кредитной организации. 2009. № 2.
• [4] Юденков, Ю. Н. Концептуально-правовые основы организации внутреннего контроля в коммерческих банках / Ю. Н. Юденков // Внутренний контроль в кредитной организации. 2009. № 1.