Аудит в банках

Пеганов В.Н.-

ООО «Прагматон» г. Москва

ООО «Прокси» г. Москва

ООО «Проектинвест» г. Москва

ООО «АБЕРОН-ИНВЕСТ» г. Москва

Всего банковская группа БашИнвестБанка состоит из головного отделения и пяти дополнительных офисов.

81

Рис. 3 Дополнительные офисы ООО «Башинвестбанк»

В Банке и его дополнительных офисах развит институт персональных менеджеров, используются карточные и электронные технологии, созданы все условия для максимальной реализации делового потенциала клиентов.

ООО «БашИнвестБанк» выполняет активные и пассивные операции, а так же другие операции, предусмотренные уставом. Так юридическим и физическим лицам предоставляются виды услуг, представленные в таблице 4.

Одним из приоритетных направлений деятельности Банка является кредитование. Большинство кредитов выдано для предприятий реального сектора экономики - топливной промышленности, электроэнергетики, пищевой промышленности и агропромышленного сектора. Банк предоставляет кредиты на приобретение автомобилей российского и иностранного производства.

В Банке работает стабильный профессиональный коллектив. Штат Башинвестбанка составляет 220 человек, из которых 25 - вспомогательные.

Таблица 4. Услуги, оказываемые ООО «Башинвестбанк» юридическим и физическим лицам

ВИДЫ УСЛУГ
ЮРИДИЧЕСКИЕ ЛИЦА	ФИЗИЧЕСКИЕ ЛИЦА
1	2
1. Валютные операции	1. Приём и выдача вкладов и других видов сбережений
2. Открытие и ведение счетов в валюте	2. Приём платежей от клиентов
3. Покупка/продажа иностранной валюты за безналичные рубли или за другую безналичную иностранную валюту	3. Предоставление кредитов юридическим и физическим лицам
4. Переводы средств по внешнеэкономическим контрактам	4. Покупка и продажа ценных бумаг
5. Подготовка документов по валютным операциям	5. Покупка и продажа иностранной валюты
6. Кассовое обслуживание	6. Открытие и ведение счетов клиентов, осуществление расчетов по их поручениям
7. Инкассация денежной наличности	7. Оказание консультационных услуг

Служба внутреннего контроля в ООО «Башинвестбанк» является самостоятельным структурным подразделением численностью 2 человека, которое подчиняется Совету директоров Банка.

Согласно Положения о службе внутреннего контроля ООО «Башинвестбанк», утвержденного Общим собранием Участников Банка СВК возглавляется руководителем, назначаемым на должность и освобождаемый от должности по решению Совета директоров Банка.

Руководитель СВК подчиняется Совету директоров Банка. Перемещение руководителя и служащих СВК на другие должности в Банке в случае изменения характера и масштабов деятельности, появления новых видов и направлений деятельности и т.п., а также в случае ненадлежащего исполнения работниками СВК своих обязанностей, производится по решению Совета директоров Банка.

Штатное расписание СВК утверждается Председателем Правления Банка в установленном порядке. Положение об СВК, а также изменения и дополнения, вносимые в Положение об СВК, утверждаются Общим собранием участников Банка.

Численность сотрудников службы внутреннего контроля в Банке составляет 0,8% от общей численности сотрудников проверяемых структурных подразделений. Оптимальная численность внутренних аудиторов в международной практике составляет 1%. Данные о численности, структуре и подчиненности служб внутреннего контроля приведены в таблице 5.

Таблица 5. Служба внутреннего контроля ООО «Башинвестбанк»

Наименование службы внутреннего контроля	Количество сотрудников службы внутреннего контроля	Подчиненность службы внутреннего контроля
	всего, чел.	в % к общей численности проверяемых
1	2	3	4
Служба внутреннего контроля	2	1,0	Совет директоров Банка

Отдел внутреннего контроля руководствуется в своей работе Положением об организации внутреннего контроля в кредитных организациях и банковских группах, утвержденного ЦБ РФ 16.12.2003 г. №242_П. Службой внутреннего контроля разработаны анкеты, опросные листы, тесты, детальные программы, методические рекомендации по проверке ряда операций, выполняемых банком, и оценке рисков. В большинстве случаев работа над некоторыми документами службами внутреннего контроля велась совместно с внешними аудиторскими фирмами, например, аудиторская проверка отчетности Банка за 2004 г. по международным стандартам бухгалтерского учета с 11 по 25 августа 2005 г. проводилась ООО «АФ «Эксперт-Аудит».

Банк обеспечивает своевременное выполнение своих обязательств. В целях контроля за состоянием ликвидности ЦБ РФ устанавливает нормативы ликвидности, которые определяются как соотношение между активами и пассивами с учетом сроков, сумм и видов активов и пассивов, других факторов.

Как видно из расчетов в Приложении 9, все коэффициенты ликвидности соответствуют своим нормативным ограничениям. Отрицательная тенденция снижения показателей ликвидности, кроме коэффициента долгосрочной ликвидности, показывает наличие определенных трудностей в осуществлении сбалансированной политики обеспечения конкурентоспособности в ООО «Башинвестбанк». Исходя из уровня представленных коэффициентов, можно сделать заключение о надежности ООО «Башинвестбанк», о его возможности отвечать по своим обязательствам и незначительном уровне совокупного риска.

В целом результаты анализа свидетельствуют о сбалансированности по срокам долгосрочных активов и пассивов ООО «Башинвестбанк».

Далее следует исследовать и оценить, насколько эффективно используются активы и пассивы Банка, осуществив подробный коэффициентный анализ финансовой устойчивости.

По данным ООО «Башинвестбанк» выполнены расчеты показателей финансовой устойчивости по состоянию на 2003-2005 гг. в Приложении 10, что дает основание выявить тенденцию их изменения.

