Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента в Украине.
- Законы
- Нормативы (Стандарты)
- Инструкции и методические указания
- Внутрифирменные (внутрибанковские) документы
Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента на предприятиях.
Законодательно не урегулировано !!!
- отсутствует служба внутреннего аудита
- (МСА; Профессиональные стандарты внутреннего аудита (ИВА); Служба внутреннего аудита разрабатывает Положения в…)
Законодательное и нормативное регулирование внутреннего аудита и систем риск-менеджмента в банковской деятельности Украины.
- Закон Украины «О банках и Банковской деятельности»
- Закон Украины « О Национальном банке Украины»
- «Положение по организации внутреннего аудита в банках Украины» ПНБУ от 20.03.98.№114.
- «Методические рекомендации инспектирования банков «Система оценки рисков» ПНБУ от 15.03.04. №104.
- «Методические рекомендации по организации и функционированию систем риск–менеджмента в банках Украины» ПНБУ от 02.08.04. №361.
- И др.
Документы, которые определяют порядок взаимоотношений и взаимодействие между внутренними и внешними аудиторами банков, между аудиторами и банковским надзором:
- Документы Базельского комитета по банковскому надзору.
- «Международные стандарты аудита, предоставление уверенности и этика» Международная федерация бухгалтеров.
- Материалы международного Institute of Internal Auditors (IIA) Института внутренних аудиторов.
- Постановления Правления Национального Банка Украины.
Документы Базельского комитета по банковскому надзору
- «Ключевые принципы ефективного банковского надзора», сентябрь 1997 года;
- «Внутренний аудит в банках и взаимоотношения между банковским надзором и аудиторами», август 2001 года;
- «Взаимоотношения между банковским надзором и внешними аудиторами банков », январь 2002 года.
«Международные стандарты аудита, предоставление уверенности и этика». Международная федерация бухгалтеров. Аудиторская Палата Украины 2004 год.
- Положение о международной аудиторской практике № 1004 «Взаимодействие инспекторов по банковскому надзору и внешних аудиторов».
Материалы международного Institute of Internal Auditors (IIA) Института внутренних аудиторов.
- Международные профессиональные стандарты внутреннего аудита.
- Кодекс профессиональной этики.
- И др. рекомендации ИВА.
Постановления Правления Национального банка Украины:
- «Методические рекомендации о взаимодействии между инспекторами банковского надзора НБУ и внешними аудиторами банков» ПП НБУ от 29.04.04. №191.
Внутренний аудит – это деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование работы банка. Внутренний аудит помогает достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
Сегодняшняя модель внутреннего аудита, пока еще отличается от западного варианта и состоит, в большинстве случаев, из двух основных направлений.
Первое – это ревизия (или тотальный контроль), которая фокусируется на проверке сохранности и эффективном использовании активов и выявлении недостач.
Второе – это внутренний аудит, имеющий целью обеспечить достоверность бухгалтерской отчетности и минимизировать налогообложение.
Функции внутреннего аудита:
- Координационная.
- Консультационная.
- Контролирующая.
- Оценивающая.
- Аналитическая.
- Предупреждающая.
- Информационная.
Есть ряд отличий аудита внутреннего от аудита внешнего. Два основных:
Первое, внешний аудит традиционно ориентируется на подтверждение достоверности финансовой отчетности и фокусируется на операциях и событиях, которые могут оказать материальное воздействие на отчетность банка. Внутренний аудит направлен на оценку существующей системы контроля компании и эффективности ее различных служб и структурных подразделений.
Второе, внешний аудит служит, в первую очередь, интересам собственников и клиентов банков – пользователям финансовой отчетности. Внутренний аудит служит, в первую очередь, интересам менеджеров банка.
Но существует значительно большее количество общих черт между внутренними и внешними аудиторами. Некоторые из них:
Во-первых, это этапы проведения аудиторской проверки (планирование, сам процесс аудита, подготовка и предоставление заключения). Во-вторых, это инструментарий аудиторов (методы, приемы, процедуры).
И система аудиторских рисков, которые связаны с тем, что аудитор в принципе может не выявить всех ошибок и искажений в учете. Потому что вывод аудитором делается на основании обоснованной выборочной проверки, в результате чего дается высокая, но не абсолютная гарантия.
Теперь о взаимодействии.
Взаимодействие службы внутреннего аудита банка с внешними аудиторами поможет увеличить эффективность внутреннего аудита и снизить затраты банка на аудит внешний.
Планирование аудита
План аудиторской проверки содержит ( кроме всего прочего):
- Получение достаточных знаний о бизнесе, структуре управления субъекта и внутреннем контроле, включая управление рисками и функции внутреннего контроля;
- Рассмотрение ожидаемых оценок: присущего риска и риска контроля, то есть риска того, что произойдут существенные искажения (присущий/неотъемлемый риск), и риск того, что система внутреннего контроля банка не предотвратит или не выявит и не исправит своевременно такие искривления (риск контроля);
- Определения характера, расчета времени и объема аудиторских процедур, которые нужно выполнить.
Разрабатывая общий план аудиторской проверки аудитор уделяет особенное внимание:
- Сложности операций и документации, что их касается;
- Объему структурного подразделения;
- Непредвиденным обязательствам и внебалансовым статьям;
- Влиянию нормативных актов;
- Степень использования банком IT и других систем;
- Прогнозным оценкам присущего риска и риска контроля;
- Оценке внутреннего контроля;
- Оценке аудиторского риска;
- Оценке существенности;
- Пояснениям управленческого персонала;
- Привлечению других специалистов;
- Наличию операций со связанными сторонами и др.
Оценка внутреннего контроля
Основные цели внутреннего контроля:
- Надежность и полнота информации.
- Соответствие политике, планам, процедурам, законодательству.
- Обеспечение сохранности активов.
- Экономичное и эффективное использование ресурсов.
- Достижение подразделениями банков поставленных целей и задач.
По модели COSO система внутреннего контроля состоит из 5 взаимосвязанных компонентов:
- Контрольная среда – Control Environment;
- Система выявления и оценки рисков – Risk Assessment;
- Контрольные процедуры – Control Activities;
- Информационная среда и система коммуникаций – Information and Communicatoin;
- Мониторинг эффективности СВК – Monitoring.
В октября 2004 года издана новая разработка COSO – модель COSO ERM – Integrated Framework (ERM – enterprise risk model), которая объединила в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками.
Система внутреннего контроля может быть признана эффективной только когда:
Утверждены и периодически пересматривается владельцами документы, устанавливающие стратегию и политику финансовой организации в области внутреннего контроля.
Утвержденная стратегия и политика внедряется менеджментом в практику на базе оценки рисков.
Создана необходимая инфраструктура, позволяющая обеспечить эффективность контролей.
Созданы эффективные и безопасные каналы доведения информации.
Проводится независимый мониторинг эффективности системы внутреннего контроля.
Система внутреннего контроля связана с риском. Она отражает отношение менеджмента к риску. Было бы трудно описать достоинства системы внутреннего контроля, не рассмотрев риск. Почему? Потому что для разработки эффективной системы внутреннего контроля необходимо понять виды и степень риска, с которым сталкивается кредитная организация. Таким образом, устойчивая система внутреннего контроля необходимо для эффективного управления риском. Эти два компонента настолько тесно связаны друг с другом, что игнорирование одного из них сразу же окажет негативное влияние на другой.
Риск, с банковской точки зрения – возможность неблагоприятного воздействия ожидаемых или непредвиденных событий на капитал и доходы банка.
Риски, связанные с банковской деятельностью (присущий/неотъемлемый риск)
- Валютный риск
- Процентный риск
- Кредитный риск
- Нормативный риск
- Операционный риск
- Риск замены
- Риск ликвидности
-
- Риск платежеспособности
- Риск оценки
- Риск репутации
- Риск расчетов
- «Суверенный риск» (риск страны)
- Трансфертный риск
- Ценовой риск
- Юридический и документальный риск
Как ограничить риск:
- Отказаться от риска.
- Принять риск.
- Уменьшить (ограничить) риск.
- Распределить риск.
Во всех случаях как инструмент ограничения риска используется внутренний контроль.
А инструмент независимого мониторинга –внутренний аудит.
Оценка аудиторского риска
Аудиторский риск (по МСА) это – потенциальная вероятность того, что аудитор в ходе планирования или проведения проверки может сформулировать несоответствующий аудиторский вывод.
Аудиторский риск включает в себя:
- Присущий (неотъемлемый риск) риск
- Риск системы контроля
- Риск не выявления (системи не обнаружения)
- Остаточный риск
Присущий (неотъемлемый риск) риск
- Означает вероятность того, что в финансовой отчетности могут содержаться ошибки или нарушения, если не принимать во внимание наличие внутреннего контроля.
- Ошибки могут быть одиночные или серийные.
- На неизбежный риск оказывают воздействие внутренние и внешние факторы.
Риск системы контроля – Риск того, что ошибка в финансовой отчетности не будет своевременно предотвращена или обнаружена системой внутреннего контроля.
Риск не выявления (системи не обнаружения)
- Риск того, что либо внутренний, либо внешний аудитор в итоге своей аудиторской проверки придет к заключению, что ошибки не было, тогда как в действительности она произошла. Это ошибки которые могут произойти по разным причинам. среди которых следующие:
- Аудитор не проверил все 100% остатков на счетах или классов операций.
- Риск выборки (неверный объем выборки или неверный способ отбора).
- Аудитор использовал не подходящие в конкретном случае процедуры.
- Аудитор неправильно интерпретировал результаты аудиторской проверки.
Остаточный риск
Поскольку любая система внутреннего контроля не может быть направлена на все виды риска, аудитор должен понимать, что существует и остаточный риск.
Задача аудитора заключается в снижении общего аудиторского риска до приемлемо низкого уровня.
Аудиторский риск формируется на трех этапах:
- учета операций;
- контроля над их отражением;
- и в процессе аудиторских процедур.
В процессе проведения аудита аудитору необходимо оценивать существенность во взаимосвязи с аудиторским риском.
Оценка того, что является существенным, относится к сфере профессионального суждения и включает в себя как объем (количественная характеристика), так и характер (качественная характеристика) искажений.
Аудитору следует оценивать существенность при: определении характера, сроков и объема аудиторских процедур;
оценке последствий искажений.
Процесс оценки риска контроля
Оценка системы риск-менеджмента
Практические советы по организации работы внутренних аудиторов в условиях недостаточной штатной численности:
- Определить приоритеты и риски.
- Расчетливо подобрать кадры.
- Выделить время для консультаций.
- Расширить сеть коммуникаций.
- Использовать внешние ресурсы.
- Информировать о возможностях аудиторов.
- Грамотно использовать технологии.