Система внутреннего контроля и аудита ПАО «Сбербанк»: анализ соответствия актуальным регуляторным требованиям (2020–2025) и внедрение Digital-аудита

На фоне беспрецедентных геополитических сдвигов, стремительной цифровизации финансового сектора и ужесточения регуляторных требований Банка России, роль системы внутреннего контроля (СВК) и внутреннего аудита (СВА) в системно значимых кредитных организациях, таких как ПАО «Сбербанк», становится критически важной. Период 2020–2025 годов ознаменовался фундаментальными изменениями, которые потребовали от банков глубокой адаптации и переосмысления подходов к управлению рисками и контрольным процедурам.

Данная работа представляет собой углубленное теоретико-практическое исследование, нацеленное на критический анализ соответствия СВК ПАО «Сбербанк» новейшим регуляторным требованиям ЦБ РФ (в частности, Положениям № 716-П и № 764-П), оценку влияния геополитических факторов на стратегию управления рисками с использованием свежих финансовых показателей 2024 года, а также на эксклюзивный обзор применения передовых Digital-аудит инструментов (таких как Process Mining и GRC-системы) в практике Сбербанка. Цель исследования – не просто описать, но и проанализировать эффективность этих систем в условиях повышенной турбулентности, выявить «слепые зоны» и предложить обоснованные рекомендации по их совершенствованию. Практическая ценность этой работы заключается в том, что она предоставляет руководству банка и специалистам по аудиту актуальные данные и стратегические ориентиры для принятия решений.

Структура работы последовательно раскрывает теоретические основы, детализирует регуляторные изменения, анализирует организацию СВК и СВА в Сбербанке, оценивает интеграцию контроля в управление ключевыми рисками и, наконец, фокусируется на инновационных методах Digital-аудита, позволяя получить максимально полное и актуальное представление о предмете исследования.

Теоретические основы и эволюция регуляторных требований к СВК в банковском секторе РФ

Погружение в проблематику внутреннего контроля и аудита начинается с фундаментального понимания их сущности и роли в контексте российского банковского законодательства, опирающегося на международные стандарты. СВК – это не просто набор процедур, а интегрированная система, пронизывающая все уровни управления и призванная защищать интересы банка, его акционеров и клиентов. Ее адекватность напрямую влияет на устойчивость всей финансовой системы.

Эволюция нормативно-правовой базы: соотношение COSO, Положения ЦБ РФ № 242-П и стандартов IIA

В основе современного понимания системы внутреннего контроля лежит концепция COSO (Committee of Sponsoring Organizations of the Treadway Commission). Модель COSO Integrated Framework (COSO IC-IF), разработанная в 1992 году и обновленная в 2013-м, определяет СВК как процесс, осуществляемый советом директоров, руководством и другими сотрудниками организации, предназначенный для обеспечения разумной уверенности в достижении целей в следующих категориях: эффективность и результативность операций; надежность финансовой отчетности; соблюдение законодательства и нормативных актов. Она включает пять взаимосвязанных компонентов:

1. Контрольная среда: создает основу для реализации СВК в организации, определяя этические принципы и культуру управления.
2. Оценка рисков: позволяет организации выявлять и оценивать риски, влияющие на достижение ее целей, и планировать меры по их минимизации.
3. Контрольные процедуры: помогают обеспечить выполнение указаний руководства для минимизации рисков и включают широкий спектр действий.
4. Информация и коммуникация: обеспечивают своевременный сбор, обработку и передачу необходимой информации, что критически важно для принятия решений.
5. Мониторинг: включает постоянную оценку эффективности СВК, позволяя оперативно корректировать ее работу.

В контексте российского банковского сектора, эти международные принципы нашли свое отражение и адаптацию в отечественной регуляторной базе. Система внутреннего контроля (СВК) кредитной организации, согласно требованиям ЦБ РФ, должна быть направлена на обеспечение эффективного осуществления финансово-хозяйственной деятельности, управление активами и пассивами, а также поддержание рисков на уровне, не угрожающем интересам акционеров и клиентов. Это означает, что СВК не просто исполняет формальные требования, но и является инструментом стратегического управления устойчивостью.

Служба внутреннего аудита (СВА) является неотъемлемой частью СВК, представляя собой независимое и объективное подразделение, которое обеспечивает оценку адекватности и эффективности системы внутреннего контроля, управления рисками и корпоративного управления, а также предоставляет консультации для их улучшения. Основные функции СВА регулируются Федеральным законом «О банках и банковской деятельности» и подкрепляются Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Это Положение стало краеугольным камнем в формировании требований к СВК в России, адаптируя международные подходы к специфике отечественного банковского надзора.

Деятельность СВА также базируется на Международных стандартах профессиональной практики внутреннего аудита (Standards for the Professional Practice of Internal Auditing, SPPIA), разработанных Институтом внутренних аудиторов (The Institute of Internal Auditors, IIA). Эти стандарты определяют принципы, методы и подходы к организации и проведению внутреннего аудита, обеспечивая его независимость, компетентность и этичность. Это позволяет российским банкам оперировать на уровне лучших мировых практик, что повышает доверие со стороны инвесторов и партнеров.

Таким образом, российская нормативно-правовая база для СВК и СВА представляет собой гибридную систему, в которой международные концепции (COSO, IIA) гармонично интегрированы с национальными регуляторными актами ЦБ РФ, обеспечивая одновременно глобальный уровень компетенций и специфику местного регулирования.