Как видно из Приложения 10, большая часть показателей выше своего оптимального уровня. Коэффициент автономии характеризует роль собственного капитала в формировании активов организации. Этот показатель должен заинтересовать инвесторов и кредиторов, а также финансовых менеджеров компании, чтобы сформировать мнение об участии капитала собственников в приумножении активов их организации.

Данные Приложения 10 показывают фактическое невыполнение нормативного значения коэффициента автономии и его устойчивую динамику: на конец 2003 года показатель был равен 0,14, к 2004 году он не изменился и остался на том же уровне.

Коэффициент финансовой устойчивости можно применять для расчета в качестве дополнения и развития показателя финансовой независимости, путем прибавления к собственному капиталу средств долгосрочного кредитования, которые по сути являются долгосрочными обязательствами. Для ООО «Башинвестбанк» значение коэффициента финансовой устойчивости не достигает своего оптимального значения ни в один из анализируемых периодов и находится на уровне 0,22.

Коэффициент финансовой зависимости ниже своего нормативного значения, и имеет тенденцию увеличения с 0,26 в 2003 г. до 0,27 в 2004-2005 гг. соответственно. Данное соотношение характеризует низкий удельный вес заемных средств предприятия в общей сумме пассивов.

Коэффициент финансирования собственным капиталом заемного капитала оказался незначительным по размеру. Если в 2004 г. величина собственного капитала составляла 55% от общего капитала, то к концу 2005 года - 54%. В составе заемного капитала преимущественно находится кредиторская задолженность, которая при умелом использовании может быть совсем «бесплатной».

Соотношение активов с собственным капиталом показывает уровень покрытия собственными средствами активов банка. Значение и динамика коэффициента показывают высокую степень финансирования активов собственными средствами, так показатель в 2003 г. составлял 6,91, а в 2004-2005 гг. - 6,92.

Исходя из полученных значений показателей финансовое состояние ООО «Башинвестбанк» относится к нормальному типу финансовой устойчивости.

Значения показателей ликвидности соответствует нормативам или максимально к ним приближены, но динамика и значения коэффициентов финансовой устойчивости ниже нормативных данных, что создает тенденцию к ухудшению создавшегося в ООО «БашИнвестБанк» положения.

2.2 Информационная система службы внутреннего контроля Банка

Проведение проверок СВК ООО «БашИнвестБанк» строится на основании годовых и текущих плановых проверок, которые разрабатываются СВК исходя из текущей деятельности Банка и стратегических планов развития Банка.

Годовые планы работы СВК утверждаются Советом директоров Банка по согласованной форме. Текущие планы работы СВК составляются на основе годовых планов, являются детализацией годовых планов и подлежат согласованию с Председателем Правления Банка.

План проведения проверок, осуществляемых СВК, включает примерный график осуществления проверок. Конкретные сроки проведения проверок определяются руководителем СВК.

Проведение проверок в ООО «Башинвестбанк» производится с помощью эффективных информационных технологий, которые содержат в базе данных необходимую для решения поставленных задач информацию.

KDD_технологии реализуют комплексные технологии обработки данных, объединяющие в себе как стандартные технологии, например технологии систем управления базами данных, так и развиваемые в последние годы технологии класса Data Mining, которые позволяют на основе анализа хранимых в базе данных строить искомые модели; определять классификационные правила, связывающие некоторые группы данных; выделять кластеры на основе классификационных правил и решать другие задачи в области формирования моделей знаний.

Типовая схема KDD_технологии включает выборку, предварительную обработку и преобразование данных, а также собственно построение искомых моделей взаимосвязи анализируемых данных, непосредственно реализующих процесс извлечения знаний.

Основная часть существующих баз данных представляет собой реляционные базы, структура которых формируется в виде связанных таблиц, в каждой из них столбцы соответствуют хранимым данным.

Конкретная задача поиска определяется количеством и особенностями задаваемых объектов, накладываемыми ограничениями, формализацией выявляемых связей и др. К объектам могут быть отнесены любые хранящиеся в базе сведения, например о конкретном отделе Банка, сотруднике или Клиенте Банка, документах, операциях и др. Применительно базам данных это могут быть: наименование отдела, адрес Клиента, дата регистрации, ИНН и др.; номер и дата договора, срок действия, сумма и валюта платежа и др.

Будучи сопоставленными друг с другом в виде отношений, связанными друг с другом в виде функциональных зависимостей, определенные данные образуют подмножества, содержащие новую, нетривиальную информацию, т.е. знания. Практически единственным средством доступа к базам данных является использование SQL_запросов. Язык структурированных запросов SQL - универсальное средство манипулирования данными, находящимися в реляционных базах данных; его поддерживают все известные СУБД. При выборке данных из базы используется типовой SQL_запрос вида: Q = {SELECT <y> WHERE <c>}, или на русском языке Q = {ВЫБРАТЬ <у> ГДЕ <с>}, где <с> - наборы ограничений на языке SQL, <y> - атрибуты формируемого отношения. При этом в качестве атрибутов формируемого отношения могут быть использованы любые хранящиеся в базе данных сведения, а в качестве ограничений применяются операторы сравнения «больше», «меньше», «равно», «между» и др.

Так, при задании в качестве входных параметров наименований двух объектов в результате целенаправленного формирования последовательности SQL_запросов был получен следующий запрос, выявивший несколько ассоциативных правил, связывающих оба объекта:

Запрос выявил следующие знания: у Кредитного отдела есть контракт, проведенный через Банк, заключенный на сумму 30000000 руб. с Клиентом ООО «Орех» оплата производилась по расчетному счету клиента №40702810600000000300 и проведенные в интервале между 30 декабря 2002 г. и 2 января 2003 г.

Система извлечения знаний из базы данных имеет модульную структуру представленную на рисунке 6 на стр. 45.

Модуль управления осуществляет управление работой всех модулей системы извлечения знаний из базы данных и обеспечивает взаимодействие пользователя с системой.

Модуль агрегирования базы данных предназначен для автоматического выделения на всем множестве таблиц базы данных связанных групп, содержащих заданные пользователем объекты, и объединения их в конкретные агрегированные отношения.

Метабаза данных содержит информацию о рабочей базе данных, включающую в себя реляционную структуру базы, а также семантические синонимы и текстовые описания некоторых объектов базы данных. В простейшем случае формирование содержимого метабазы может быть осуществлено администратором.

По мере изменения структуры базы данных соответствующие изменения вносятся и в метабазу данных. Более совершенный вариант предполагает ее автоматическое заполнение посредством выполнения специализированной адаптивной процедуры, осуществляющей выявление реляционных связей между таблицами базы данных.

Модуль интерпритации ассоциативных правил обеспечивает преобразование выявленных в результате работы системы ассоциативных правил в легко воспринимаемую пользователем форму. При этом используется находящаяся в метабазе семантическая информация об особенностях используемой базы данных.

Модуль формирования запросов и оценки результатов поиска реализует основную итерационную процедуру формирования запросов и оценивания результатов поиска при работе с базой данных.

При выполнении итерационной процедуры поиска модуль МФЗОРП генерирует запросы с новыми наборами ограничивающих условий с, учитывающие результаты выполнения предыдущих запросов; при этом постепенно число ограничивающих условий возрастает за счет выявления общих диапазонов изменения значений полей или равенства значений полей, свойственных всем заданным объектам р.

В дополнительные ограничивающие условия на последующих итерациях включаются проверки по конкретным полям, обеспечившие высокие значения функции пригодности f. Управление процессом изменения значений полей при поиске осуществляется процедурой, реализующей алгоритм случайного поиска с адаптацией.

Таким образом, в результате поиска в базе данных выявляются объективно существующие отношения между заданными объектами, при этом значение комплексной функции пригодности F монотонно возрастает, приближаясь к своему наибольшему значению.



Рис. 7 Изменение средней пригодности генерируемых системой решений

Результаты выполненной работы реализованы в программном комплексе, ориентированном на применение в составе систем поддержки принятия решений в банковско-финансовой сфере и представляющем собой открытую инструментальную среду на базе СУБД Oracle Si, настраиваемую на конкретные задачи пользователей.

В целях получения необходимой информации от других отделов Банка отдел СВК оснащен техническим обеспечением, который состоит из 2_х компьютеров.

Данная информации поступает в отдел СВК через «СЕРВЕР», являющимся главным компьютером в сети Банка.

1 2

4 3

Рис. 8 Схема получения информации СВК через «СЕРВЕР»: 1, 2 - запросы СВК; 3, 4 - ответы на запросы

Автоматизированные информационные технологии позволяют решать такие задачи, как: анализ структуры балансов; определение доли филиалов банка в показателе или балансовом счете; оценка динамики движения средств по счетам и распределение клиентов по заданным параметрам; формирование различных оперативных отчетов; получение общей финансовой отчетности и ее анализ; получение сводной отчетности; ведение оперативного анализа на основе текущей информации и др..

2.3 Оценка внешними аудиторами систем внутреннего контроля и банковских рисков

Оценка системы внутреннего контроля внешними аудиторами на этапе планирования предусматривает два этапа:

- общее знакомство с системой внутреннего контроля;

- выполнение первичной оценки надежности системы внутреннего контроля.

На первом этапе аудитор должен получить общее представление о подходах руководства к организации внутреннего контроля за кредитными операциями, организационной структуре внутреннего контроля, наличии и характере внутренних связей и механизме выполнения решений руководства на уровне исполнителей, методах распределения функций и ответственности, процедурах внутреннего контроля, доступе к ресурсам и кредитной документации, функциях внутренних аудиторов, возможных видах ошибок. Полученную информацию о системе внутреннего контроля целесообразно документировать в виде блок - схемы, содержащие информацию о разделении обязанностей, санкционировании операций, процедурах учета и контроля. Документирование системы внутреннего контроля позволяет аудитору предварительно установить сильные и слабые стороны контроля, что является важным для дальнейшего исследования.

Уже по итогам общего знакомства с системой внутреннего контроля аудитор должен принять решение о том, может ли он в своей дальнейшей работе вообще полагаться на систему внутреннего контроля. Если аудитор принимает решение о том, что на систему внутреннего контроля положиться можно, то проводится первичная оценка ее надежности.

Проведем первичную оценку внутреннего контроля в ООО «Башинвестбанк». В задачу первичной оценки надежности системы внутреннего контроля входит выяснение того, что предпринимается в банке для предотвращения, выявления и исправления ошибок и искажений информации. Предлагаемая методика первичной оценки надежности системы внутреннего контроля основана на тестировании. Вопросы теста представлены в пяти разделах таблицы 6. Каждому положительному ответу соответствует 1 балл, отрицательному - 0 баллов.

Таблица 6. Тестовые вопросы для проведения первичной оценки системы внутреннего контроля кредитных операций ООО «Башинвестбанк»

N	Разделы тестирования	Ответ
1	2	3
	Общие организационные аспекты
1	Утвержденными внутрибанковскими нормами установлена схема проведения и отражения в бухгалтерском учете кредитных операций с указанием участвующих подразделений, связей и подчиненности между ними	1
2	Разработана и утверждена схема общей организационной структуры банка с указанием управленческих связей и подчиненности подразделений	1
3	В банке разработаны и утверждены схемы организационной структуры отдельных подразделений с указанием должностных лиц и подчиненности	0
4	Организация проведения кредитных операций обеспечивает четкое разграничение текущей работы с заемщиками, санкционирование выдачи и реструктуризации кредита, отражение кредитных операций в бухгалтерском учете, периодический контроль за состоянием кредитных операций	1
5	Разработан и утвержден график документооборота с указанием сроков обработки и контроля документов, взаимосвязи между подразделениями и конкретными ответственными исполнителями	1
6	Программное обеспечение, используемое для ведения бухгалтерского учета, соответствует установленным требованиям. Система защиты от несанкционированного доступа посредством кодов и паролей предусмотрена	1
	Распределение функций и ответственности
7	Разработаны и утверждены должностные инструкции для сотрудников кредитного подразделения, бухгалтерии и службы внутреннего контроля	1
8	Установлен круг лиц, уполномоченных санкционировать операции по выдаче и реструктуризации кредитов, по начислению и взысканию процентов, по формированию, корректировке и использованию резерва на возможные потери по ссудам	1
9	Перечень должностных обязанностей и ответственности доведен до сведения каждого исполнителя	0
	Внутрибанковский контроль
10	Уполномоченными сотрудниками бухгалтерии осуществляется ежедневный последующий контроль правильности отражения в бухгалтерском учете кредитных операций, совершенных в предыдущем дне, и наличия первичных документов	1
11	Процедуры внутреннего контроля за проведением и отражением в бухгалтерском учете кредитных операций осуществляются по направлениям
11.1	контроль полноты отражения операций в учете и соблюдение графика документооборота	1
11.2	контроль соблюдения установленного порядка санкционирования проведения кредитных операций и отражения их в учете	1
11.3	контроль правильности составления бухгалтерских проводок и своевременности отражения кредитных операций на счетах бухгалтерского учета	1
11.4	арифметическая проверка правильности бухгалтерских записей, в том числе правильность переноса из предыдущего дня входящих остатков и выведения исходящих остатков	1
11.5	контроль правильности оформления первичных документов	1
12	Функционирует служба внутреннего контроля банка: круг полномочий, предоставленных сотрудникам службы внутреннего контроля, и периодичность проводимых проверок позволяют эффективно осуществлять контрольную функцию за проведением и отражением в учете кредитных операций	1
13	Результаты проверок тщательно документируются	1
14	По итогам устранения недостатков составляются соответствующие акты и представляются руководству банка	1
	Кадровая политика
15	Система приема на работу обеспечивает необходимую квалификацию и честность персонала	1
16	Квалификационные характеристики сотрудников службы внутреннего контроля соответствуют требованиям Банка России	1
17	Сотрудники периодически проходят повышение квалификации с учетом специфики занимаемой должности	1
	Право доступа и сохранность документации
18	Определен круг лиц, имеющих право доступа к кредитной документации	0
19	Кредитная документация хранится в сейфах в помещении, отвечающем требованиям безопасности	1
20	Порядок хранения бухгалтерских документов соответствует требованиям Банка России	1
	Итог по сумме всех разделов	21

Общий итог подводится по всем разделам. Ориентируясь на рекомендуемые параметры оценки надежности системы внутреннего контроля и сумму баллов, полученную по итогам тестирования, оценка может быть определена как «низкая», «средняя» или «высокая».

Таблица 7. Критерии первичной оценки системы внутреннего контроля

Оценка надежности системы внутреннего контроля	Сумма баллов по итогам тестирования
Низкая	0 - 8
Средняя	9 - 16
Высокая	17 - 24

Если по итогам первичной оценки надежность системы внутреннего контроля оценена как «высокая» или «средняя», то аудитор должен учитывать это при разработке программы аудита, однако не должен доверять системе абсолютно. Если надежность оценена как «низкая», то аудитор не должен в дальнейшем полагаться на систему внутреннего контроля клиента. При анализе результатов тестирования следует обратить особое внимание на вопросы теста, по которым получены отрицательные ответы.

Из проведенной оценки системы внутреннего контроля методом тестирования получился итог в размере 21 балл. По результатам тестирования итог позволяет дать высокую первичную оценку надежности системы внутреннего контроля ООО «Башинвестбанк».

Служба внутреннего контроля ООО «Башинвестбанк» ставит перед своими сотрудниками индивидуальные задачи, которые включают следующие аспекты:

1) Оценка отдельных систем банка по управлению рисками;

2) Анализ и оценка:

- адекватности систем внутреннего контроля и соответствующих процедур;

- соблюдения Банком положений нормативных актов ЦБ РФ и других законодательных и нормативных актов;

- наличия и эффективности работы систем бухгалтерского учета и учетных процедур;

- наличия в системе управленческой информации банка подсистем, которые контролируют обнаружение и исправление возможных ошибок, а также позволяют представить Председателю Правления Банка информацию по результатам аудита и рекомендациям в области улучшения систем внутреннего контроля.

Рабочие документы внутреннего контроля должны содержать достаточную информацию для понимания процесса обработки важных операций ООО «Башинвестбанк» и сопутствующей информации. Для оценки систем внутреннего контроля определяется степень достаточности информационной базы контроля, которая применительна к каждой комплексной задаче контроля.

Коэффициент достаточности информации, необходимой для решения комплексной задачи, может быть определен на основе значений для составляющих ее частных задач по следующей формуле:

,

где i = 1, n - общее количество задач контроля.

Уровень достаточности информационной базы контроля предлагается характеризовать следующим образом:

- высокий - вся необходимая для решения задач контроля информация имеется в наличии;

- средний - несмотря на отсутствие некоторой части требуемой информации, задачи контроля все же могут быть решены во всех их существенных аспектах;

- низкий - отсутствие информации не позволяет решать задачи контроля в их существенных аспектах.

Базовые пороговые значения коэффициента Кди представлены в таблице 8.

Таблица 8. Критерии оценки достаточности информационной базы внутреннего контроля

Оценка достаточности информационной базы	Кди, %
Высокая	Более 95
Средняя	От 80 до 95
Низкая	Менее 80

Необходимо отметить, что значения, указанные в таблице 8, могут быть в некоторой мере скорректированы с учетом конкретных условий деятельности банка и особенностей проведения в нем внутреннего контроля на основе представленных выше качественных критериев уровня достаточности информационной базы контроля.

Проведем оценку информационной базы ООО «Башинвестбанк» по обеспечению контроля за выдачей и возвратом кредита, в итоговых позициях столбцов 4 и 5.

Из Приложения 12 видно, что оценка существенности по степени достаточности информационной базы, необходимой для решения данной комплексной задачи контроля средняя, поскольку:

.

Аналогичным образом можно определить степень достаточности информации, требуемой для решения всех других отдельных комплексных задач внутреннего контроля.

Если внутренний контроль запланирован в Банке с высоким уровнем автоматизации систем, возникает необходимость определить связанные с компьютерными системами риски и виды контроля, встроенные в программное обеспечение, которые помогают уменьшить существующие риски.

Проведем оценку системы внутреннего контроля по обеспеченности информационной безопасности банка. Обычно внутренние средства контроля программного пакета позволяют контролировать четыре основных риска, связанных с автоматизированными информационными системами.

Таблица 9. Оценка системы внутреннего контроля по уровню информационной безопасности ООО «Башинвестбанк»

N п/п	Виды контроля по обеспеченности информационной безопасности программных пакетов	Количество	Наличие информации
1	2	3	4
1.	Уровень обеспеченности информационной безопасности при доступе неуполномоченных лиц к системе учетов данных с целью получения конфиденциальной информации
1.1.	наличие индивидуальных паролей пользователя для доступа в систему, известных только соответствующему пользователю	1	1
1.2.	наличие у паролей необходимого количества знаков и регулярное обновление паролей	1	1
1.3.	ограничение доступа пользователей только к тем функциям системы, которыми они пользуются для выполнения своих служебных обязанностей	1	1
1.4.	ежедневное генерирование системой отчета о попытках неуполномоченного доступа к системе, который проверяется соответствующими службами	2	1
2.	Уровень обеспеченности информационной безопасности при операциях в режиме ожидания, введенных в систему для дальнейшей обработки, неправильно, неполно или веденных несколько раз
2.1.	контроль на этапе редактирования экрана и проверки на правильность	1	1
2.2.	контроль пакетного ввода	1	1
2.3.	ключевой аспект системы контроля	2	2
3.	Невозможность разделения, анализа и исправления операций, отклоненных системой, и сумм на счетах до выяснения
3.1.	все операции, отклоненные системой, относятся на временный счет до выяснения и должны вовремя, исправляться уполномоченным персоналом	3	2
3.2.	ведется учет движения средств на счете до выяснения, а общий оборот по счету подлежит сверке	3	2
3.3.	система регулярно выдает отчеты о невыясненных и незавершенных операциях	2	2
4.	Уровень обеспеченности информационной безопасности по проведению правильности операции, введенных в систему для обработки, или генерированных системой, которые могут потеряться, пройти неполный цикл обработки, оказаться не включенными в отчет, выданный системой; могут быть неправильно обработаны системой; могут быть обработаны и включены в отчет за другой отчетный период.
4.1.	нумерация исходных документов, которая предупредит исчезновение операций в процессе их обработки	2	2
4.2.	контроль на уровне пакета, что позволит сверять баланс текущего дня с балансом предыдущего дня	2	2
4.3.	контроль на этапе передачи данных	1	1
4.4.	контроль на этапе закрытия отчетного периода	1	1
ИТОГО	23	20

Из таблицы 9 видно, что оценка степени достаточности по обеспечению информационной безопасности автоматизированных и информационных систем банка, необходимой для решения СВК задач по снижению риска утечки информации из банка, средняя, поскольку:

.

Оценка рисков производится ежегодно при планировании аудита подразделений головного банка и регулярно по направлениям деятельности соответствующими структурными подразделениями. Работа по выявлению, анализу и оценке рисков, которым подвергается деятельность подразделений банка, возложена на службу внутреннего контроля.

Кроме того, подразделения Банка должны выявлять факторы и последствия каждого риска, принимать меры по управлению ими, а также разрабатывать процедуры механизмов контроля. Служба внутреннего контроля Банка осуществляет контроль за состоянием работы по управлению рисками в подразделениях и дает им рекомендации по оптимизации управления рисками.

Банки должны ставить перед собой цели достижения эффективности операций, достоверности и полноты финансовой и управленческой информации, а также соблюдения законодательных и нормативных актов. Оценка риска включает выявление и анализ рисков, связанных с достижением этих целей. Анализ рисков по портфелю инвестиций ведется с помощью расчета норматива достаточности собственных средств банка.

Для этого все его активы делятся по степени риска вложений на 5 групп, для которых установлены следующие коэффициенты риска.

