Указывается также, что «эффективное выявление рисков предполагает идентификацию и изучение внутренних факторов (таких как сложность организационной структуры, характер банковской деятельности, качественный состав персонала, организационные изменения и текучка кадров), равно как и внешних факторов (таких как вариации финансовых условий, изменения в данной сфере и технологические усовершенствования), которые способны негативно повлиять на достижение банком своих целей». При этом выявление риска следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе — в случае многофилиальных организаций (о чем дополнительно будет сказано в параграфе 5.6). Остальное содержание этого принципа, по существу, уже было прокомментировано в параграфе 5.2.

Принцип 5. Работа по осуществлению контроля должна входить в повседневную деятельность банка. Чтобы система внутреннего контроля была эффективной, требуется должная структура контроля с определением контрольных мероприятия для каждого уровня бизнеса. В их число следует включить проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.

Этим принципом введен еще один компонент, определяющий эффективность ВК, — должная структура контроля. Это означает, что с самого начала контрольная деятельность планируется и реализуется для снижения уровней рисков, которые банк идентифицирует. Такая деятельность осуществляется в два этапа: 1) разработка соответствующей «политики» и процедур контроля; 2) подтверждение того, что указанные политика и процедуры действуют. Контролем также предлагается охватывать все уровни персонала в кредитной организации: от высшего руководства до операционистов. В комментариях к этому принципу электронные банковские технологии не упоминаются, а значит, банковские специалисты, входящие в СВК, в случае внедрения конкретной ТЭБ должны руководствоваться своими представлениями, а высшему руководству ВК придется принимать решение относительно степени адекватности новых подходов к его осуществлению принципам БКБН. Можно представить также квалификационные требования к таким специалистам. В Рекомендациях приведены следующие примеры контрольной деятельности:

проверки высшего уровня — совет директоров и высшее руководство требуют отчеты о работе, позволяющие проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться недостатки в контроле, ошибки в отчетности или мошенничества;

средства оперативного контроля — руководство департаментов или управлений получает и проверяет стандартизованные отчеты о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес-направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом по схеме «вопрос — ответ»;

средства физического контроля — они обычно ориентированы на ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;

соблюдение установленных ограничений — имеется в виду подверженность риску, например, установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска [162] ;

утверждение и авторизация — в отношении конкретных транзакций, особенно выходящих за установленные пределы, трактуется как информирование руководства соответствующего уровня, утверждающего эти действия, о том, что такие случаи имеют место.

Эти и другие, менее существенные действия ставят перед ВК серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства БАС финансовые и другие отчеты (неважно, с какой периодичностью) содержат достоверную информацию. В СВК в этом случае необходимо включать внедренные в СЭБ и БАС средства подтверждения целостности записей в компьютерных базах данных, файлах системных и аудиторских журналов и пр. и собственные средства проверки при необходимости выполнения правил учета, обработки, хранения ордеров клиентов. Если же какой-либо клиент осуществляет крупные и (или) сомнительные операции, подпадающие под юрисдикцию службы ФМ (о чем, кстати, в Рекомендациях ничего не сказано, хотя ПОД/ФТ охватило весь мир), то, в общем случае, необходимы средства автоматизированного программного контроля в БАС, а следовательно, их надо проектировать, разрабатывать, проверять, равно как определять возможности контроля их функционирования, предусмотрев в АС соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое.

В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.

Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.

Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».