Критические изменения в регуляторике ЦБ РФ (2020–2025): Положения № 716-П и № 764-П

Период 2020–2025 годов ознаменовался рядом важных обновлений в регуляторной базе Банка России, которые существенно повлияли на требования к системам внутреннего контроля и управления рисками в кредитных организациях. Эти изменения не просто детализировали существующие нормы, но и ввели новые подходы, особенно в отношении операционного и комплаенс-рисков, что потребовало от банков значительных инвестиций в методологию и технологии.

Ключевым регуляторным актом, устанавливающим требования к управлению операционным риском, является Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Этот документ внес значительные коррективы в банковскую практику, требуя более глубокого и систематического подхода к идентификации, оценке, мониторингу и контролю операционного риска. Основные нововведения включают:

• Идентификация операционного риска и База событий: Положение № 716-П обязывает кредитные организации установить во внутренних документах четкие процедуры идентификации операционного риска. Особое внимание уделяется ведению Базы событий операционного риска. Глава 6 Положения детализирует требования к ее формированию, а Приложение 4 устанавливает детализированную классификацию типов событий. Например, события операционного риска теперь должны классифицироваться по таким категориям, как «внутреннее мошенничество», «внешнее мошенничество», «системные сбои», «ошибки персонала», «нарушения процессов управления клиентами и продуктами», «стихийные бедствия» и другие. Это позволяет банкам не только регистрировать инциденты, но и проводить их глубокий анализ, выявляя корневые причины и тенденции. Именно эта детализация позволяет перейти от простого учета к превентивному управлению.
• Ежегодная самооценка и анализ пересмотра требований: Глава 2 Положения № 716-П требует, чтобы подразделения кредитной организации проводили ежегодную самооценку уровня операционного риска, присущего их деятельности, и эффективности контрольных процедур, направленных на его снижение. Это способствует повышению ответственности на местах и проактивному управлению рисками. Кроме того, кредитные организации обязаны регулярно, не реже одного раза в год, проводить анализ пересмотра требований к системе управления операционным риском, адаптируя ее к меняющимся условиям. Этот механизм обеспечивает постоянную актуализацию системы, что критически важно в условиях быстро меняющегося ландшафта угроз.
• Независимая оценка эффективности СУОР: Положение № 716-П четко предписывает, что подразделение, структурно независимое от службы управления рисками (например, Служба внутреннего аудита), должно проводить ежегодную оценку эффективности функционирования системы управления операционным риском. Это обеспечивает объективность оценки и повышает доверие к результатам аудита, поскольку исключает конфликт интересов.

Параллельно с усилением требований к управлению операционным риском, произошли изменения и в регулировании комплаенс-риска, особенно в части противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ). Положение Банка России от 15.07.2021 № 764-П ужесточило требования к банкам, установив порядок, сроки и объем доведения ЦБ РФ до кредитных организаций информации, полученной от Росфинмониторинга, о случаях отказа клиентам в проведении операций или заключении договора банковского счета (вклада) по «антиотмывочному» закону (115-ФЗ). Это требует от СВК и комплаенс-подразделений банков более тщательной проверки клиентов и операций, усиления мониторинга и оперативного реагирования на потенциальные риски. Что из этого следует? Банки теперь несут повышенную ответственность за превентивное выявление подозрительных операций, а их системы контроля должны быть максимально интегрированы с данными Росфинмониторинга, чтобы избежать репутационных и финансовых потерь.

Таким образом, новые положения ЦБ РФ заложили основу для более зрелой, детализированной и адаптивной системы управления рисками, требуя от банков не только соблюдения формальных требований, но и глубокой интеграции риск-ориентированного подхода во все бизнес-процессы. Это не просто «бумажные» изменения, а вектор развития всей банковской индустрии в сторону повышения прозрачности и безопасности.

Организация и интеграция СВК и СВА в систему управления рисками ПАО «Сбербанк»

В условиях, когда кредитная организация оперирует на столь масштабном и сложном рынке, как ПАО «Сбербанк», эффективность СВК и СВА становится не просто вопросом соответствия регуляторным нормам, но и ключевым фактором устойчивости и конкурентоспособности. Организационная модель Сбербанка отражает стремление к максимальной независимости аудита и глубокой интеграции контроля в процесс управления всеми видами рисков, что позволяет оперативно реагировать на вызовы рынка.

Организационная структура и обеспечение независимости Службы внутреннего аудита (СВА)

Служба внутреннего аудита (СВА) ПАО «Сбербанк» является одной из ключевых составляющих системы корпоративного управления, обеспечивающей независимую и объективную оценку всех аспектов деятельности Банка. Ее структура и положение в иерархии банка разработаны таким образом, чтобы гарантировать максимальную независимость и беспристрастность, что критически важно для получения достоверной информации о состоянии рисков.

СВА ПАО «Сбербанк» действует на постоянной основе и подотчетна непосредственно Наблюдательному совету Банка. Эта прямая подотчетность высшему органу управления является фундаментальным принципом обеспечения независимости СВА, поскольку исключает влияние исполнительного менеджмента на планирование, проведение и результаты аудиторских проверок. В то же время, административно СВА подчинена Президенту, Председателю Правления Банка, что обеспечивает оперативное взаимодействие и ресурсную поддержку, необходимую для эффективной работы. Ответственность за организацию эффективной работы СВА несут как Председатель Правления, так и руководитель СВА. Какой важный нюанс здесь упускается? Такая двойная подотчетность позволяет сочетать стратегическую независимость с оперативной поддержкой, создавая баланс между контролем и сотрудничеством.

