گام بلند بانک مرکزی در راستای استقرار نظام کنترل داخلی اثربخش در بانک‌ها

رضا صبری همان گونه که مستحضرید در سال‌های اخیر با توجه به اهمیت و ضرورت مفاهیم مانند کنترل داخلی و مدیریت ریسک در صنعت بانکداری در اسناد بین‌المللی مانند بازل ۲ و رهنمود حاکمیت شرکتی در بانک‌ها سال ۲۰۱۵، بانک مرکزی نیز دستورالعمل و رهنمودهایی مانند مب ۱۱۷۲ در سال ۱۳۸۶ با عنوان «چارچوبی برای نظام کنترل داخلی در واحدهای بانکی» و سایر رهنمودهای کنترل داخلی دیگر مانند پاکستان و ترکیه را انتشار و به بانک‌ها ابلاغ کرد. در همین راستا از اقدامات بسیار ارزشمند بانک مرکزی پس از ابلاغ دستورالعمل حاکمیت شرکتی در موسسات اعتباری در اردیبهشت سال‌جاری نسبت به تدوین پیش‌نویس «دستورالعمل حداقل الزامات ناظر بر کنترل داخلی در موسسات اعتباری» اقدام کرد که پیش‌نویس مذکور جهت دریافت نظرات کارشناسی به بانک‌ها و موسسات اعتباری در بهمن‌ماه ارسال شد. بر همین اساس سعی شده است در این یادداشت با بررسی دستورالعمل مذکور، پیشنهاد برای بهبود آن به شرح ذیل ارائه شود:

۱- مطابقت دستورالعمل مذکور براساس چارچوب یکپارچه کنترل‌هاى داخلى ۲۰۱۳ COSO: مفهوم کنترل داخلی دارای تعاریف بسیاری است و چارچوب COSO ۲۰۱۳ جامع‌ترین آنها است که کمیته بال و بانک مرکزی براساس آن نسبت به تدوین رهنمود اقدام کرده‌اند. بر همین اساس همسویی دستورالعمل مذکور با چارچوب COSO۲۰۱۳ از ویژگی‌های خوب آن است.

۲- گذر کنترل داخلی از مباحث کنترلی به مباحث بهبود عملکرد و حاکمیت شرکتی در بانک‌ها: همان‌گونه که استحضار دارید چارچوب‌های کنترل داخلی مانند COSO و COBIT در مرحله اول چارچوب‌های مدیریت هستند که باید مدیریت جهت اطمینان به دستیابی به اهداف و کاهش ریسک نسبت به استقرار آن اقدام کنند که متاسفانه به نظر بنده در ایران شاید با انتشار ترجمه کتاب مذکور در سال ۱۳۷۷ توسط سازمان حسابرسی یک تفکر غلط جا افتاده که چارچوب کوزو فقط براى حسابرسان مستقل و داخلى بوده و مدیریت سازمان‌ها و بانک‌های ایرانى با آن ناآشنا هستند. با توجه به انتشار دستورالعمل حاکمیت شرکتی در بانک‌ها می‌توان حاکمیت شرکتی را به‌صورت ساده هدایت، ارزیابی و نظارت توسط هیات‌مدیره بانک نامید که نسبت به تعیین اهداف و استراتژی‌های بانک اقدام کرده و سپس به شناسایی و ارزیابی ریسک‌ها (مدیریت ریسک) و به‌کارگیری کنترل‌های داخلی جهت کاهش ریسک‌ها اقدام می‌کنند. در همین راستا کنترل داخلی در قلب ساختار حاکمیت شرکتی بانک بوده که بانک‌ها می‌توانند از طریق استقرار نظام کنترل داخلی اثربخش به یک ساختار حاکمیت شرکتی مطلوب دست یابند. بر همین اساس دستورالعمل کنترل داخلی بانک مرکزی همسو با استقرار حاکمیت شرکتی مطلوب در بانک‌ها است.

۳- تعریف واحد و شفاف‌سازی از مفهوم کنترل داخلی شامل اجزا، اصول، نقاط قابل تمرکز و رویکردها در قالب مواد قانونی در دستورالعمل: بانک مرکزی نسبت به ارائه تعریف واحد و سایر بخش‌های چارچوب کنترل داخلی همراستا با آخرین متدولوژی و دستاورد‌های کنترل داخلی در دنیا در قالب مواد قانونی اقدام کرده است که پس از تصویب در شورای پول اعتبار به‌عنوان قانون جهت اجرا در بانک‌ها الزامی خواهد بود.

موارد پیشنهادی برای بهبود:

۱- تغییر نگرش از مفهوم اولیه کنترل داخلی به مدیریت سیستم کنترل داخلی در بانک‌ها: همان گونه که در بالا بیان شد با توجه به اینکه مفهوم کنترل داخلی در سطح مدیریت ارشد بانک‌ها به نحو مناسب به‌عنوان چارچوب مدیریتی و حاکمیتی نهادینه نشده در حالی که لازمه داشتن یک نظام کنترل داخلی اثربخش در بانک‌ها اعتقاد و خواست مدیریت ارشد بانک به کنترل داخلی است. برای داشتن یک نظام کنترل داخلی اثربخش در بانک‌ها، ایجاد مدیریت سیستم کنترل داخلی در بانک‌ها ضرورت داردکه کنترل داخلی مانند چرخه مدیریت PDCA شامل ۴ مرحله اجرایی (برنامه، اقدام، اجرا و اصلاح) است برای کنترل داخلی شامل برنامه‌ریزی، پیاده‌سازی، ارزیابی و نظارت، اصلاح و پیگیری بهبود نقاط ضعف در نظام کنترل داخلی است. این جمله غلطی است که بگویند بانک‌های کشور فاقد کنترل داخلی هستند می‌توان گفت بانک‌های کشور فاقد کنترل داخلی مستندسازی شده و اثربخش مطابق چارچوب‌های بین‌المللی و نهاد نظارتی مانند COSO ۲۰۱۳ هستند. به نظر بنده بهتر است بانک مرکزی با تعیین شاخص و معیارهای استقرار و ارزیابی کنترل داخلی، مهلتی به بانک‌ها برای پیاده‌سازی دستورالعمل کنترل داخلی داده و براساس معیارهای مذکور نسبت به ارزیابی و رتبه‌بندی بانک‌ها اقدام کند.

۲- تفکیک وظایف در قابل کنترل داخلی از اجرا تا نظارت در قبال کنترل داخلی: یکی از چالش‌های موجود در بانک‌ها تعریف نامناسب نقش و وظایف بخش‌های مختلف در بانک‌ها شامل مدیریت، اجرایی و نظارتی در قبال کنترل داخلی به‌صورت شفاف در بانک است. قطعا این جمله صحیح است که همه کارکنان از هیات‌مدیره تا کاربران شعبه در قبال کنترل داخلی مسوولند، اما به‌دلیل عدم‌شفاف‌سازی مناسب تفکر قالب در قبال کنترل داخلی در بانک‌ها حسابرسان داخلی و بازرسان به‌عنوان مالکان کنترل داخلی شکل گرفته‌اند. پیشنهاد می‌شود در دستورالعمل مذکور نقش‌ها و وظایف اعضای هیات‌مدیره و هیات عامل و مدیران اجرایی مانند مدیران مالی، اعتبارات و... و واحدهای نظارتی مانند ریسک، بازرسی، حسابرسی داخلی، تطبیق در قبال ریسک‌ها و کنترل‌های کلیدی براساس مدل سه خط دفاعی تعریف شود.

۳- به‌کارگیری چارچوب COBIT۵ در راستای استقرار کنترل‌های داخلی حوزه فناوری اطلاعات: مطابق اصل ۱۱ بانک‌ها باید نسبت به استقرارکنترل‌های عمومی فناوری اطلاعات اقدام کنند. بر همین اساس با توجه به محدودیت‌های چارچوب کنترل داخلی COSO ۲۰۱۳، پیشنهاد می‌شود در دستورالعمل به چارچوب COBIT به‌منظور استقرار و نظارت بر کنترل‌های داخلی حوزه IT اشاره کرد. معرفی چارچوب COBIT توسط بانک مرکزی اهمیت موضوع حاکمیت فناوری اطلاعات و کنترل‌های حوزه فناوری اطلاعات و ایجاد وحدت رویه و زبان مشترک برای نظارت برفناوری اطلاعات بانک‌ها خواهد شد که این امر سبب بهبود نظارت خود بانک مرکزی بر حوزه فناوری اطلاعات بانک‌ها خواهد شد.

در پایان می‌توان اقدام بانک مرکزی را اقدامی قابل ستایش دانست که نقطه عطفی در بهبود کنترل‌های داخلی بانک‌ها و ارتقای حرفه حسابرسی داخلی، حسابرسی فناوری اطلاعات و اطمینان بخشی در حوزه کنترل‌های داخلی در بانک‌ها است. قطعا استقرار یک سیستم کنترل داخلی اثربخش در بانک‌ها باعث اطمینان مدیریت ارشد در تحقق اهداف، ارتقای در عملکرد، کاهش ریسک‌ها و سوء‌جریانات در بانک‌ها خواهد بود.