Таблица 10. Группировка активов банка по степени риска вложений

Номер группы риска	Активы банка, входящие в группу риска	Коэффициент риска
1	2	3
1.1	Средства на корреспондентском и депозитном счетах в ЦБ РФ. Счета 30102, 319	0
1.2	Обязательные резервы, перечисленные в ЦБ РФ, счета 30202, 30204	0
1.3	Средства банков, депонированные для расчетов чеками, сч. 30206	0
1.4	Вложения в государственные долговые обязательства и облигации внутреннего и внешнего валютных займов, не обремененные обязательствами, часть сч, 501	0
1.5	Касса и приравненные к ней средства, драгоценные металлы в хранилищах и в пути, счета 202. А, 204А	0
1.6	Счета расчетных центров ОРЦБ в учреждениях Банка России, сч. 30106	2
1.7	Средства на накопительных счетах при выпуске акций, сч. 30208	0
1.8	Счета кредитных организаций по кассовому обслуживанию филиалов, сч. 3021	0
2.1	Ссуды, гарантированные Правительством РФ Ссуды под залог государственных ценных бумаг РФ Ссуды под залог драгоценных металлов в слитках	10
2.2	Средства в расчетных центрах ОРЦБ, счета 30402. 30404, 30409	10
2.5	Средства участников расчетных центров ОРЦБ, депонируемые для завершения расчетов по операциям ОРЦБ, сч. 30406	10
3.1	Вложения в долговые обязательства субъектов РФ и местных органов власти, сч. 502А	20
3.2	Средства на корреспондентских счетах в банках-нерезидентах стран - членов ОЭСР, часть сч. 30114	20
3.3	Кредиты, предоставленные банкам-нерезидентам стран - членов ОЭСР. часть сч. 321 А	20
3.4	Ссуды под залог ценных бумаг субъектов РФ и местных органов власти	20
3.5	Ссуды клиентам, предоставленные банками со 100%-ным участием иностранных инвестиций под гарантии, полученные от материнских банков стран-членов ОЭСР	20
3.6	Средства на корреспондентских и депозитных счетах в драгоценных металлах в банках стран - членов ОЭСР, часть сч. 20316, часть сч. 30119	20
4.1	Средства на учетах в банках-резидентах РФ, сч. 30110	70
4.2	Средства на счетах в банках-нерезидентах стран - не членов ОЭСР, исключая страны ближнего зарубежья, - часть сч. 30114, часть сч. 321 А	70
4.3	Ценные бумаги для перепродажи, счета 50302, 50402	70
4.4	Средства на корреспондентских и депозитных счетах в драгоценных металлах у банков-резидентов РФ и банков-нерезидентов стран - нечленов ОЭСР, часть сч. 20316. часть сч. 30119	70
5.1	Все прочие активы банка за минусом остатков на счетах 105, 20319, 20320, 30202, 30204, 30302, 30304. 30306, 325, 401104, 40109, 40111, 40311, 459, 61404. 61405 - 61408, 702. 704, 705, часть счетов 51208 - 51908, часть счетов 51209 - 51909, счета 50802, 50803. 601А, 60201 -60205	100
5.2	Неиспользованные кредитные линии по предоставлению кредитов, гарантии и поручительства, выданные банком, сч. 91302, часть 91404	100

Взвешивание активов по степени риска производится путем умножения остатка средств на соответствующем балансовом счете на коэффициент риска, деленный на 100%.

Норматив достаточности собственных средств банка определяется как процентное отношение собственных средств банка к суммарному объему активов, взвешенных с учетом риска, за вычетом суммы созданных резервов под обесценение ценных бумаг и на возможные потери по ссудам 2_й - 4_й групп риска:

Н₁ =,

где K - капитал банка;

А_р - сумма активов банка, взвешенных с учетом риска вложений;

Рц - общая величина созданного резерва под обесценение ценных бумаг;

Р_к - разница между величиной созданного резерва на возможные потери по ссудам 2_й - 4_й групп риска и остатком счета 61404 в части средств, не вошедших в расчет капитала банка;

Рд - величина созданного резерва на возможные потери по прочим активам и по расчетам с дебиторами.

Проведем группировку активов ООО «Башинвестбанк» по степени риска вложений и определим нормативы достаточности собственных средств банка по состоянию на 2003-2005 гг.

Произведем взвешивание активов по степени риска вложений путем умножения остатков средств на соответствующих балансовых счетах, входящих в определенную группу риска, на соответствующий этой группе коэффициент риска, деленный на 100%. Расчет проведем по состоянию на 2003 г. - А_р4 и 2005 г. - А_р5:

А_р2003г. ⁼

А_р2004г. =

А_р52005г.⁼

Определим нормативы достаточности собственных средств банка по состоянию на 2003-2005 гг. Предварительно рассчитаем показатели Рк на те же даты:

Рк 2003 г. = 1 167 + 1234 + 900 - 158 = 3 143 руб.

Рк 2004 г. = 1160 + 1119 + 1115 - 158 = 3 237 руб.

Рк 2005 г. = 1 156 + 6988 + 1156-158 = 9 142 руб.

Значение показателя Рц по состоянию на 2003 г. - нулевое, на 2004 г. 345 тыс. руб., а на 2005 г. равно 500 тыс. руб. Таким образом, значение показателей Н₁ и Н₁ будет следующим:

Н₁ =

Н₁ =

Н₁ =

Минимально допустимое значение норматива Н₁ на 2003 г. установлено в размере 7%, полученные результаты выше этого значения, что является признаком устойчивого финансового положения банка.

Однако тенденция изменения значения норматива Н₁ является негативной, величина норматива за анализируемый период снизилась на 0,13%, что вызвано в основном сокращением величины собственных средств банка.

Важным показателем в анализе рисков является показатель общей степени риска, который рассчитывается следующим образом: на начало анализируемого периода:

Пср.= = 32%

на середину анализируемого периода:

Пср.= =60%

за весь анализируемый период

Пср.= =9%

Используя эти показатели, можно определить расчетную величину резерва следующим образом:

Рр = Сз Ч Пср. / 100%,

где Сз - общая сумма ссудной задолженности.

Рр 2002-2003 гг. = 1366 Ч 32 / 100 = 437 тыс. руб.

Рр 2003-2004 гг. = 1473 Ч 60 / 100 = 884 тыс. руб.

Рр 2004-2005 гг. =1473 Ч 9 / 100 = 132 тыс. руб.

Как видно из рассчитанных данных уровень кредитного риска ООО «Башинвестбанк» низок, а обеспеченность резервом на возможность потерь по ссудам высока. Н₁ будет следующим:

Н₁ = 37473 / 100 = 10,62%;

Н₁ = 36475 / Ч100 = 10,51%;

Н₁ = 35401 / 100 = 10,49%.