Организационная структура СВА ПАО «Сбербанк» демонстрирует масштабы ее деятельности и глубокую интеграцию в региональную сеть Банка. Она включает:

• Управление внутреннего аудита центрального аппарата: отвечает за аудит корпоративных функций, стратегических проектов, централизованных процессов и подразделений.
• Управления внутреннего аудита по территориальным банкам (УВА по ТБ): осуществляют аудит на региональном уровне. Региональная сеть ПАО «Сбербанк» включает 12 территориальных банков и более 14 700 клиентских офисов, что отражает впечатляющие масштабы деятельности УВА по ТБ, охватывающего 83 субъекта Российской Федерации. Такая децентрализованная структура позволяет СВА быть максимально приближенной к операционной деятельности, учитывать региональную специфику и эффективно контролировать риски на местах.

Банк принимает необходимые меры для обеспечения независимости СВА, что является краеугольным камнем для объективности ее заключений:

• На руководителя СВА не могут быть возложены обязанности, не связанные с функциями внутреннего аудита. Это исключает конфликт интересов и сосредоточивает руководителя на выполнении исключительно аудиторских задач.
• Сотрудники СВА не могут совмещать свою деятельность с деятельностью в других подразделениях Банка. Это предотвращает ситуации, когда внутренний аудитор может быть пристрастен к результатам работы подразделения, в котором он ранее работал или продолжает быть задействован.
• Численный состав, структура и техническая обеспеченность СВА устанавливаются в соответствии с характером и масштабом осуществляемых Банком операций, а также уровнем и сочетанием принимаемых рисков. Это позволяет обеспечить адекватность ресурсов СВА ее задачам, что особенно важно в условиях постоянно меняющегося ландшафта рисков.

Таким образом, организационная модель СВА Сбербанка демонстрирует приверженность принципам независимости, профессионализма и масштабируемости, что является залогом ее эффективности. Эта модель позволяет не просто выявлять недостатки, но и активно способствовать их устранению, повышая общую надежность банка.

Применение концепции «Трех линий защиты» в Сбербанке

Концепция «Трех линий защиты» (Three Lines of Defense) является общепризнанной международной моделью построения эффективной системы управления рисками и внутреннего контроля. ПАО «Сбербанк» активно применяет эту модель, интегрируя ее в свою корпоративную структуру и процессы, что обеспечивает системный подход к управлению всеми видами рисков.

Эта модель четко разграничивает роли и обязанности между различными подразделениями банка в части управления рисками и контроля:

1. Первая линия защиты: Представляют собой операционные подразделения и бизнес-линии. Их основная функция — управление рисками, присущими их повседневной деятельности. Сотрудники первой линии постоянно выявляют, оценивают, мониторят и контролируют риски, с которыми они сталкиваются. Это означает, что управление рисками является неотъемлемой частью их работы, а не дополнительной функцией. Они отвечают за соблюдение политик, процедур и лимитов, установленных Банком.
2. Вторая линия защиты: Включает подразделения по управлению рисками (риск-менеджмент), комплаенс-контроль, юридические службы. Их роль заключается в разработке методологий, политик и процедур управления рисками, а также в мониторинге и надзоре за деятельностью первой линии. Они устанавливают рамки для управления рисками, предоставляют экспертизу, консультируют бизнес-подразделения и отслеживают соблюдение регуляторных требований.
3. Третья линия защиты: Это Служба внутреннего аудита (СВА). Ее роль заключается в предоставлении независимой и объективной оценки эффективности функционирования первой и второй линий защиты. СВА оценивает адекватность и результативность процессов управления рисками, внутреннего контроля и корпоративного управления в целом. Аудиторы проверяют, насколько эффективно первые две линии защиты выполняют свои функции, выявляют недостатки и дают рекомендации по их устранению. Важно, что СВА подотчетна Наблюдательному совету, что обеспечивает ее независимость от исполнительного менеджмента и гарантирует объективность выводов. Что из этого следует? Такая структура позволяет исключить конфликт интересов и обеспечить беспристрастную оценку, что повышает доверие ко всей системе управления рисками.

В ПАО «Сбербанк» Служба внутреннего аудита (СВА) представляет собой именно третью линию защиты, отвечающую за аудит эффективности всей системы управления рисками. Это позволяет Банку получить независимое подтверждение т��го, что риски управляются на приемлемом уровне, а внутренний контроль работает должным образом. Таким образом, модель «трех линий защиты» в Сбербанке является основой для построения надежной и прозрачной системы корпоративного управления и риск-менеджмента, что является ключевым фактором его долгосрочной устойчивости.

Интеграция СВК в управление ключевыми рисками в условиях геополитических факторов (Анализ 2024 года)

В динамичной и постоянно меняющейся экономической среде, особенно под влиянием геополитических факторов, интеграция системы внутреннего контроля в процесс управления ключевыми банковскими рисками приобретает особую значимость. ПАО «Сбербанк», как системно значимая кредитная организация, сталкивается с широким спектром рисков, управление которыми требует скоординированного подхода всех подразделений, включая СВК. Эффективность СВК в таких условиях напрямую влияет на финансовую устойчивость и репутацию банка.

Система управления рисками Сбербанка построена на принципах интеграции и комплексности. Принцип интеграции позволяет оценить интегральный риск и коммерческий ущерб, что дает возможность увидеть полную картину рискового профиля банка. Принцип комплексности, в свою очередь, требует совместной проработки рисков всеми подразделениями, включая СВК, риск-менеджмент, комплаенс и бизнес-подразделения, что обеспечивает целостный и всесторонний подход.

Ключевыми банковскими рисками, управление которыми входит в контур СВК, являются:

• Кредитный риск: риск возникновения убытков вследствие неисполнения или ненадлежащего исполнения заемщиками своих обязательств.
• Рыночный риск: риск возникновения убытков вследствие неблагоприятного изменения рыночных цен на финансовые инструменты, курсов иностранных валют, процентных ставок и других факторов.
• Риск ликвидности: риск невозможности исполнения банком своих обязательств в полном объеме и в срок.
• Операционный риск: риск возникновения убытков в результате несовершенства или отказа внутренних процессов, систем, действий персонала или внешних событий.
• Модельный риск: риск возникновения убытков вследствие ошибок или неадекватности используемых математических моделей для оценки рисков, ценообразования или принятия стратегических решений.
• ESG-риски: (Environmental, Social, Governance) – относительно новая, но быстро набирающая значимость категория рисков, связанная с экологическими, социальными и управленческими аспектами деятельности банка. К ним относятся риски, связанные с изменением климата, социальной ответственностью, корпоративным управлением.

Анализ кредитного риска в 2024 году:
В 2024 году, согласно публичным отчетам, ключевой риск для ПАО «Сбербанк» определялся динамикой розничного кредитного портфеля. Это было связано с завершением программы льготной ипотеки и сохранением высокого уровня процентных ставок, что оказывает давление на платежеспособность заемщиков.

• Стоимость кредитного риска (CoR) ПАО «Сбербанк» за 2024 год (по РПБУ) составила 1,5%, что немного выше показателя 2023 года (1,4%). Этот рост указывает на умеренное увеличение затрат на формирование резервов по кредитному портфелю, что может быть связано как с вышеупомянутыми макроэкономическими факторами, так и с общей стратегией консервативного резервирования.
• Доля обесцененных кредитов (NPL – Non-Performing Loans) Сбербанка увеличилась на 0,3 п.п. и достигла 2,2% по итогам 2024 года. Тем не менее, это по-прежнему является низким значением для банковского сектора, свидетельствующим о высоком кредитном качестве портфеля Банка и эффективной работе системы управления кредитным риском. Что из этого следует? Даже в условиях повышенной макроэкономической волатильности Сбербанку удается поддерживать качество портфеля на высоком уровне, что говорит о зрелости его риск-менеджмента и эффективности СВК в превентивном мониторинге.

Эти данные подчеркивают, что СВК играет ключевую роль в мониторинге и контроле кредитных портфелей, анализе качества заемщиков и своевременном выявлении проблемных активов.

Влияние геополитических факторов:
Геополитические факторы, включая введение полных блокирующих санкций против Сбербанка в 2022 году, сформировали новую экономическую среду и потребовали от Банка кардинального изменения стратегии и адаптации системы управления рисками. Это привело к следующим последствиям:

• Изменение бизнес-модели: Сбербанк был вынужден переориентироваться на внутренний рынок, развивать собственные технологические решения и активно участвовать в импортозамещении.
• Усиление комплаенс-контроля: Требования к соблюдению международных и национальных санкционных режимов значительно возросли, что потребовало от СВК усиления процедур комплаенс-контроля и мониторинга операций на предмет соответствия регуляторным нормам.
• Управление операционным риском: В условиях технологических ограничений и необходимости быстрого перехода на отечественное программное обеспечение, операционный риск, связанный с системными сбоями и информационной безопасностью, значительно возрос. СВК пришлось адаптировать свои методики оценки и контроля к новым реалиям.
• ESG-риски: Несмотря на геополитические вызовы, Сбербанк продолжает уделять внимание ESG-факторам, однако их оценка и управление также претерпели изменения, учитывая новые приоритеты и международные стандарты.

Таким образом, СВК Сбербанка не просто отслеживает риски, но и активно участвует в их снижении, адаптируя свою деятельность к вызовам, формируемым геополитической обстановкой и динамикой рынка. Это требует постоянного развития методологий, технологического оснащения и компетенций персонала, что является залогом устойчивости банка в условиях внешней турбулентности.

Методология Digital-аудита и ИТ-инструменты как драйвер эффективности СВК в ПАО «Сбербанк»

В эпоху тотальной цифровизации банковского сектора традиционные подходы к внутреннему контролю и аудиту уже не способны обеспечить необходимый уровень эффективности и оперативности. ПАО «Сбербанк», осознавая это, активно внедряет передовые методологии Digital-аудита и современные ИТ-инструменты, которые становятся ключевым драйвером для повышения качества СВК. Это является одним из ключевых элементов уникального информационного преимущества Сбербанка, позволяя ему не только соответствовать регуляторным требованиям, но и опережать их.

Методические основы оценки эффективности СВК и СВА (COSO IC-IF и QAR)

Оценка эффективности системы внутреннего контроля и Службы внутреннего аудита является непрерывным и многомерным процессом, который в российском банковском секторе, и в частности в Сбербанке, основывается на гармоничном сочетании международных стандартов и национальных регуляторных требований. Это обеспечивает комплексный подход и позволяет оценивать как процесс, так и результат.

Оценка эффективности СВК по модели COSO IC-IF:
Методика оценки эффективности СВК в российском банковском секторе, включая Сбербанк, базируется на адаптации международной модели COSO Integrated Framework (COSO IC-IF) к требованиям Положения ЦБ РФ № 242-П. Как уже упоминалось, COSO IC-IF включает пять взаимосвязанных компонентов:

1. Контрольная среда: Оценивается наличие и эффективность этических принципов, компетенций персонала, распределения полномочий и ответственности.
2. Оценка рисков: Анализируется способность банка своевременно выявлять, оценивать и реагировать на значимые риски.
3. Контрольные процедуры: Проверяется адекватность и результативность контролей, направленных на снижение рисков (например, авторизация операций, сверки, разграничение полномочий).
4. Информация и коммуникация: Оценивается эффективность процессов сбора, обработки и обмена информацией внутри банка и с внешними сторонами.
5. Мониторинг: Анализируется непрерывность и своевременность оценки эффективности СВК, включая самостоятельную оценку (самооценку) и внешние оценки.

Внутренний аудит ставит своей целью именно комплексную оценку всех этих элементов, используя при этом модель COSO IC-IF. Это позволяет получить системное представление о сильных и слабых сторонах СВК, выявить области для улучшения и дать рекомендации по повышению ее надежности. Какой важный нюанс здесь упускается? Модель COSO IC-IF не просто выявляет проблемы, но и помогает понять взаимосвязи между компонентами СВК, что критически важно для построения действительно эффективной и устойчивой системы.

Оценка качества работы СВА по стандартам IIA (QAR):
Для оценки качества работы самой Службы внутреннего аудита (СВА) применяются стандарты Института внутренних аудиторов (IIA). Эти стандарты предполагают проведение двух типов оценок:

• Внутренние оценки качества (самооценка): Проводятся сотрудниками СВА с определенной периодичностью для оценки соответствия своей деятельности стандартам IIA, методологии и внутренним политикам.
• Внешние оценки качества (Quality Assessment Review, QAR): Проводятся независимыми внешними экспертами или командами экспертов, аккредитованными IIA, не реже одного раза в пять лет. QAR предоставляет объективную оценку эффективности СВА, ее соответствия стандартам IIA и лучшим практикам. Результаты QAR используются для повышения профессионализма СВА, совершенствования ее методологий и повышения ее ценности для организации.

Таким образом, Сбербанк использует двухкомпонентный подход: COSO IC-IF для оценки эффективности всей СВК и стандарты IIA (включая QAR) для оценки качества и зрелости своей Службы внутреннего аудита. Это позволяет банку не только соблюдать формальные требования, но и постоянно совершенствовать свои процессы, обеспечивая высший уровень корпоративного управления.

Практика Digital-аудита: Process Mining и GRC-системы Сбербанка

ПАО «Сбербанк» активно инвестирует в цифровизацию внутренних процессов, и сфера аудита не является исключением. Внедрение Digital-аудита позволяет перейти от выборочных проверок к непрерывному мониторингу, от ручного анализа к автоматизированной обработке больших данных, значительно повышая эффективность и результативность контрольных процедур. Это является одним из ключевых элементов уникального информационного преимущества Сбербанка, позволяя выявлять аномалии и риски на ранних стадиях.

Применение технологии Process Mining:
Одним из наиболее инновационных инструментов цифрового аудита, применяемых в Сбербанке, является решение на базе технологии Process Mining (процессная аналитика).

• Что это такое? Process Mining — это методология и набор инструментов, позволяющие реконструировать, анализировать и улучшать бизнес-процессы на основе данных из информационных систем (логов событий). Она позволяет буквально «увидеть», как процессы выполняются на самом деле, а не так, как они задокументированы, выявляя скрытые неэффективности.
• Как используется в Сбербанке? Сбербанк применяет Process Mining для мгновенной диагностики рабочих процессов (workflow). С помощью этой технологии аудиторы могут:
  • Выявлять неэффективности: Обнаруживать «узкие места», отклонения от стандартных процедур, несанкционированные действия, задержки и избыточные шаги в процессах.
  • Проводить факторный анализ: Определять корневые причины выявленных проблем, например, почему операции занимают больше времени, чем ожидалось, или почему происходят определенные ошибки.
  • Автоматизированная проверка резервов: В частности, Process Mining используется для автоматизированной проверки резервов на возможные потери по корпоративным ссудам, что позволяет оперативно выявлять аномалии и потенциальные риски.
  • Оптимизация процессов: На основе анализа Process Mining Сбербанк может принимать обоснованные решения по оптимизации и автоматизации бизнес-процессов, повышая их прозрачность и контролируемость.

Использование GRC-систем (Governance, Risk, Compliance):
GRC-системы (Governance, Risk, Compliance) — это специализированные средства автоматизации, которые позволяют выстроить единую вертикаль взаимоотношений между участниками процессов управления рисками и обеспечения информационной безопасности в банке. Эти системы интегрируют управление корпоративным управлением, рисками и соблюдением нормативных требований в единую платформу, обеспечивая целостный взгляд на рисковый профиль организации.

