Аудиторская проверка что это в банке
Аудиторская проверка что это в банке
Статья 42. Аудит отчетности кредитной организации, банковской группы, банковского холдинга
(в ред. Федерального закона от 01.12.2014 N 403-ФЗ)
(см. текст в предыдущей редакции)
Годовая бухгалтерская (финансовая) отчетность кредитной организации, годовая консолидированная финансовая отчетность банковской группы, годовая консолидированная финансовая отчетность банковского холдинга подлежат обязательному аудиту.
Аудиторское заключение о годовой бухгалтерской (финансовой) отчетности кредитной организации, годовой консолидированной финансовой отчетности банковской группы помимо предусмотренного Федеральным законом от 30 декабря 2008 года N 307-ФЗ «Об аудиторской деятельности» должно содержать результаты проверки аудиторской организацией:
1) выполнения кредитной организацией, банковской группой по состоянию на отчетную дату обязательных нормативов, установленных Банком России. При этом оценке аудиторской организацией не подлежат методики управления рисками и модели количественной оценки рисков, применяемые для расчета указанных обязательных нормативов кредитной организацией, головной кредитной организацией банковской группы на основании выданного Банком России разрешения;
2) соответствия внутреннего контроля и организации систем управления рисками кредитной организации, банковской группы требованиям, предъявляемым Банком России к таким системам в части:
подчиненности подразделений управления рисками;
наличия у кредитной организации утвержденной уполномоченными органами управления кредитной организации методик выявления значимых для кредитной организации рисков, управления значимыми для кредитной организации рисками, осуществления стресс-тестирования, наличия системы отчетности по значимым для кредитной организации рискам и капиталу;
последовательности применения в кредитной организации методик управления значимыми для кредитной организации рисками и оценки их эффективности;
осуществления советом директоров и исполнительными органами управления кредитной организации контроля соблюдения в кредитной организации установленных внутренними документами кредитной организации предельных значений рисков и достаточности собственных средств (капитала), эффективности применяемых в кредитной организации процедур управления рисками и последовательности их применения.
Кредитная организация, головная кредитная организация банковской группы, головная организация банковского холдинга раскрывают аудиторское заключение в соответствии со статьей 8 настоящего Федерального закона и представляют его в Банк России вместе с годовой бухгалтерской (финансовой) отчетностью кредитной организации, годовой консолидированной финансовой отчетностью банковской группы, годовой консолидированной финансовой отчетностью банковского холдинга.
Аудиторская проверка что это в банке
7 МИН
Как провести внутренний аудит
Задача внутреннего аудита — предугадать финансовые риски и повысить эффективность менеджмента. Разбираемся, как проверить работу собственной компании.
Что такое внутренний аудит компании
Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации аудитора.
В ходе аудита решаются следующие задачи:
По закону все предприятия должны проводить общий внутренний контроль или, проще говоря, проверку хозяйственной деятельности. Процедуру и итоги проверки компания обязана регламентировать самостоятельно, но строгих требований в законе нет, ответственности за нарушение не предусмотрено.
Ч. 1 ст.19 402-ФЗ
П. 17 ч. 4 Информации Минфина России № ПЗ-11/2013
П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013
Каким бывает внутренний аудит
Существует несколько видов внутреннего аудита. У каждого из них свои функции.
1
Операционный
Это контроль бизнес-процессов компании: эффективности работы подразделений, выполнения бизнес-планов, смет, политики управления и т. д.
1
Финансовый
Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель — оценить эффективность расходования средств компании и выявить риски.
1
Криминальный
Контроль рисков, связанных с нарушением норм законодательства. В первую очередь инспектируются налоговый учёт и платежи.
1
Аудит соответствия
Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые кодексы, корпоративная политика.
1
Экологический аудит
Его цель — проверить, выполняет ли компания требования по защите окружающей среды. Например, не превышен ли уровень вредных выбросов.
1
Аудит информационных технологий
Контроль безопасности информационных систем организации и эффективности процессов управления в области IT.
С чего начинается внутренний аудит
Согласно информации Минфина, положения о внутреннем контроле являются частью учредительных документов. В них прописывается общая процедура проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры, масштабов, документооборота.