Таким образом, результатом проведенного анализа эффективности деятельности банка, можно сделать заключение о достаточно высоком уровне финансовой устойчивости, при имеющихся резервах ее повышения в будущем периоде.

Из вышесказанного можно сделать выводы о том, что важнейшими аспектами деятельности внутреннего контроля является определение и анализ возможных внешних и внутренних рисков в деятельности Банка, а также выработка рекомендаций, позволяющих снизить уровень риска или минимизировать потери.

3. Совершенствование банковского аудита коммерческого банка ООО «БашИнвестБанк»

3.1 Методика оценки соответствия информационной безопасности для качественного осуществления функций внутреннего контроля

Службе внутреннего контроля ООО «Башинвестбанк» для совершенствования внутреннего контроля в банке и минимизации рисков предлагается использовать методику оценки соответствия информационной безопасности. Данная методика предназначена для оценки соответствия информационной безопасности Банка по принципам, положениям и требованиям стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» при проведении внутреннего контроля информационной безопасности в Банке.

В основе исходной концептуальной схемы информационной безопасности Банка лежит противоборство «собственника» и «злоумышленника» за контроль над информационными активами. В случае если злоумышленник устанавливает контроль над информационными активами, как самого Банка, так и клиентам, которые доверили свои собственные активы, наносится ущерб. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.

Главный инструмент «собственника» - основанный на опыте прогноз.

Чем точнее сделан прогноз, тем ниже риски нарушения ИБ в Банке при минимальных ресурсных затратах.

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации, основанную на адаптации общих критериев и проведении анализа риска.

Представленная модель защиты информации - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

- уязвимости информационной системы или системы контрмер, влияющие на вероятность реализации угрозы;

- риск - фактор, отражающий возможный ущерб Банку в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования.

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для Банка на основе заданного критерия. Систему информационной безопасности предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика проведения аналитических работ позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

Предлагается наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза политику ИБ и в соответствии с ней построить систему управления ИБ, которая будет включать в себя:

- разработку политики информационной безопасности;

- разработку технических, организационных и административных планов обеспечения реализации политики информационной безопасности;

- разработку нормативно-методических документов обеспечения ИБ;

- создание административного и кадрового обеспечения комплекса средств управления ИБ Банка;

- обеспечение штатного функционирования комплекса средств ИБ Банка;

- осуществление контроля функционирования системы управления ИБ Банка;

- обучение с целью поддержки квалификации персонала Банка;

- оценку рисков, связанных с нарушениями ИБ.

Для реализации этих задач службу внутреннего контроля рекомендуется наделить следующими полномочиями:

- управлять всеми планами по обеспечению ИБ Банка;

- разрабатывать и вносить предложения по изменению политики ИБ Банка;

- изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;

- выбирать средства управления и обеспечения ИБ Банка;

- контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;

- контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ;

- осуществлять мониторинг событий, связанных с ИБ;

- расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;

- участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;

- создавать, поддерживать и совершенствовать систему управления ИБ Банка.

Хорошей практикой является, когда служба внутреннего контроля Банка имеет собственного куратора на уровне первого лица в руководстве Банка. При этом служба внутреннего контроля и служба информатизации не должны иметь общего куратора.

Система управления ИБ должна реализоваться службой внутреннего контроля в виде совокупности взаимозависимых и постоянно действующих процессов штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований ИБ.

Для успешного функционирования системы управления ИБ и поддержки действующих в ней процессов рекомендуется выделять четыре основных процесса, выполнение которых должно быть реализовано в виде непрерывного цикла

1

4 2

3

Рис. 10 Непрерывный цикл системы управления ИБ

1) Планирование процессов выполнения требований ИБ должно включать в себя определение целей и политики ИБ, требований ИБ и процессов их реализации. К планированию следует относить процессы формирования политики ИБ, формирования требований ИБ, оценки рисков, выбора защитных мер. Процессы выполнения требований ИБ должны быть спланированы так, чтобы они позволили выбрать защитные меры, обеспечивающие достижение результатов в соответствии с установленными целями и политиками ИБ.

2) Реализация и эксплуатация защитных мер должна включать в себя внедрение выбранных защитных мер с помощью процессов оптимального размещения и тестирования на их соответствие установленным требованиям ИБ.

3) Проверка процессов выполнения требований ИБ и защитных мер должна включать в себя проверку и оценку соответствия процессов выполнения требований ИБ установленным требованиям ИБ, а также проверку и оценку соответствия ИБ организации требованиям настоящего стандарта. Проверка и оценка должны производиться с помощью процессов аудита ИБ, мониторинга ИБ.

4) Совершенствование процессов выполнения требований ИБ и защитных мер должно включать в себя корректирующие и превентивные действия в отношении процессов выполнения требований ИБ и защитных мер по результатам оценки соответствия реализации процессов ИБ в организации и изменений в среде организации.

Корректирующие действия должны включать определение причин несоответствия или характера изменений в среде организации, корректировки процессов выполнения требований ИБ и защитных мер. Превентивные действия должны включать процессы определения потенциальных причин несоответствия, а также реализацию превентивных изменений.

Качество функционирования системы управления ИБ следует оценивать по полноте, адекватности и уровню зрелости поддерживаемых ею процессов.

Организационная основа управления ИБ в организациях должна определяться целями бизнеса организации на финансовом рынке, размерами организации, наличием сети филиалов и другими факторами.

Для организаций, имеющих сеть филиалов или региональных представительств, рекомендуется выделить соответствующие подразделения ИБ на местах, обеспечив их необходимыми ресурсами и нормативной базой.

