Автор: Сухроб Курбонов, директор департамента внутреннего аудита ЗАО "Альфа-Банк" (Беларусь), член Ассоциации «Институт внутренних аудиторов»
Источник: Институт внутренних аудиторов
Дата публикации: 11 Сентября 2019
За последние 5-10 лет внутренний аудит как функция становится важной и неотъемлемой частью системы внутреннего контроля и корпоративного управления как в России, так и в других странах постсоветского пространства, в частности, на Украине, Беларуси и в Казахстане. Это связано в основном со следующими факторами:
Кроме этого, возросло внимание к внутреннему аудиту со стороны бенефициарных владельцев/ акционеров как источника, который может предоставить им неангажированные/ объективные данные о ситуации в том или ином направлении бизнеса или в целом о деятельности компании.
В данной статье перечислены основные законодательные документы, регулирующие деятельность внутреннего аудита в кредитных организациях как функции, с раскрытием и сравнением определенных норм для понимания какие нормы/ требования установлены к внутреннему аудиту кредитных организаций в России, Украине, Беларуси и Казахстане.
Чем может быть полезна данная тема:
Для удобства восприятия и систематизации материал изложен в виде сравнительной таблицы. В ней указаны основные законодательные документы (список)[1] и проанализированные критерии (анализ проведен по 29 критериям), в конце указываются некоторые выводы и дается информация по некоторым отличительным особенностям (см. Таблицу ниже).
Опираясь на результаты анализа, можно сделать несколько выводов и указать некоторые отличительные особенности:
- аутсорсинговые компании не всегда могут обладать тем багажом навыков и знаний, которые нужны для выполнения функции внутреннего аудита в банке (хотя МОПП указывает иное);
- аутсорсинговые компании могут быть менее выгодными как по стоимости (дешевле нанять внутренних аудиторов в штат банка), так и по качеству работ;
- банки не могут контролировать/ митигировать риски, связанные с деятельностью аутсорсинговых компаний (ухудшение их финансового состояния, отток кадров, изменение стоимости услуг для банка, качество осуществляемой работы и т.д.), которые впоследствии могут привести к несистемности в осуществлении внешнего аутсорсинга функции внутреннего аудита и/или его подорожанию;
- также важным моментом (с учетом GDPR-требований) является вопрос передачи, хранения/ конфиденциальности и использования данных аутсорсерами. Сложившаяся практика показывает, что в настоящее время менее рискованно и более эффективно иметь собственное подразделение внутреннего аудита в банке. Такой принцип в целом соответствует интересам всех сторон (менеджмент, акционер, регулятор).
Норма/Требование |
Россия |
Беларусь |
Украина |
Казахстан |
1. Требование о наличии подразделения внутреннего аудита в банке |
Да (1а, Глава 4) |
Да (2 а., Глава 4. п.24) |
Да (3 а., Раздел 2. п.5) |
Да (4 а., Приложение №2. п.15.1) |
2. Требование о наличии утвержденного Положения о подразделении внутреннего аудита (с описанием целей, задач, ответственности и т.д.) |
Да (1а, Глава 4, п 4.2, 4.3) |
Да (2 а., Глава 4. п.25) |
Да (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.1) |
3. Наличие требования (прямого или косвенного) о создании Аудиторского комитета |
Да (1а, Глава 5, п. 5.3; 1б, раздел 8, пункт 8.1) |
Да (2 а., Глава 2. п.5, п.7) |
Да (3 а., Раздел 1. п.3, Раздел 7, п. 32) |
Нет про АК, при этом есть информация про СД (4а., Приложение №2 п. 15.1, 15.2) |
4. Наличие требования/ рекомендации о количестве членов Аудиторского комитета, в том числе какое количество независимых директоров должно быть в составе |
Да (1б, Приложение №2, раздел 3). |
В анализированных документах нет такой нормы. |
В анализированном документе нет такой нормы. |
В анализированном документе нет такой нормы. |
5. Наличие требования о вхождении Руководителя внутреннего аудита в состав комитета по аудиту |
Нет |
Да (2 а., Глава 4. п.24) |
Нет |
Нет |
6. Уровень утверждения Положения либо иного документа (какой орган утверждает) |
Да, СД (НС), если в уставе не указано иное (1а, п. 4.3) |
Да (2 а., Глава 2. п.6) |
Да (3 а., Раздел 2. п.7) |
Да, СД (4а Приложение№2 п 15.1, 15.2) |
7. Требования к Руководителю функции |
Да (1а. п. 4.9 отсылка на 3223-У, 4662-У) |
Косвенно, (2 а., Глава 4. п.26) |
Да (3 а., Раздел 2. п.8) |
Да, есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3) |
8. Требования к сотрудникам (опыту, квалификации, наличию профессиональных сертификатов) |
Есть норма о проф. переподготовке. (1а, п. 4.9) |
Косвенно, (2 а., Глава 4. п.26) |
Есть норма о проф. компетентности сотрудников (3 а., Раздел 2. п.12) |
Есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3) |
9. Требования о необходимости по осуществлению внешней независимой оценки внутреннего аудита со стороны третьих сторон (внешняя оценка/НС и т.д.) |
Да (1а, п. 4.7.1) |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 7. п.32) |
Да (4 а., Приложение №2. п.15.12) |
10. Требование о не участии сотрудников в проверке деятельности/функций за которые они несли ответственность (могут не ранее 12 месяцев) |
Да (1а, п. 4.8.2), |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 2. п.12) |
Да (4 а., Приложение №2. п.15.2) |
11. Порядок назначения Руководителя функции по внутреннему аудиту и уровень его утверждения |
Да (1а. п. 4.9 отсылка на 3223-У) |
В анализированных документах нет такой нормы |
Да (3 а., Раздел 2. п.7, 11 + отсылка на иной док. НБУ)
|
В анализированнном документе нет такой нормы |
12. Наличие прямой нормы о количестве/рекомендуемом количестве сотрудников внутреннего аудита к общей численности банка/кредитной организации (прямая норма с указанием % к примеру, к общей численности) |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированном документе нет такой нормы |
Нет, В анализированном документе нет такой нормы |
13. Наличие требования о составлении годового плана внутреннего аудита |
Да (1а, п.4.7.2, в т.ч. отсылка на иные нормы) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 2. п.13) |
Да (4 а., Приложение №2. п.15.4) |
14. Требование о более гибком планировании (flexible audit plan) |
В анализированных документах нет такой нормы. |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 2. п.13) |
Нет |
15. Наличие Требования об уровне подчиненности/ подотчетности/под контрольности внутреннего аудита |
Да (1а, п.4.2, 4.7.1),
|
Да, (2а, Глава 4, п.24, 25) |
Да (3 а., Раздел 2. п.5,6) |
Да (4 а., Приложение №2. п.15.3) |
16. Необходимость осуществления оценки эффективности систем внутреннего контроля (в проверенном процессе, либо в целом) |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п.15.1, 15.3, 15.9) |
17. Необходимость осуществления оценки эффективности системы управления рисками(в проверенном процессе, либо в целом) |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п. 15.1, 15.3, 15.6) |
18. Необходимость осуществления оценки эффективности системы управления банком/корпоративного управления (в проверенном процессе, либо в целом) |
Нет, прямой нормы нет, есть косвенные нормы/фрагментарные (1а, 4.1, Приложение №3, п. 1; 2а Приложение №2, п.2.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п. 15.1, 15.3) |
19. Необходимость осуществления оценки надежности системы бухгалтерского учета и информации и составленных на их основе финансовой и регуляторной отчетности |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п.15.7) |
20. Требования о составлении Плана проверок по принципу «риск ориентированный подход» |
В анализированных документах данная норма не указана |
Да, (2а, Глава 4, п.27), |
Да (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.2, 15.4) |
21. Требования о цикличности проведения проверок и охвата всех процессов, вопросов; |
Да (1а, п. 4.10.1, 5.3) |
Да, (2а, Глава 4, п.26), при этом не указан период. |
Нет, при этом норма о стратегическом/долгосрочном планировании есть. (3 а., Глава 2. п.13)
|
Нет, т.е. нет нормы в котором четко и однозначно было бы указано |
22. Основные способы (методы)/направления осуществления проверок службой внутреннего аудита |
Да (1а, Приложение №3, п.1) |
Да, (2а, Глава 4, п.24, 27) |
Да (3 а., Раздел 3. п.16; Раздел 5, п.21) |
Да (4 а., Приложение №2. п.15.6) |
23. Требования о предоставлении обязательной отчетности о деятельности внутреннего аудита заинтересованным лицам (Наблюдательный совет, Правление и т.д.); |
Да (1а, п. 4.2) |
Да, (2а, Глава 4, п.27) |
Да (3 а., Раздел 5. п.27) |
Да (4 а., Приложение №2. п.15.10, 15.12) |
24. Требование о необходимости осуществления мониторинга рекомендаций/мероприятий |
Да (1а, п. 4.11) |
Да, (2а, Глава 4, п.27) |
Да (3 а., Раздел 5. п.26) |
Да (4 а., Приложение №2. п.15.11) |
25. Возможность передачи функции внутреннего аудита в аутсорсинг (в случае если кредитная организация не входит в банковскую группу) |
Нет (1а, п. 4.6.2) |
Да (2а, Глава 4, п.25)
|
В анализированных документах нет такой нормы. |
В анализированных документах нет такой нормы. |
26. Норма о возможности привлечения внутренних сотрудников иных подразделений банка для участия в проведении аудита |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированных документах нет такой нормы |
Нет, при этом в отчете о деятельности ВА есть сведения о прив лицах. (3а, Раздел 7, п34, подпункт 3) |
Да (4 а., Приложение №2. п.15.3) |
27. Наличие упоминания о термине Гарантия или Консультация (для максимизации связей с МОПП) |
Нет |
Да (2а, Глава 4, п.25)
|
Да, (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.1) |
28. Требования или рекомендации о необходимости автоматизации/полу автоматизации деятельности внутреннего аудита |
Нет |
В анализированных документах нет такой нормы |
Нет, при этом в отчете о деятельности ВА есть критерий (3а, Раздел 7, п34, подпункт 3) |
Нет |
29. Имеется ли норма о необходимости установления аудиторов ключевых показателей эффективности (KPI) |
Нет |
В анализированных документах нет такой нормы |
Нет |
Нет |
Комментарий Дениса Малыхина, CIA, руководителя Программы сертификации Ассоциации «Институт внутренних аудиторов»:
Подборка регулятивных документов из банковских сфер Беларуси и Казахстана, предоставленная автором статьи, удачно дополнила библиотеку Института (раздел «База знаний»). Тем не менее, мнение автора по поводу особенностей регулятивных требований к организации управления рисками и функции внутреннего аудита может не совпадать с официальной позицией Института.
Необходимо обратить внимание, что вопросы организации внутреннего аудита в тех российских банках, которые являются публичными акционерными обществами, также регулируются российским Кодексом корпоративного управления (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления"), который был одобрен Правительством РФ 13.02.2014 и Советом директоров ЦБ РФ 21.03.2014. Рекомендации по организации внутреннего аудита, ранее выработанные профессиональным сообществом с учетом передовой международной практики, приобрели характер законодательных требований в связи с внесением изменений в Федеральный закон № 208-ФЗ от 26.12.1995 (в ред. от 19.07.2018).
Вопросы развития научно-методологических подходов к организации внутреннего аудита в финансовых организациях являются ключевой темой для работы Экспертного совета по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях, созданного в Банке России и Консультативного совета по аудиторской деятельности центральных (национальных) банков .
[1] Россия: Положение ЦБ РФ № 242-П от 16.12.2003 (в ред. от 24.04.2014) (1А); Письмо Банка России от 15.09.2016 N ИН-015-52/66 (1B). Беларусь: Инструкция (Постановление Правления Национального банка Республики Беларусь 30.11.2012 №625 (2А); Постановление Правления НБ РБ 29 от 29.10.2012 №550 2 (B). Украина: Положение об организации внутреннего аудита в банках Украины (Постановление НБУ от 24.10.2017 – неофициальный перевод) (3А). Казахстан: Внутренний аудит в системе финансового контроля в государственных органах Казахстана 4 (а); Постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29
Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня (4B).