П. 11 ч. 3 Информации Минфина России № ПЗ-11/2013
Проверка должна проходить на основании приказа руководителя, который содержит следующее:
Факторы эффективной проверки
Важное условие — независимость и непредвзятость тех, кто проводит внутренний аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии, поскольку финансовая отчётность — один из главных объектов проверки.
Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При этом Министерство финансов рекомендует несколько вариантов: например, аудитором может быть действующая комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а в больших компаниях — специально созданное для этого подразделение. Допустимо также приглашать внешних консультантов.
Сроки и частота проверки устанавливается руководителем. Проводить аудит можно как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается аудиторская компания, сроки прописываются в договоре.
Как проводится внутренний аудит организации
Первый этап — планирование, для проверяющих готовят методологические документы. Они должны описывать:
Перед каждой проверкой составляется чек-лист. Он включает в себя предмет и метод проверки, сроки, контрольные вопросы, план выборочных бесед с работниками, результаты проверки и комментарии проверяющих.
Второй этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей проверки и отвечают на вопросы. После этого начинается процедура по установленному заранее чек-листу.
Третий этап — подведение итогов и написание аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или генеральный директор.
Аудиторское заключение должно содержать следующую информацию:
При этом по итогам финансовой проверки аудиторская организация или индивидуальный аудитор обязаны уведомить уполномоченные органы, если заподозрили проверяемую компанию в отмывании денег, а Федеральная налоговая служба имеет право потребовать у аудитора предоставить информацию, которую тот получил в ходе проверки.
П. 2.1 ст.7.1 115-ФЗ
Пп. 1–2 ст. 93.2 НК РФ
Финансовый аудит
Финансовый аудит – процедура независимой проверки бухгалтерской отчетности организации.
Бывает двух видов: внутренний, когда исследование проводят сами сотрудники компании, и внешний, если оно поручено сторонней независимой организации – аудиторской компании. Кроме того, существует такое понятие, как инвестиционный аудит, в задачи которого входит проверка целевого и эффективного использования инвестиционных ресурсов.
Принято считать, что первые аудиторские проверки проводились с древнейших времен. Первые упоминания относятся к Китаю за 700 лет до н. э. В Cредние века аудит использовался преимущественно для того, чтобы удостовериться в кредитоспособности партнеров по торговым операциям. Но наивысшего развития аудиторская деятельность достигла тогда, когда разделились функции собственников предприятий и управляющих, то есть в эпоху индустриализации и до наших дней, так как главная задача аудитора – предоставить достоверную информацию о финансовом состоянии компании ее собственникам и кредиторам.
Во всем мире, включая Россию, деятельность аудиторов подчинена определенным стандартам. В РФ аудиторская деятельность регулируется Федеральным законом от 30 декабря 2008 года № 307-ФЗ «Об аудиторской деятельности», а также «Федеральными правилами (стандартами) аудиторской деятельности», утвержденными постановлением правительства Российской Федерации № 696 от 23 сентября 2002 года.
В России услугами аудиторов пользуются в основном крупные компании. В то же время законом введено такое понятие, как обязательный аудит, по которому ряд организаций обязаны проходить аудиторскую проверку.
Согласно действующему законодательству, при выполнении своих профессиональных обязанностей аудитор должен руководствоваться нормами, установленными профессиональными аудиторскими объединениями, членом которых он является, а также следующими этическими принципами:
Следует понимать, что проведение аудиторской проверки строится на принципе разумной достоверности, поскольку применяются выборочные методы и тестирование. Преобладающая часть аудиторских доказательств лишь предоставляет доводы в подтверждение определенного вывода, а не имеет исчерпывающий характер.
Аудитор несет ответственность только за формулирование и выражение мнения о достоверности финансовой отчетности. Тем не менее ответственность за подготовку и представление документации остается на руководителе организации, факт аудиторской проверки не освобождает руководство аудируемого лица от ответственности.
С 1 января 2010 года лицензирование аудиторских компаний отменено (ранее эту функцию выполняло Министерство финансов РФ), однако для занятия этим видом деятельности необходимо вступить в одно из саморегулируемых объединений.
На осень 2011 года в России действует шесть таких организаций, созданных в форме некоммерческих парнерств: Аудиторская палата России, Институт профессиональных аудиторов, Московская аудиторская палата, Гильдия аудиторов региональных институтов профессиональных бухгалтеров, Российская коллегия аудиторов и аудиторская ассоциация «Содружество».
