Роль внутреннего аудита в построении системы управления рисками.

Практические материалы с конференций по аудиту

Автор:
Источник: Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2005
Опубликовано: 12 октября 2005

В настоящее время аудит является одной из важнейших составляющих при организации процесса ведения бизнеса, будь то в сфере производства реального продукта (работы , услуги) либо при принятии инвестиционного решения для потенциального инвестора.
Уже к середине 50-х годов ХХ столетия западные аудиторы осознали, что в ходе проверки необходимо изучать не только бухгалтерские документы и отчетность, но и саму организацию хозяйственных и технологических процессов. В бухгалтерском учете это называется эффектом Катона (римский писатель Марк Поций Катон, живший 234-149 до н.э., еще тогда утверждал, что изучать успешность хозяйственной деятельности поместья надо не по учетным книгам, а путем личного осмотра). Организация такого процесса называется системой внутреннего контроля.
Таким образом, систему внутреннего контроля можно рассматривать как совокупность процедур, организационных мероприятий и методик, принятых руководством банка для контроля за правильным и эффективным ведением банковского бизнеса, связанного с минимизацией и предотвращением банковских рисков и, как следствие, защиту интересов кредиторов, вкладчиков и собственников банка.
Учитывая, что банковское дело – это динамичный и стремительно развивающийся вид деятельности, банк проводит постоянный мониторинг и оценку систем внутреннего контроля с учетом меняющихся внутренних и внешних обстоятельств и укреплять эти системы по мере необходимости для обеспечения его эффективной работы.

Служба внутреннего аудита является важной частью постоянного мониторинга системы внутреннего контроля, поскольку она обеспечивает независимую оценку адекватности установленных правил и процедур, а также их соблюдения.

Внутренний контроль в ОАО «Белгазпромбанк» осуществляется на четырех уровнях и в двух из них участвует служба внутреннего аудита.
На первом уровне внутреннего контроля – текущего контроля рисков в процессе оформления операций –служба внутреннего аудита проверяет:

  • соответствие разработанных проектов локальных нормативных актов законодательству;
  • наличие в разрабатываемых бизнес-процессах четкого взаимодействия между структурными подразделениями, участвующих в данном процессе;
  • наличие точек контроля при совершении банковских операций (кто и на каком этапе контролирует этот процесс).

Второй уровень – проводимый на регулярной основе последующий контроль (последующие проверки, последующий контроль качества портфелей банка и оценка общей величины финансовых потерь банка в результате реализации рисков и достаточности капитала, предназначенного на его покрытие) непосредственно осуществляют структурные подразделения, участвующие в бизнес-процессе, подразделения бухгалтерского учета и планово-экономическое.
Третий уровень внутреннего контроля – последующий контроль рисков в ходе проверок деятельности подразделений банка и бизнес-процессов, включая оценку адекватности, эффективности и качества системы управления рисками в банке выполняет только служба внутреннего аудита.
Четвертый уровень – внешний контроль рисков осуществляется внешним аудитом и надзорным органом Национального банка.
Возможно, некоторые посчитают некорректным участие внутренних аудиторов в разработке локальных нормативных актах, но на наш взгляд это дает гораздо больший эффект, так как таким образом служба внутреннего аудита участвует в некотором роде в управлении операционным риском.
Имея достаточно большой разносторонний и практический опыт, высокую квалификацию, историю предыдущих проверок специалисты службы внутреннего аудита рассматривают разработанный подразделением, осуществляющим соответствующие операции, локальный нормативный акт с разных сторон (соответствие законодательству, учетной и другим политикам банка, оптимизацию налогообложения и др.). Тем самым повышается вероятность снижения операционных рисков.
Качество управления всеми рисками, присущими банковской деятельности, служба внутреннего аудита осуществляет при проведении аудиторских проверок, то есть на третьем уровне внутреннего контроля.
Уже на стадии ежегодного планирования проведение аудита основывается на учете факторов риска. При этом определяются направления аудита, производится оценка «бизнес-риска» по каждому направлению, изучаются «результаты предыдущей деятельности» службы внутреннего аудита и контролирующих органов по каждому направлению и дается заключение по масштабу и частоте (если это применимо к данному направлению) аудиторских проверок.
Целью данного подхода является концентрация ресурсов службы внутреннего аудита на зонах повышенного риска или направлениях деятельности, где от него возможно получение наибольшей выгоды. Определив бизнес-риск и результаты предыдущей деятельности, а также установив направления аудита и оценив факторы риска, служба внутреннего аудита может определить приоритетные участки аудита и включить его в план работы на предстоящий год.
На основании получившейся классификации определяется оптимальная частота аудиторских проверок каждого подразделения с использованием матрицы частоты аудиторских проверок.

