Взаимодействие службы внутреннего аудита банка с внешними аудиторами в вопросах оценки внутреннего контроля и риск-менеджмента

Практические материалы с конференций по аудиту

Автор:
Источник: Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2005
Опубликовано: 12 октября 2005

Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента в Украине.

  • Законы
  • Нормативы (Стандарты)
  • Инструкции и методические указания
  • Внутрифирменные (внутрибанковские) документы

Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента на предприятиях.
Законодательно не урегулировано !!!

  • отсутствует служба внутреннего аудита
  • (МСА; Профессиональные стандарты внутреннего аудита (ИВА); Служба внутреннего аудита разрабатывает Положения в…)

Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента в банковской деятельности Украины.

  • Закон Украины «О банках и Банковской деятельности»
  • Закон Украины « О Национальном банке Украины»
  • «Положение по организации внутреннего аудита в банках Украины» ПНБУ от 20.03.98.№114.
  • «Методические рекомендации инспектирования банков «Система оценки рисков» ПНБУ от 15.03.04. №104.
  • «Методические рекомендации по организации и функционированию систем риск–менеджмента в банках Украины» ПНБУ от 02.08.04. №361.
  • И др.

Документы, которые определяют порядок взаимоотношений и взаимодействие между внутренними и внешними аудиторами банков, между аудиторами и банковским надзором:

  • Документы Базельского комитета по банковскому надзору.
  • «Международные стандарты аудита, предоставление уверенности и этика» Международная федерация бухгалтеров.
  • Материалы международного Institute of Internal Auditors (IIA) Института внутренних аудиторов.
  • Постановления Правления Национального Банка Украины.

Документы Базельского комитета по банковскому надзору

  • «Ключевые принципы ефективного банковского надзора», сентябрь 1997 года;
  • «Внутренний аудит в банках и взаимоотношения между банковским надзором и аудиторами», август 2001 года;
  • «Взаимоотношения между банковским надзором и внешними аудиторами банков », январь 2002 года.

«Международные стандарты аудита, предоставление уверенности и этика». Международная федерация бухгалтеров. Аудиторская Палата Украины 2004 год.

  • Положение о международной аудиторской практике № 1004 «Взаимодействие инспекторов по банковскому надзору и внешних аудиторов».

Материалы международного Institute of Internal Auditors (IIA) Института внутренних аудиторов.

  • Международные профессиональные стандарты внутреннего аудита.
  • Кодекс профессиональной этики.
  • И др. рекомендации ИВА.

Постановления Правления Национального банка Украины:

  • «Методические рекомендации о взаимодействии между инспекторами банковского надзора НБУ и внешними аудиторами банков» ПП НБУ от 29.04.04. №191.

Внутренний аудит – это деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование работы банка. Внутренний аудит помогает достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

Сегодняшняя модель внутреннего аудита, пока еще отличается от западного варианта и состоит, в большинстве случаев, из двух основных направлений.

Первое – это ревизия (или тотальный контроль), которая фокусируется на проверке сохранности и эффективном использовании активов и выявлении недостач.
Второе – это внутренний аудит, имеющий целью обеспечить достоверность бухгалтерской отчетности и минимизировать налогообложение.

Функции внутреннего аудита:

  • Координационная.
  • Консультационная.
  • Контролирующая.
  • Оценивающая.
  • Аналитическая.
  • Предупреждающая.
  • Информационная.

Есть ряд отличий аудита внутреннего от аудита внешнего. Два основных:

Первое, внешний аудит традиционно ориентируется на подтверждение достоверности финансовой отчетности и фокусируется на операциях и событиях, которые могут оказать материальное воздействие на отчетность банка. Внутренний аудит направлен на оценку существующей системы контроля компании и эффективности ее различных служб и структурных подразделений.
Второе, внешний аудит служит, в первую очередь, интересам собственников и клиентов банков – пользователям финансовой отчетности. Внутренний аудит служит, в первую очередь, интересам менеджеров банка.

Но существует значительно большее количество общих черт между внутренними и внешними аудиторами. Некоторые из них:

Во-первых, это этапы проведения аудиторской проверки (планирование, сам процесс аудита, подготовка и предоставление заключения). Во-вторых, это инструментарий аудиторов (методы, приемы, процедуры).

И система аудиторских рисков, которые связаны с тем, что аудитор в принципе может не выявить всех ошибок и искажений в учете. Потому что вывод аудитором делается на основании обоснованной выборочной проверки, в результате чего дается высокая, но не абсолютная гарантия.

Теперь о взаимодействии.

Взаимодействие службы внутреннего аудита банка с внешними аудиторами поможет увеличить эффективность внутреннего аудита и снизить затраты банка на аудит внешний.

Планирование аудита

План аудиторской проверки содержит ( кроме всего прочего):

  • Получение достаточных знаний о бизнесе, структуре управления субъекта и внутреннем контроле, включая управление рисками и функции внутреннего контроля;
  • Рассмотрение ожидаемых оценок: присущего риска и риска контроля, то есть риска того, что произойдут существенные искажения (присущий/неотъемлемый риск), и риск того, что система внутреннего контроля банка не предотвратит или не выявит и не исправит своевременно такие искривления (риск контроля);
  • Определения характера, расчета времени и объема аудиторских процедур, которые нужно выполнить.

Разрабатывая общий план аудиторской проверки аудитор уделяет особенное внимание:

  • Сложности операций и документации, что их касается;
  • Объему структурного подразделения;
  • Непредвиденным обязательствам и внебалансовым статьям;
  • Влиянию нормативных актов;
  • Степень использования банком IT и других систем;
  • Прогнозным оценкам присущего риска и риска контроля;
  • Оценке внутреннего контроля;
  • Оценке аудиторского риска;
  • Оценке существенности;
  • Пояснениям управленческого персонала;
  • Привлечению других специалистов;
  • Наличию операций со связанными сторонами и др.

Оценка внутреннего контроля

Основные цели внутреннего контроля:

  • Надежность и полнота информации.
  • Соответствие политике, планам, процедурам, законодательству.
  • Обеспечение сохранности активов.
  • Экономичное и эффективное использование ресурсов.
  • Достижение подразделениями банков поставленных целей и задач.

По модели COSO система внутреннего контроля состоит из 5 взаимосвязанных компонентов:

     
  1. Контрольная среда – Control Environment;
  2. Система выявления и оценки рисков – Risk Assessment;
  3. Контрольные процедуры – Control Activities;
  4. Информационная среда и система коммуникаций – Information and Communicatoin;
  5.  Мониторинг эффективности СВК – Monitoring.

В октября 2004 года издана новая разработка COSO – модель COSO ERM – Integrated Framework (ERM – enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.

Система внутреннего контроля может быть признана эффективной только когда:

Утверждены и периодически пересматривается владельцами документы, устанавливающие стратегию и политику финансовой организации в области внутреннего контроля.
Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков.
Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей.
Созданы эффективные и безопасные каналы доведения информации.
Проводится независимый мониторинг эффективности системы внутреннего контроля.

Система внутреннего контроля связана с риском. Она отражает отношение менеджмента к риску. Было бы трудно описать достоинства системы внутреннего контроля, не рассмотрев риск. Почему? Потому что для разработки эффективной системы внутреннего контроля необходимо понять виды и степень риска, с которым сталкивается кредитная организация. Таким образом, устойчивая система внутреннего контроля необходимо для эффективного управления риском. Эти два компонента настолько тесно связаны друг с другом, что игнорирование одного из них сразу же окажет негативное влияние на другой.

Риск, с банковской точки зрения – возможность неблагоприятного воздействия ожидаемых или непредвиденных событий на капитал и доходы банка.

Риски, связанные с банковской деятельностью (присущий/неотъемлемый риск)

  • Валютный риск
  • Процентный риск
  • Кредитный риск
  • Нормативный риск
  • Операционный риск
  • Риск замены
  • Риск ликвидности

  • Риск платежеспособности
  • Риск оценки
  • Риск репутации
  • Риск расчетов
  • «Суверенный риск» (риск страны)
  • Трансфертный риск
  • Ценовой риск
  • Юридический и документальный риск

Как ограничить риск:

  • Отказаться от риска.
  • Принять риск.
  • Уменьшить (ограничить) риск.
  • Распределить риск.

Во всех случаях как инструмент ограничения риска используется внутренний контроль.
А инструмент независимого мониторинга –внутренний аудит.

Оценка аудиторского риска

Аудиторский риск (по МСА) это – потенциальная вероятность того, что аудитор в ходе планирования или проведения проверки может сформулировать несоответствующий аудиторский вывод.

Аудиторский риск включает в себя:

  • Присущий (неотъемлемый риск) риск
  • Риск системы контроля
  • Риск не выявления (системи не обнаружения)
  • Остаточный риск

Присущий (неотъемлемый риск) риск

  • Означает вероятность того, что в финансовой отчетности могут содержаться ошибки или нарушения, если не принимать во внимание наличие внутреннего контроля.
  • Ошибки могут быть одиночные или серийные.
  • На неизбежный риск оказывают воздействие внутренние и внешние факторы.

Риск системы контроля – Риск того, что ошибка в финансовой отчетности не будет своевременно предотвращена или обнаружена системой внутреннего контроля.

Риск не выявления (системи не обнаружения)

  • Риск того, что либо внутренний, либо внешний аудитор в итоге своей аудиторской проверки придет к заключению, что ошибки не было, тогда как в действительности она произошла. Это ошибки которые могут произойти по разным причинам. среди которых следующие:
  • Аудитор не проверил все 100% остатков на счетах или классов операций.
  • Риск выборки (неверный объем выборки или неверный способ отбора).
  • Аудитор использовал не подходящие в конкретном случае процедуры.
  • Аудитор неправильно интерпретировал результаты аудиторской проверки.

Остаточный риск

Поскольку любая система внутреннего контроля не может быть направлена на все виды риска, аудитор должен понимать, что существует и остаточный риск.

Задача аудитора заключается в снижении общего аудиторского риска до приемлемо низкого уровня.

Аудиторский риск формируется на трех этапах:

  • учета операций;
  • контроля над их отражением;
  • и в процессе аудиторских процедур.

В процессе проведения аудита аудитору необходимо оценивать существенность во взаимосвязи с аудиторским риском.
Оценка того, что является существенным, относится к сфере профессионального суждения и включает в себя как объем (количественная характеристика), так и характер (качественная характеристика) искажений.

Аудитору следует оценивать существенность при: определении характера, сроков и объема аудиторских процедур;
оценке последствий искажений.

Процесс оценки риска контроля

Оценка системы риск-менеджмента

Практические советы по организации работы внутренних аудиторов в условиях недостаточной штатной численности:

  • Определить приоритеты и риски.
  • Расчетливо подобрать кадры.
  • Выделить время для консультаций.
  • Расширить сеть коммуникаций.
  • Использовать внешние ресурсы.
  • Информировать о возможностях аудиторов.
  • Грамотно использовать технологии.

Автор:

 

Все статьи цикла «Аналитические материалы со III-й Конференции стран СНГ "Аудит и контроллинг в банках" - 2005»

(состоит из 6 статей)

Роль внутреннего аудита в построении системы управления рисками. (12 октября 2005)

Взаимодействие внутреннего аудита с Правлением (Советом директоров) (12 октября 2005)

Опыт интеграции методологической и аудиторской деятельности в ЗАО АКБ «ИНТЕРПРОМБАНК» (12 октября 2005)

Внутренний аудит. Независимость. Роль внутреннего аудита в корпоративном управлении (30 декабря 2005)

Опыт организации комплаенс-контроля в рамках СВК: основные принципы и стандарты комплаенс контроля (12 октября 2005)

Взаимодействие службы внутреннего аудита банка с внешними аудиторами в вопросах оценки внутреннего контроля и риск-менеджмента (12 октября 2005)