Кому нужен обязательный аудит в 2022 году: изменение критериев аудита и не только
В обязательном аудите изменения стали действовать с 2021 года. Они касаются критериев обязательной аудиторской проверки (Федеральный закон от 29.12.2020 № 476-ФЗ (далее — Закон № 476-ФЗ). При этом процесс обязательного аудита отчетности и направления в ИФНС его итога — аудиторского заключения — остается прежним. Поговорим об изменениях подробнее и разберемся, как аудироваться не для отчета, а для выгоды.
Критерии обязательного аудита в 2022 году
Обязательный аудит — это независимая проверка финансово-хозяйственной деятельности фирмы, которую нельзя избегать. Т.е. в нормативных правовых актах есть правило проводить аудиторский контроль в обязательном порядке. Но распространяется оно не на все организации, а только на те, которые соответствуют заданным критериям. Цель такого аудита — подтвердить корректность учета и достоверность бухгалтерской (финансовой) отчетности.
В Федеральном законе от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности» с последующими изменениями (далее — Закон № 307-ФЗ) приводятся критерии обязательного аудита. Каждый год подтверждать бухгалтерскую отчетность должны:
Однако Закон № 307-ФЗ не дает закрытого списка компаний, которые обязаны проводить аудит. Ситуации, когда аудит является обязательным, также предусматриваются и в других законах федерального уровня. На это прямо указано в ст. 5 Закона № 307-ФЗ. Подробнее поясним указанное нововведение ниже.
Посмотрим, поменялось ли в 2022 году что-то в критериях обязательного аудита — характеристиках, которые должны быть у организации, чтобы аудит стал для нее неизбежным.
Повышены «стоимостные» критерии обязательного аудита отчетности
2021-ый год — революционный в аспекте аудита для субъектов малого предпринимательства. С 2021 года поменялись предполагающие обязательный аудит пороги дохода компании и активов в году, который был перед отчетным (статья 5 Закона № 307-ФЗ (ст. 1 Закона № 476-ФЗ)). Критерии доходов для проведения обязательного аудита увеличили до показателя максимального дохода субъектов малого предпринимательства — до 800 млн. руб.
Иными словами подавляющая часть (НЕ все!) субъектов малого предпринимательства (доходы не более 800 млн. рублей в год, а средняя численность работников 100 и менее человек) не попадают под обязательный аудит.
Однако с учетом текущей ситуации в налоговом контроле ценность аудита для СМП не снижается, т.к. он входит в комплекс эффективного и осмотрительного сопровождения бизнеса.
Без аудита невозможно быть уверенным в корректности отчетности и оптимальном налогообложении. Потому что даже супер опытные и добросовестные бухгалтеры могут упустить какой-то момент, который будет иметь значение для важных финансовых показателей фирмы. В процессе аудита можно выявить не только опасности, но и резервы проверяемого субъекта.
Пример 1. Учредитель кондитерской компании выбрал обязательный аудит с дополнительной задачей — выявить основание нехватки денежных средств в фирме при наличии прибыли. В результате компании удалось получить свободную денежную массу в размере не менее 100 млн руб. и предупредить бессмысленное утекание денег в будущем, оптимизировав бизнес-процессы.
При расчете измененных критериев аудита важно увидеть нюансы. Следует обратить внимание, что раньше по ст. 5 Закона № 307-ФЗ учитывался размер выручки, а теперь речь идет о доходе, который фиксируется в налоговом учете.
В «налоговые» доходы включаются не только доходы от реализации, но и внереализационные доходы. При этом учитываются доходы по всем налоговым режимам. Таким образом, не стоит сразу забывать об аудите, если выручка «не достает» до обозначенного в изменениях уровня. Особенно когда внереализационные доходы значительны.
У компаний без спецрежимов налогообложения для обязательного аудита за 2021 год «доход» рассчитывается по итогам 2020 года так: строка 010 + строка 020 Листа 02 налоговой декларации по налогу на прибыль за 2020 год.
Особенности законодательных требований к внутреннему аудиту/ функции внутреннего аудита для кредитных организаций банков России, Украины, Беларуси и Казахстана
Автор: Сухроб Курбонов, директор департамента внутреннего аудита ЗАО «Альфа-Банк» (Беларусь), член Ассоциации «Институт внутренних аудиторов»
За последние 5-10 лет внутренний аудит как функция становится важной и неотъемлемой частью системы внутреннего контроля и корпоративного управления как в России, так и в других странах постсоветского пространства, в частности, на Украине, Беларуси и в Казахстане. Это связано в основном со следующими факторами:
с введением норм об обязательности создания подразделений внутреннего аудита в кредитных организациях (банках), страховых организациях и т.д.;
с повышением уровня конкуренции и потерь от реализации рисков и, как следствие, с усилением внимания менеджмента к компонентам управления рисками, выстраиванию оптимальной контрольной среды/ системы, а также оптимизации процессов корпоративного управления;
с усилением осознания у менеджмента/ бенефициаров, что правильно выстроенная и многоуровневая система внутреннего контроля (компонентом которого является внутренний аудит) минимизирует вероятность потерь, становится источником закрепления получаемого результата, а в средне- и долгосрочной перспективе может стать дополнительным фактором роста;
с необходимостью выйти на зарубежные рынки капитала, с необходимостью проведения операций по слиянию и поглощению, в ходе которых, в том числе, анализируются/ запрашиваются информация о состоянии системы/ компонентах системы внутреннего контроля, корпоративного управления.
Кроме этого, возросло внимание к внутреннему аудиту со стороны бенефициарных владельцев/ акционеров как источника, который может предоставить им неангажированные/ объективные данные о ситуации в том или ином направлении бизнеса или в целом о деятельности компании.
В данной статье перечислены основные законодательные документы, регулирующие деятельность внутреннего аудита в кредитных организациях как функции, с раскрытием и сравнением определенных норм для понимания какие нормы/ требования установлены к внутреннему аудиту кредитных организаций в России, Украине, Беларуси и Казахстане.
Чем может быть полезна данная тема:
в настоящее время ряд российских и казахских банков имеют дочерние структуры в ряде перечисленных стран. Как следствие, агрегированная информация позволила бы видеть более целостную картину заинтересованным лицам;
понять особенности регулирования/ требования к функции внутреннего аудита в той или иной стране (по определенным компонентам регулирования);
позволит уточнить уровень законодательного внимания к функции внутреннего аудита в банках России, Украины, Беларуси и Казахстана;
позволит ознакомиться с перечнем основных документов, регулирующих деятельность внутренних аудиторов в кредитных организациях данных стран.
Для удобства восприятия и систематизации материал изложен в виде сравнительной таблицы. В ней указаны основные законодательные документы (список) 1 и проанализированные критерии (анализ проведен по 29 критериям), в конце указываются некоторые выводы и дается информация по некоторым отличительным особенностям:
Норма/Требование
Россия
Беларусь
Украина
Казахстан
1. Требование о наличии подразделения внутреннего аудита в банке
Да (1а, Глава 4)
(4 а., Приложение №2. п.15.1)
2. Требование о наличии утвержденного Положения о подразделении внутреннего аудита (с описанием целей, задач, ответственности и т.д.)
Да (1а, Глава 4, п 4.2, 4.3)
(4 а., Приложение №2. п.15.1)
3. Наличие требования (прямого или косвенного) о создании Аудиторского комитета
Да (1а, Глава 5, п. 5.3; 1б, раздел 8, пункт 8.1)
(3 а., Раздел 1. п.3,
Раздел 7, п. 32)
Нет про АК, при этом есть информация про СД (4а., Приложение №2 п. 15.1, 15.2)
4. Наличие требования/ рекомендации о количестве членов Аудиторского комитета, в том числе какое количество независимых директоров должно быть в составе
(1б, Приложение №2, раздел 3).
В анализированных документах нет такой нормы.
В анализированном документе нет
такой нормы.
В анализированном документе нет такой нормы.
5. Наличие требования о вхождении Руководителя внутреннего аудита в состав комитета по аудиту
6. Уровень утверждения Положения либо иного документа (какой орган утверждает)
СД (НС), если в уставе не указано иное
СД (4а Приложение№2 п 15.1, 15.2)
7. Требования к Руководителю функции
(1а. п. 4.9 отсылка на 3223-У, 4662-У)
есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3)
8. Требования к сотрудникам (опыту, квалификации, наличию профессиональных сертификатов)
Есть норма о проф. переподготовке.
Есть норма о проф. компетентности
сотрудников
(3 а., Раздел 2. п.12)
Есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3)
9. Требования о необходимости по осуществлению внешней независимой оценки внутреннего аудита со стороны третьих сторон (внешняя оценка/НС и т.д.)
В анализированных документах нет такой нормы.
(4 а., Приложение №2. п.15.12)
10. Требование о не участии сотрудников в проверке деятельности/функций за которые они несли ответственность (могут не ранее 12 месяцев)
В анализированных документах нет такой нормы.
Да (4 а., Приложение №2. п.15.2)
11. Порядок назначения Руководителя функции по внутреннему аудиту и уровень его утверждения
(1а. п. 4.9 отсылка на 3223-У)
В анализированных документах нет такой нормы
(3 а., Раздел 2. п.7, 11
+ отсылка на иной
док. НБУ)
В анализированнном документе нет такой нормы
12. Наличие прямой нормы о количестве/рекомендуемом количестве сотрудников внутреннего аудита к общей численности банка/кредитной организации (прямая норма с указанием % к примеру, к общей численности)
В анализированных документах нет такой нормы
В анализированных документах нет такой нормы
В анализированном документе нет
такой нормы
В анализированном документе нет такой нормы
13. Наличие требования о составлении годового плана внутреннего аудита
(1а, п.4.7.2, в т.ч. отсылка на иные нормы)
Да (2а, Глава 4, п.27)
(4 а., Приложение №2. п.15.4)
14. Требование о более гибком планировании (flexible audit plan)
В анализированных документах нет такой нормы.
В анализированных документах нет такой нормы.
15. Наличие Требования об уровне подчиненности/ подотчетности/под контрольности внутреннего аудита
Да (1а, п.4.2, 4.7.1),
Да, (2а, Глава 4, п.24, 25)
(4 а., Приложение №2. п.15.3)
16. Необходимость осуществления оценки эффективности систем внутреннего контроля (в проверенном процессе, либо в целом)
Да (1а, п. 4.1)
Да (2а, Глава 4, п.27)
(4 а., Приложение №2. п.15.1, 15.3, 15.9)
17. Необходимость осуществления оценки эффективности системы управления рисками(в проверенном процессе, либо в целом)
Да (1а, п. 4.1)
Да (2а, Глава 4, п.27)
(4 а., Приложение №2. п. 15.1, 15.3, 15.6)
18. Необходимость осуществления оценки эффективности системы управления банком/корпоративного управления (в проверенном процессе, либо в целом)
Нет, прямой нормы нет, есть косвенные нормы/фрагментарные (1а, 4.1, Приложение №3, п. 1; 2а Приложение №2, п.2.1)
Да (2а, Глава 4, п.27)
(4 а., Приложение №2. п. 15.1, 15.3)
19. Необходимость осуществления оценки надежности системы бухгалтерского учета и информации и составленных на их основе финансовой и регуляторной отчетности
Да (1а, п. 4.1)
Да (2а, Глава 4, п.27)
(4 а., Приложение №2. п.15.7)
20. Требования о составлении Плана проверок по принципу «риск ориентированный подход»
В анализированных документах данная норма не указана
Да, (2а, Глава 4, п.27),
(4 а., Приложение №2. п.15.2, 15.4)
21. Требования о цикличности проведения проверок и охвата всех процессов, вопросов;
Да, (2а, Глава 4, п.26), при этом не указан период.
Нет, при этом
норма о
стратегическом/
долгосрочном
планировании
есть.
Нет, т.е. нет нормы в котором четко и однозначно было бы указано
22. Основные способы (методы)/направления осуществления проверок службой внутреннего аудита
Да (1а, Приложение №3, п.1)
Да, (2а, Глава 4, п.24, 27)
(3 а., Раздел 3. п.16;
Раздел 5, п.21)
(4 а., Приложение №2. п.15.6)
23. Требования о предоставлении обязательной отчетности о деятельности внутреннего аудита заинтересованным лицам (Наблюдательный совет, Правление и т.д.);
Да, (2а, Глава 4, п.27)
(4 а., Приложение №2. п.15.10, 15.12)
24. Требование о необходимости осуществления мониторинга рекомендаций/мероприятий
Да, (2а, Глава 4, п.27)
(4 а., Приложение №2. п.15.11)
25. Возможность передачи функции внутреннего аудита в аутсорсинг (в случае если кредитная организация не входит в банковскую группу)
В анализированных документах нет
такой нормы.
В анализированных документах нет такой нормы.
26. Норма о возможности привлечения внутренних сотрудников иных подразделений банка для участия в проведении аудита
В анализированных документах нет такой нормы
В анализированных документах нет такой нормы
Нет, при этом
в отчете о
деятельности ВА
есть сведения
о прив лицах.
(3а, Раздел 7,
п34, подпункт 3)
(4 а., Приложение №2. п.15.3)
27. Наличие упоминания о термине Гарантия или Консультация (для максимизации связей с МОПП)
(4 а., Приложение №2. п.15.1)
28. Требования или рекомендации о необходимости автоматизации/полу автоматизации деятельности внутреннего аудита
В анализированных документах нет такой нормы
Нет, при этом
в отчете о
деятельности ВА
есть критерий
(3а, Раздел 7,
п34, подпункт 3)
29. Имеется ли норма о необходимости установления аудиторов ключевых показателей эффективности (KPI)
В анализированных документах нет такой нормы
Опираясь на результаты анализа, можно сделать несколько выводов и указать некоторые отличительные особенности:
Законодательные требования к внутреннему аудиту/ функции внутреннего аудита для кредитных организаций (банков) России, Украины, Беларуси и Казахстана концептуально близки по сущности, а также имеют существенную смысловую схожесть/ идентичность с Международными основами профессиональной практики внутреннего аудита (в определенных требованиях имеются прямые ссылки, указывающие, что требования разработаны на основании МОПП (как в случае с Положением НБУ), или использованы менее прямые формулировки, как в случае с требованиями НБ РК (некоторые отличия и особенности будут раскрыты ниже).
Проведенный анализ показывает, что определенные компоненты/ требования к функции внутреннего аудита более полным образом раскрыты в одной стране, другие компоненты/ требования – в другой, например: Национальным банком Украины формализован и детализирован отчет о работе подразделения внутреннего аудита для НБУ (с четкими критериями/вопросами); НБ Республики Беларусь более подробно описывает области/ вопросы, которые должны быть охвачены внутренними аудиторами в ходе их деятельности; Банк России детально описал деятельность аудиторского комитета. Возможно, детализация и акцент на определенных компонентах связаны с определенными особенностями, к примеру, уровнем зрелости функций внутреннего аудита в кредитных учреждениях, желанием регуляторного органа делать акцент на одном компоненте, с целью дальнейшего совершенствования данного компонента и т.д.
В целом (как указывалось выше), установленные требования концептуально близки по сущности, как следствие их внедрение (при прочих равных условиях) во всех странах может быть осуществлено в идентичные сроки с идентичным количеством ресурсов/трудозатрат, при этом важным моментом, связанным с внедрением и применением, является уровень профессионализма команды/ лица, осуществляющих их внедрение в практическую плоскость. Существуют и некоторые особенности: к примеру, Банк России указывает, что внутренний аудит должен охватывать все процессы с периодичностью 1 раз в 3 года (т.е. принцип цикличности и всеобъемлющего охвата), в то время как Национальный банк Казахстана не формулирует такую норму напрямую. Другой пример: в нормах, установленных Национальным банком Республики Казахстан, имеется целый раздел, который посвящен аудиту системы управления комплаенс-рисками. В нем подробно описано, что должно проверяться, какие компоненты должны быть подвергнуты оценке, указано, что на ежегодной основе должны проверяться вопросы ПОД/ФТ и т.д. В то время как в иных изученных нормативных документах такого уровня детализации и такой периодичности к данному компоненту не установлено. Как следствие, объем ресурсов для выполнения требований по этому разделу в указанных странах будет разным.
В изученных законодательных нормах не отражены данные о необходимости, либо отсутствии необходимости в установлении ключевых показателей эффективности (КПЭ) для внутреннего аудита (к примеру, в части вознаграждений внутренних аудиторов в требованиях НБ РК и НБУ указано, что вознаграждение работников внутреннего аудита не должно быть связано с финансовыми показателями банка/ структурного подразделения). Отсутствие нормы по КПЭ концептуально не усложняет и не упрощает деятельность внутренних аудиторов, однако указание в нормативных документах целесообразности их введения/ невведения позволило бы находиться всем сторонам (внутренний аудит, менеджмент, акционер, регулятор) в единой системе координат.
Интересным моментом является то, что, по сути, кроме как НБ РБ никто из регуляторов не допускает передачу функции внутреннего аудита банка на аутсорсинг. Такой подход может быть связан со следующими факторами:
аутсорсинговые компании не всегда могут обладать тем багажом навыков и знаний, которые нужны для выполнения функции внутреннего аудита в банке (хотя МОПП указывает иное);
аутсорсинговые компании могут быть менее выгодными как по стоимости (дешевле нанять внутренних аудиторов в штат банка), так и по качеству работ;
банки не могут контролировать/ митигировать риски, связанные с деятельностью аутсорсинговых компаний (ухудшение их финансового состояния, отток кадров, изменение стоимости услуг для банка, качество осуществляемой работы и т.д.), которые впоследствии могут привести к несистемности в осуществлении внешнего аутсорсинга функции внутреннего аудита и/или его подорожанию;
также важным моментом (с учетом GDPR-требований) является вопрос передачи, хранения/ конфиденциальности и использования данных аутсорсерами. Сложившаяся практика показывает, что в настоящее время менее рискованно и более эффективно иметь собственное подразделение внутреннего аудита в банке. Такой принцип в целом соответствует интересам всех сторон (менеджмент, акционер, регулятор).
Важным аспектом также является вопрос, связанный с автоматизацией/ полуавтоматизацией функции внутреннего аудита. В требованиях/ рекомендациях регуляторов этот компонент не указывается (единственное упоминание об автоматизации есть в отчете о работе подразделения внутреннего аудита, который предоставляется в Национальный банк Украины (скорее всего, этот момент является одним из критериев оценки). При этом нужно понимать, что введение самой нормы и/или указания критерия для оценки не обозначает параллельное повышение эффективности функции внутреннего аудита, при этом в сторону автоматизации/ полуавтоматизации внутреннего аудита необходимо как минимум задумываться. Сейчас на рынке представлены несколько решений от разных компаний, и каждое решение имеет свои преимущества и недостатки (у одних решений высокая стоимость, другие – это пакетное решение, изменение и внедрение которого также обойдется в приличную сумму, при этом нет гарантии повышения эффективности и ценности внутреннего аудита после автоматизации), поэтому нужно очень грамотно подходить к этому процессу, применяя проектный подход с анализом экономической целесообразности и практической пользы/ ценности.
Комментарий Дениса Малыхина, CIA, руководителя Программы сертификации Ассоциации «Институт внутренних аудиторов»:
Подборка регулятивных документов из банковских сфер Беларуси и Казахстана, предоставленная автором статьи, удачно дополнила библиотеку Института (раздел «База знаний» https://www.iia-ru.ru/inner_auditor/legislation/). Тем не менее, мнение автора по поводу особенностей регулятивных требований к организации управления рисками и функции внутреннего аудита может не совпадать с официальной позицией Института.
Необходимо обратить внимание, что вопросы организации внутреннего аудита в тех российских банках, которые являются публичными акционерными обществами, также регулируются российским Кодексом корпоративного управления (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 «О Кодексе корпоративного управления»), который был одобрен Правительством РФ 13.02.2014 и Советом директоров ЦБ РФ 21.03.2014. Рекомендации по организации внутреннего аудита, ранее выработанные профессиональным сообществом с учетом передовой международной практики, приобрели характер законодательных требований в связи с внесением изменений в Федеральный закон № 208-ФЗ от 26.12.1995 (в ред. от 19.07.2018).
1 Россия: Положение ЦБ РФ № 242-П от 16.12.2003 (в ред. от 24.04.2014) (1А); Письмо Банка России от 15.09.2016 N ИН-015-52/66 (1B). Беларусь: Инструкция (Постановление Правления Национального банка Республики Беларусь 30.11.2012 №625 (2А); Постановление Правления НБ РБ 29 от 29.10.2012 №550 2 (B). Украина: Положение об организации внутреннего аудита в банках Украины (Постановление НБУ от 24.10.2017 – неофициальный перевод) (3А). Казахстан: Внутренний аудит в системе финансового контроля в государственных органах Казахстана 4 (а); Постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня (4B).