• Применение в Сбербанке: В части GRC-систем и управления рисками Сбербанк использует специализированные автоматизированные решения. Например, активно применяется SAP Bank Analyzer Limit Manager. Эта система обеспечивает гибкий механизм управления структурой лимитов риска по различным параметрам (кредитный риск, рыночный риск, ликвидность) и на разных уровнях организационной иерархии. Она позволяет в режиме реального времени мониторить соблюдение установленных лимитов, оперативно реагировать на их превышения и проводить стресс-тестирование.
• Преимущества GRC-систем:
  • Интеграция данных: Объединение информации о рисках, контролях, инцидентах и регуляторных требованиях.
  • Автоматизация процессов: Автоматизация процедур оценки рисков, контрольных мероприятий, сбора отчетности.
  • Прозрачность: Единая платформа для всех участников процесса управления рисками.
  • Принятие решений: Предоставление руководству актуальной и достоверной информации для принятия обоснованных решений.

Таким образом, Сбербанк не просто следует трендам цифровизации, но и активно формирует их, внедряя передовые технологии Process Mining и GRC-системы для повышения эффективности своего внутреннего контроля и аудита. Это позволяет не только снижать издержки, но и значительно увеличивать скорость и качество принятия управленческих решений.

Контроль ИТ-подразделений и ИТ-рисков: стандарты COBIT и ISO 20000

В условиях тотальной цифровизации банковской деятельности ИТ-системы становятся фундаментом, на котором строится весь бизнес. Соответственно, управление ИТ-рисками и контроль ИТ-подразделений выходят на первый план. Система внутреннего контроля (СВК) в ПАО «Сбербанк» активно использует международные стандарты для обеспечения надежности и безопасности своих информационных технологий, что критически важно для поддержания непрерывности операций.

Актуальность ИТ-рисков:
ИТ-риски охватывают широкий спектр угроз, таких как:

• Киберугрозы: атаки хакеров, утечки данных, вредоносное программное обеспечение.
• Сбои систем: отказы оборудования, программного обеспечения, ошибки в конфигурации.
• Человеческий фактор: ошибки персонала, несанкционированный доступ.
• Несоответствие регуляторным требованиям: несоблюдение стандартов по защите данных (например, GDPR, 152-ФЗ).
• Модельный риск: риск, связанный с использованием сложных ИТ-моделей.

Международные стандарты для контроля ИТ:
Для эффективного управления и контроля ИТ-подразделений и связанных с ними рисков СВК Сбербанка ориентируется на международные стандарты, которые дополняют российские регуляторные акты (например, требования ЦБ РФ, основанные на рекомендациях Базельского комитета II):

• COBIT (Control Objectives for Information and Related Technologies): Это фреймворк (набор руководств и инструментов) для управления и контроля информационных технологий, разработанный ISACA (Information Systems Audit and Control Association). COBIT предоставляет комплексную модель для эффективного управления ИТ-процессами, их оценки и аудита. Он помогает организациям достигать стратегических целей в области ИТ, управлять рисками, связанными с ИТ, и обеспечивать соответствие регуляторным требованиям. В контексте Сбербанка, COBIT используется для:
  • Определения целей контроля для всех ключевых ИТ-процессов.
  • Оценки зрелости ИТ-процессов.
  • Разработки и внедрения контрольных процедур для снижения ИТ-рисков.
  • Планирования и проведения аудитов ИТ-систем.
• ISO 20000 (Information Technology Service Management): Это международный стандарт для системы менеджмента ИТ-услуг (ITSM). Он определяет требования к организации, планированию, предоставлению и поддержке ИТ-услуг. Стандарт ISO 20000 фокусируется на процессно-ориентированном подходе, обеспечивая высокое качество ИТ-услуг и их соответствие потребностям бизнеса. Применение этого стандарта в Сбербанке позволяет:
  • Оптимизировать процессы управления ИТ-услугами (управление инцидентами, изменениями, проблемами, конфигурациями).
  • Повысить надежность и доступность ИТ-инфраструктуры.
  • Обеспечить эффективное взаимодействие между ИТ-подразделениями и бизнес-пользователями.
  • Снизить операционные риски, связанные с предоставлением ИТ-услуг.

Интеграция этих международных стандартов в методологию СВК Сбербанка позволяет не только соответствовать высоким требованиям ЦБ РФ, но и строить устойчивую, безопасную и эффективную ИТ-инфраструктуру, способную поддерживать инновационные цифровые продукты и услуги Банка. Что из этого следует? Такой проактивный подход к управлению ИТ-рисками в условиях стремительной цифровизации обеспечивает банку конкурентное преимущество и минимизирует потенциальные убытки от киберугроз и сбоев.

Заключение и рекомендации

Проведен��ое углубленное теоретико-практическое исследование показало, что система внутреннего контроля и аудита ПАО «Сбербанк» демонстрирует высокий уровень зрелости и адаптивности к постоянно меняющимся условиям внешней среды и регуляторным требованиям. Сбербанк эффективно интегрирует международные стандарты (COSO, IIA, COBIT, ISO 20000) с национальным законодательством (Положения ЦБ РФ № 242-П, № 716-П, № 764-П), создавая надежный каркас для управления рисками и обеспечения устойчивости. Эта интеграция позволяет банку не только соблюдать требования, но и опережать их, формируя лучшие практики на рынке.

Ключевые выводы:

1. Соответствие регуляторным требованиям: СВК Сбербанка находится в полном соответствии с новейшими регуляторными требованиями ЦБ РФ. Детализированное ведение Базы событий операционного риска согласно Положению № 716-П, ежегодная самооценка подразделений и независимая оценка эффективности системы управления операционным риском являются яркими примерами глубокой интеграции регуляторики в повседневную практику. Усиление комплаенс-контроля в соответствии с Положением № 764-П также свидетельствует о проактивном подходе к минимизации рисков ПОД/ФТ.
2. Эффективная организационная модель СВА: Подчиненность Службы внутреннего аудита Наблюдательному совету, административная подчиненность Председателю Правления и развитая региональная структура (12 территориальных банков, охватывающих 83 субъекта РФ) обеспечивают ее независимость, масштабность и глубокую интеграцию в бизнес-процессы. Применение концепции «Трех линий защиты» четко разграничивает зоны ответственности и способствует синергии в управлении рисками.
3. Интеграция СВК в управление ключевыми рисками в условиях геополитики: Несмотря на существенное влияние геополитических факторов (блокирующие санкции 2022 года), Сбербанк продемонстрировал способность адаптировать свою систему управления рисками. Сохранение низкого уровня обесцененных кредитов (NPL 2,2% в 2024 году) и контролируемый рост стоимости кредитного риска (CoR 1,5%) свидетельствуют об эффективности СВК в управлении кредитными, операционными, рыночными, а также новыми модельными и ESG-рисками.
4. Практическая значимость Digital-аудита: Внедрение современных ИТ-инструментов, таких как Process Mining и GRC-системы (SAP Bank Analyzer Limit Manager), является уникальным преимуществом Сбербанка. Process Mining позволяет мгновенно диагностировать рабочие процессы, выявлять неэффективности и проводить факторный анализ, трансформируя традиционный аудит в непрерывный и проактивный процесс. GRC-системы автоматизируют управление лимитами рисков, повышая их прозрачность и контролируемость. Это позволяет перейти от выборочных проверок к непрерывному мониторингу, от ручного анализа к автоматизированной обработке больших данных, значительно повышая эффективность и результативность контрольных процедур.

Рекомендации по дальнейшему совершенствованию СВК/СВА:

Несмотря на достигнутые успехи, существуют возможности для дальнейшего совершенствования системы внутреннего контроля и аудита ПАО «Сбербанк»:

1. Развитие проактивного риск-ориентированного аудита: Учитывая динамику рынка и регуляторных изменений, рекомендуется дальнейшее смещение фокуса СВА от реактивных проверок к проактивному, предсказательному анализу рисков. Это может быть достигнуто за счет расширения использования продвинутой аналитики, предиктивных моделей и искусственного интеллекта для выявления потенциальных зон риска до того, как они материализуются в инциденты. Что из этого следует? Такая стратегия позволит не только минимизировать последствия, но и предотвращать инциденты, значительно повышая устойчивость банка.
2. Углубление интеграции Digital-аудита: Продолжить развитие компетенций и расширение инструментария Digital-аудита. Например, внедрение большего числа сценариев для Process Mining, охватывающих максимально возможное количество критически важных бизнес-процессов. Исследовать возможности применения технологии блокчейн для повышения прозрачности и неизменяемости аудиторских следов в отдельных транзакционных системах.
3. Оптимизация взаимодействия между линиями защиты: Несмотря на четкое разграничение ролей, всегда есть потенциал для улучшения обмена информацией и координации действий между первой, второй и третьей линиями защиты. Разработка единых информационных платформ для управления рисками и контроля, а также регулярные совместные тренинги и семинары могут способствовать более эффективному взаимодействию, повышая скорость реагирования на риски.
4. Развитие компетенций в области ESG-аудита: В условиях возрастающего внимания к устойчивому развитию, СВА должна продолжать развивать экспертные знания и методологии для оценки и аудита ESG-рисков, включая оценку климатических рисков и соблюдение принципов социальной ответственности и корпоративного управления. Это потребует специализированного обучения персонала и разработки новых аудиторских процедур, чтобы соответствовать мировым стандартам.
5. Повышение адаптивности к изменениям в сфере ИТ-рисков: С учетом продолжающейся цифровизации и эволюции киберугроз, СВК должна постоянно совершенствовать свои подходы к контролю ИТ-подразделений и управлению ИТ-рисками. Это включает в себя не только следование стандартам COBIT и ISO 20000, но и активное участие в разработке новых методологий аудита для контроля инновационных технологий (например, облачные вычисления, микросервисная архитектура, квантовые вычисления).

Реализация данных рекомендаций позволит ПАО «Сбербанк» не только поддерживать, но и значительно укреплять свою систему внутреннего контроля и аудита, обеспечивая ее соответствие самым высоким стандартам эффективности, надежности и инновационности в условиях постоянно меняющегося мира. Это укрепит его позицию лидера на российском финансовом рынке и повысит доверие со стороны всех заинтересованных сторон.

Список использованной литературы

1. Об организации внутреннего контроля в кредитных организациях и банковских группах : положение ЦБР от 16.12.2003 г. №242-П. Доступ из справочно-правовой системы «КонсультантПлюс».
2. Положение Банка России от 08.04.2020 N 716-П (ред. от 22.10.2024) «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» // КонсультантПлюс.
3. Положение Банка России от 15 июля 2021 г. N 764-П «О порядке, сроках и объеме доведения Банком России до сведения организаций…» // Гарант.
4. Алиев Б.Х., Рабаданова Д.А., Багрова Е.С. К вопросу о понятии банковского надзора // Финансы и кредит. 2012. № 35. С. 17–23.
5. Андреев В.Д. Внутренний аудит. М.: Финансы и статистика, 2013. 434 с.
6. Бурцев В. В. Организация системы внутреннего контроля коммерческой организации. М.: ЭКЗАМЕН, 2012. 320 с.
7. Бычкова С.М., Газарян А.В. Планирование в аудите. М.: Финансы и статистика, 2011. 324 с.
8. Вахорина М.В. Управленческая отчетность как объект внутреннего аудита // Финансовый менеджмент. 2015. №3.
9. Евдокимова А.В., Пашкина И.Н. Внутренний аудит и контроль финансово-хозяйственной деятельности организации. М.: Издательско-торговая корпорация «Дашков и К», 2012. 325 с.
10. Карпова Т.П. Управленческий учет. М.: Аудит, ЮНИТИ, 2012. 352 с.
11. Лабушева Я.Г. Роль риск-менеджмента в системе управления предприятием // Вестник Белгородского университета кооперации, экономики и права. 2015. № 3. С. 286–290.
12. Малышевская И.М. Внутренний контроль в банке: проблемы и парадоксы // Бухгалтерия и банки. 2008. №8.
13. Мельник М.В. Контроль и ревизия. М.: Экономистъ, 2014.
14. Мельник М.В., Пантелеев А.С., Звездин А.Л. Ревизия и контроль: учебное пособие. М.: ИД ФБК-ПРЕСС, 2013. 520 с.
15. Одегова Н. А. Общие принципы организации системы внутреннего контроля // Аудитор. 2013. № 12. Доступ из справ.-правовой системы «КонсультантПлюс».
16. Панфилова Е.А. Корпоративные императивы экономической политики хозяйственного роста // Экономическая политика хозяйственного роста. Тематический сборник научных трудов, Южный федеральный университет. Ростов-на-Дону, 2014. Том 2. № 3. С.129–133.
17. Пашкина И.Н., Евдокимова А.В. Внутренний аудит и контроль финансово-хозяйственной деятельности организации. М.: Дашков и Ко, 2014.
18. Русанов Ю.Ю. Параметры качества менеджмента в системах управления банковскими рисками // Финансы и кредит. 2014. № 27 (267). С. 2–6.
19. Рабинер Л.М. Основные характеристики системы внутреннего контроля // Экономическая безопасность. 2014.
20. Ризванова М.В. Система внутреннего контроля в организации // Аудитор. 2014. №7.
21. Сметанко А.В. Современный подход к определению сущности внутреннего аудита и его основных функций в системе корпоративного управления акционерным обществом // Вестник Таганрогского института управления и экономики. 2013. №2 (18).
22. Фролова И.В. Интеграция бухгалтерского и налогового учета на основе инструментов внутреннего контроля и аудита // Экономическая политика хозяйственного роста. Тематический сборник научных трудов, Южный федеральный университет. Ростов-на-Дону, 2014. Том 2. № 2. С. 128–132.
23. Хмелева С.И. Соотношение понятий внутренний контроль и система внутреннего контроля // Вестник магистратуры. 2014. №10(37). С.82-84.
24. Храмова Е.А., Колесник Н.Ф. Сегментный подход к организации внутреннего контроля в агрохолдингах // Международный бухгалтерский учет. 2014. №31(325). С.12-19.
25. Черненко А. Ф., Сумкин А. С. Формирование стоимости услуг аудита // Международ. бух. учет. 2012. № 8. С. 41–51.
26. Щербакова Е.П. Формирование функционального содержания внутреннего аудита в системе управления холдинга // Аудит и финансовый анализ. 2012. №3. С. 281-288.
27. Институт внутренних аудиторов. URL: http://www.iia-ru.ru/.
28. Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности : информация Минфина России от 25 декабря 2013 г. № ПЗ-11/2013. Доступ из справочно-правовой системы «КонсультантПлюс».
29. Internal Control – Integrated Framework : Executive Summary / COSO – Committee of Sponsoring Organizations of the Treadway Commission. URL: http://www.coso.org/documents/990025P_Executive_Summary_final_ may20_e.pdf.
30. GRC — путь к оптимизации процессов управления ИБ // Банковское обозрение.
31. Digital-аудит: инструменты проверки резервов на возможные потери по корпоративным ссудам // iia-ru.ru.
32. Как повысить качество работы СВК: Положение № 242-П — пишем, COSO — в уме // iia-ru.ru.
33. Методика проведения аудита системы внутреннего контроля бизнес-процесса // cfin.ru.
34. обзор современных методических подходов к оценке системы управления рисками и внутреннего контроля в банке // iia-ru.ru.
35. Организация процесса оценки внутреннего контроля (на примере ПАО «Сбербанк России») // КиберЛенинка.
36. ПОЛОЖЕНИЕ о Службе внутреннего аудита ПАО Сбербанк // e-disclosure.ru.
37. Финансовые результаты «Сбера»: результаты по РПБУ за 2024 год // aton.ru.
38. ВЫЗОВЫ И РИСКИ В УПРАВЛЕНИИ ОРГАНИЗАЦИЕЙ НА ПРИМЕРЕ ПАО «СБЕРБАНК» // cyberleninka.ru.
39. Анализ и оценка рисков для предприятия — Сбербанк // sberbank.com.