3.2 Оптимизация управления рисками информационной безопасности в банке

Рассмотрим процесс текущего уровня информационной безопасности в ООО «Башинвестбанк», имея в наличии групповые показатели информационной безопасности Банка в единицах измерения - балл.

Информация о количестве единиц каждого показателя информационной безопасности необходимого для обнаружения рисков информационной безопасности в разных отделах Банка, полученных в результате проверки службой внутреннего контроля Банка и приведена в табл. 11.

Таблица 11. Исходные данные показателей обеспечения информационной безопасности ООО «Башинвестбанк»

Наименование групповых показателей ИБ	Нормы оценки по группам риска	Итого	Нормы показателей, балл
	Аудиторская процедура в кредитном отделе Х1	Аудиторская процедура в отделе обслуживания физических лиц Х2	Аудиторская процедура в отделе обслуживания юридических лиц Х3	Аудиторская процедура отделе автоматизации Х4
1	2	3	4	5	6	7
1. Показатель обеспечения ИБ при назначении и распределении ролей и обеспечения доверия к персоналу, балл	10	8	10	9	37	от 1 до 10
2. Показатель обеспечения ИБ автоматизированных банковских систем на стадиях жизненного цикла.	14	12	11	15	52	от 1 до 15
3. Показатель обеспечения ИБ при управлении доступом и регистрации	25	18	21	23	87	от 1 до 25
4. Показатель обеспечения ИБ средствами антивирусной защиты	48	46	42	50	186	от 1 до 50
5. Показатель обеспечения ИБ при использования ресурсов по сети Клиент-Банка	45	40	43	45	173	от 1 до 45
6. Показатель обеспечения ИБ средствами криптографической защиты информации	29	27	30	30	116	от 1 до 30
7. Показатель обеспечения ИБ банковских платежных технологических процессов	48	49	50	50	197	от 1 до 50
8. Показатель обеспечения ИБ банковских информационно технологических процессов	33	35	35	30	133	от 1 до 35
ИТОГО	252	235	242	252	981	-

На основании исходных данных, представленных в таблице произведем расчет, при котором произойдет улучшение обеспечением информационной безопасности, за счет которых банковские риски пойдут на снижение.

Номенклатуру используемых групповых показателей информационной безопасности, которую обозначим через bi включает следующие наименования показателей:

- показатель обеспечения ИБ при назначении и распределении ролей и обеспечения доверия к персоналу;

- показатель обеспечения ИБ автоматизированных банковских систем на стадиях жизненного цикла;

- показатель обеспечения ИБ при управлении доступом и регистрации;

- показатель обеспечения ИБ средствами антивирусной защиты;

- показатель обеспечения ИБ при использования ресурсов по сети Клиент-Банк;

- показатель обеспечения ИБ средствами криптографической защиты информации;

- показатель обеспечения ИБ банковских платежных технологических процессов;

- показатель обеспечения ИБ банковских информационно технологических процессов.

Введем обозначения

Целевая функция максимизации обеспечения информационной безопасности:

К = b₁ + b₂ + b₃ +b₄ => max.

1) обеспечение ИБ при назначении и распределении ролей и обеспечения доверия к персоналу:

К = 10b₁ + 8b₂ + 10b₃ +9b₄ => max.

2) обеспечение ИБ автоматизированных банковских систем на стадиях жизненного цикла:

К =14 b₁ + 12b₂ + 11b₃ +15b₄ => max.

3) обеспечения ИБ при управлении доступом и регистрации:

К = 25b₁ +18 b₂ + 21b₃ +23b₄ => max.

4) обеспечение ИБ средствами антивирусной защиты:

К = 48b₁ + 46b₂ +42 b₃ +50b₄ => max.

5) обеспечение ИБ при использования ресурсов по сети Клиент-Банка:

К = 45b₁ + 40b₂ + 43b₃ +45b₄ => max.

6) обеспечения ИБ средствами криптографической защиты информации:

К = 29b₁ + 27b₂ + 30b₃ +30b₄ => max.

7) обеспечения ИБ банковских платежных технологических процессов:

К = 48b₁ +49b₂ + 50b₃ +50b₄ => max.

8) обеспечения ИБ банковских информационно технологических процессов:

К = 33b₁ + 35b₂ + 35b₃ +30b₄ => max.

Таким образом, К=W, что соответствует теории двойственности.

Выявление показателей производилось с помощью проверки распорядительно-нормативных и технических документов, а также с помощью анкетирования, опросов и наблюдений за деятельностью Банка.

Если в результате оценивания показателей обеспеченности информационной безопасности Банка получен ответ «нет», то оценка равна 0, если ответ «частично», то оценка равна 1, если ответ «да», то оценка равна 2.

Решение задачи можно найти в отчете Поиска решений ППП ECXEL. Окно «Поиск решения» вызывается командой меню Сервис>Поиск решения.



Рис. 11 Диалоговое окно Поиск решения

Диалоговые окна изменения и добавления ограничений одинаковы, значения которых накладываются ограничения.

Рис. 12 Диалоговое окно Изменение ограничения

Настройка параметров алгоритма и программы производится в диалоговом окне «Параметры поиска решения».



Рис. 13 Диалоговое окно Параметры поиска решения

Сохранение модели оптимизации возможно с помощью открытия диалогового окна «Сохранить модель».

Рис. 14 Диалоговое окно «Сохранить модель»

После того как Поиск решения успешно завершен, в диалоговом окне «Результаты поиска решения» выведено сообщение: Решение найдено. Все ограничения и условия оптимальности выполнены. Таблица является отчетом по решению задачи оптимизации информационной безопасности, в которой определена минимизация риска по информационной безопасности и оптимальная структура групповых показателей информационной безопасности Банка.

Таблица 12. Оптимизированная структура групповых показателей ИБ, сформированная по критерию минимизации риска ИБ