Предыдущий опыт Классификация бизнес-рисков
Высокий Средний Низкий
Плохо 1/2 года 1 год 1-2 года
Удовлетворительно 1 год 1-2 года 2 года
Хорошо 1-2 года 2 года 2-3 года

При проведении самой проверки аудиторы применяют опросы, тесты, аналитические процедуры, заключающиеся в изучении, анализе и оценке соотношений между финансово-экономическими показателями деятельности объекта аудита.
Аналитические процедуры представляют собой анализ и оценку полученной аудитором информации, исследование важнейших финансовых и экономических показателей объекта аудита с целью выявления необычных или неверно отраженных в бухгалтерском учете фактов хозяйственной деятельности, а также выяснения их причин.
Аудиторские доказательства соответствующим образом документируются в рабочих документах, которые служат доказательством того, что аудиторами соблюдены стандарты аудита.
Аудиторы при проведении проверок производят оценку достаточности и эффективности системы внутреннего контроля объекта аудита.
Для оценки риска, возникающего при выполнении банковских операций, внутренние аудиторы используют анкету риска, представляющую собой перечень вопросов относительно порядка проведения операции, которые имеют определенный вес. Ответы на вопросы имеют положительные – плюс и отрицательные – минус. Положительные ответы увеличивают общую сумму баллов, отрицательные – уменьшают.
Разумно продуманные вопросы позволяют не только эффективно оценить состояние системы внутреннего контроля по каждому направлению, но и получить перечень позиций, исправление которых позволит изменить к лучшему состояние дел, то есть разработать рекомендации и указания по устранению выявленных нарушений. Степень детализации вопросов анкеты определяется сложностью анализируемой операции и потребностью системы внутреннего контроля.
Все вопросы каждой анкеты делятся на 6 разделов:

Раздел I. Политика банка в области данного типа операций.
Раздел II. Процедуры принятия решений по данному типу операций.
Раздел III. Наличие нормативных документов, определяющих правила проведения операций данного типа.
Раздел IV. Содержание нормативных документов в части обеспечения внутреннего контроля.
Раздел V. Отражение проводимых операций в информационных систе-мах.
Раздел VI. Функции службы внутреннего контроля по обеспечению кон-трольных процедур.

Присваиваемый каждому вопросу анкеты вес является результатом экспертной оценки важности этого вопроса и может быть различным для различных операций:

  • вес, равный 1, присваивается важным позициям, отмеченным в анкете;
  • вес, равный 2, означает исключительную важность позиции;
  • вес, равный 3, присваивается позициям, критическим с точки зрения влияния на риски, которые могут привести к неоправданным потерям для банка.

Сумма баллов Bmax соответствует положительному ответу на все вопросы анкеты риска.
Состояние внутреннего контроля в рассматриваемой области деятельности оценивается по пяти категориям. Для отнесения подразделения к одной из категорий, полученное количество баллов В сравнивается с максимальным значением (Bmax) и решение принимается по правилу, описываемому в приведенной ниже таблице.

Категория Сумма баллов Комментарий
5 категория B<0,2 Bmax Внутренний контроль является неудовлетвори-тельным, уровень несоответствия политике и контролируемым процессам настолько высок, что представляет риск для банка.
4 категория 0,2 Bmax<B<0,4 Bmax Внутренний контроль минимальный, имеется несоответствие политике и контролируемым процессам, которое может представлять серьезную опасность.
3 категория 0,4 Bmax<B<0,6 Bmax Внутренний контроль содержит ошибки или от-сутствует во многих случаях, хотя в целом эти ошибки не представляют серьезную опасность.
2 категория 0,6 Bmax<B<0,8 Bmax Удовлетворительная организация внутреннего контроля, наблюдаются отдельные моменты несо-ответствия политике и контролируемым процес-сам.
1 категория B >0, 8 Bmax Хорошая организация внутреннего контроля.

После окончания проверки руководитель объекта аудита обязан рассмотреть ее результаты и принять необходимые меры по устранению выявленных нарушений и недостатков, причин и условий, способствовавших их возникновению, а также по возмещению материального ущерба, привлечению к ответственности виновных лиц.
Руководитель службы внутреннего аудита подготавливает резюме в виде докладной записки Председателю Правления Банка, которое включает:

  • оценку состояния внутреннего контроля на проверенном объекте;
  • краткое изложение выявленных нарушений и недостатков, их негативных последствий;
  • информацию о принятии или непринятии мер по устранению нарушений и недостатков, выявленных в ходе проверки;
  • предложения (рекомендации) по результатам проверки (далее – предложения).

Сроки исполнения предложений устанавливаются в соответствии с определенным службой внутреннего аудита уровнем рисков и с учетом выявленных нарушений, недостатков, проблем.
О существенных недостатках в системе внутреннего контроля служба внутреннего аудита информирует менеджмент банка для обеспечения руководителями проверяемых подразделений своевременного устранения недостатков. Тем самым осуществляется эффективное информационное обеспечение процесса управления банком.

Автор: