Как уже отмечалось, в банке должны быть сформированы и действовать органы специализированного (профессионального) контроля. Такими органами могут быть прежде всего:

• служба внутреннего контроля;
• служба внутреннего аудита;
• комитет по внутреннему контролю и аудиту.

Служба внутреннего контроля

Служба внутреннего контроля (далее – СВК) банка создается конкретно в целях мониторинга за процессом функционирования системы внутреннего контроля в банке, выявления и анализа проблем, связанных с ее функционированием, обеспечения соблюдения всеми сотрудниками организации при выполнении своих служебных обязанностей требований законодательства, а также обеспечения контроля за минимизацией банковских рисков, в том числе рисков, связанных с конфликтами интересов, возникающими в процессе жизнедеятельности банка.

Основной функцией СВК в банке, если сказать в общем плане, должна стать функция создания, отладки и поддержания всех механизмов внутреннего контроля в банке на необходимом уровне. При этом функции СВК нецелесообразно сводить только к методической работе (формирование требований к системе внутреннего контроля), однако они и не должны подменять функции других органов внутреннего контроля в банке.

При этом СВК должна обеспечивать контроль за:

• выполнением сотрудниками банка требований законодательства и нормативных актов регулирующих органов;
• адекватным определением во внутренних документах и соблюдением процедур и полномочий при осуществлении любых операций, при принятии любых решений, затрагивающих интересы банка, его собственников и клиентов;
• выполнением процедур эффективного управления банком своими рисками;
• сохранностью активов и адекватным отражением проводимых операций в бухгалтерском и управленческом учете банка;
• эффективным функционированием всех звеньев системы внутреннего контроля банка.

Для эффективной работы СВК банка необходимо обеспечить особый статус ее сотрудников (контролеров). Контролер должен иметь безусловную возможность доступа ко всей бухгалтерской и прочей документации, к электронным базам данных и к данным на бумаге. При этом режим доступа к информации должен быть таким, чтобы исключалась возможность корректировки данных контролером.

Контролер должен быть независим от деятельности, которую он проверяет. Недопустима зависимость контролера от проверяемой деятельности, обусловленная тем, что он ранее работал в проверяемом подразделении. Недопустимо также наличие менее очевидных связей: работа в настоящее время или в прошлом в проверяемом подразделении родственников, возможность пользоваться какими-либо услугами проверяемого подразделения и др.

Контролер не должен административно зависеть также от исполнительных органов банка. Это очень важный принцип, несоблюдение которого приводит к созданию недееспособной СВК.

Контролер должен обладать полномочиями приостанавливать операции (сделки) банка в случае обнаружения в них грубых нарушений, которые могут привести к убыткам или дополнительным рискам для банка. Это право должно быть зафиксировано в Положении о СВК и внутрибанковских должностных инструкциях.

При проведении административно-правового, управленческого, организационно-управленческого и финансового контроля необходимо постоянно обращать должное внимание на выполнение следующих принципов.

• 1. Деятельность каждого участка банка должна контролироваться путем применения следующих, в частности, стандартных методов:
  • метод "четырех глаз", означающий, что любую значимую операцию проводят два сотрудника банка, один из которых является контролером;
  • нумерации документов, предполагающей, что отчетные документы брошюруются и нумеруются по порядку;
  • ограничения доступа посторонних лиц к документам и ценностям;
  • периодической сверки вычислений, полученных независимым путем.
• 2. Каждая проведенная операция должна оставлять "аудиторский след", что предполагает документальное подтверждение такого факта, т.е. фиксирование в первичных документах, бухгалтерских документах, в проводках, в описательных документах и т.д.
• 3. Контролер должен иметь возможность влиять на ход операции. Инструктивно должно быть закреплено право контролера при известных рисковых обстоятельствах приостанавливать проведение операции (сделки), при этом должны быть четко регламентированы эти самые обстоятельства – условия, наличие которых дает контролеру право и (или) даже обязывает его распорядиться о приостановлении соответствующей операции.
• 4. Для каждой операции должен быть определен порядок ее санкционирования, т.е. следует указывать полномочия конкретных ответственных лиц, которые могут давать разрешение (согласие, распоряжение, указание, приказ) на выполнение операций (группы взаимосвязанных операций).

Аналитический контроль, как уже отмечалось, предполагает выявление отклонений фактических параметров прежде всего финансовой деятельности банка от должных (ожидаемых) и выяснение их причин. Для этого используются финансово-экономические показатели, различные коэффициенты, методики их расчета, а также требуемые (нормативные, плановые) значения указанных показателей и коэффициентов. При этом особые сотрудники банка должны вести регулярный мониторинг значений и динамики данных показателей и коэффициентов и в случае их отклонения от должных значений немедленно сообщать об этом руководителям банка, включая коллегиальные органы управления, имеющие право по своему положению в организации принимать управленческие решения, которые должны будут "ввести" значения таких показателей в необходимые рамки.

СВК обязана выборочно проверять соблюдение указанных должных показателей, имея в виду прежде всего наиболее значимые для банка финансово-экономические показатели (например, правильность начисления резервов под те или иные рисковые активы), а также вести регулярный контрольный мониторинг за тем, как в подразделениях поставлен и ведется аналитический контроль.

Каждый сотрудник СВК в процессе своей работы периодически оказывается в "оппозиции" к сотрудникам проверяемых подразделений. Это неизбежное обстоятельство несет в себе зародыш конфликта, который может вылиться в неприязнь и отторжение коллективом банка сотрудников контролирующих подразделений, что может сильно затруднить проведение контрольных мероприятий и снизить эффективность системы внутреннего контроля в целом. Чтобы этого не произошло, необходимо создание в коллективе банка климата, объединяющего всех, в том числе сотрудников контролирующих служб, вокруг единой цели (целей).

Отдельной функцией СВК является участие в согласовании внутрибанковских нормативных актов и процедур. Данная работа представляет собой фактически предварительный контроль, поскольку в ходе ее определяются, с одной стороны, алгоритмы действий работников, с другой – алгоритмы функционирования контрольных механизмов, призванных предупредить нарушения указанных правил действий работников.

СВК, участвуя в согласовании проектов внутрибанковских нормативных актов и процедур, должна изучать наличие и достаточность этих контрольных механизмов, а затем соответствие описанных в проектах действий работников банка требованиям нормативных актов, т.е. тем самым выполнять уже упомянутые функции (проверять на соответствие и контролировать наличие должного контроля). Понятно, что все согласуемые документы должны проверяться на соответствие нормам законов, правовых актов Банка России, а также международных актов.

Служба внутреннего аудита

Важную роль в системе внутреннего контроля банка может и должен занимать аудит. Аудит банков (внешний) имеет ряд особенностей, которые требуют наличия специализированных аудиторских организаций. Дело в том, что при аудиторских проверках банков и других КО должны рассматриваться самые различные стороны экономической деятельности как самих банков (НКО), так и их клиентов. Это налагает на банковских аудиторов особую ответственность, требует от них особой квалифицированности, объективности и соответственно достоверности конечных выводов.

Практика аудиторских обследований банков показывает, что важным условием успешной деятельности аудиторов является взаимная заинтересованность как проверяемого банка, так и проверяющих лиц в обеспечении достоверности учета и отчетности, в выявлении и устранении причин, мешающих банку достичь более высоких результатов деятельности. Аудитор – лицо, обладающее специальными знаниями, ему должны быть присущи не только высокий профессионализм, но и такие качества, как объективность и честность, умение соблюдать коммерческую тайну, доброжелательность и лояльность по отношению к проверяемым и ряд других черт.

Аудиторы вправе, в частности:

• проверять все бухгалтерские, денежные и другие первичные документы, наличие денег, материальных ценностей и ценных бумаг в кассе, хранилище, у подотчетных лиц, регистры бухгалтерского учета, отчетность, сметы и другие документы по денежным, расчетным (платежным), кредитным и иным операциям банка;
• знакомиться с приказами, распоряжениями правления банка и его председателя, протоколами заседаний совета и правления банка;
• требовать предоставления всех необходимых документов, а также справок, расчетов, копий отдельных документов для приобщения к акту;
• получать устные или письменные объяснения по вопросам, возникающим в ходе проведения аудита;
• осматривать кассовые помещения, кладовые и другие служебные помещения, места и условия хранения ценностей в целях выяснения соответствия их необходимым требованиям.

Что касается обязанностей аудиторов, то они определяются на основе поставленных перед ними задач (в рамках норм законодательства). Основная их обязанность заключается в том, чтобы при выявлении фактов неправильного ведения банковских операций, нарушений установленного порядка бухгалтерского учета, злоупотреблений и т.д. точно определить размер причиненного банку или государству (бюджету) ущерба, выяснить причины вскрытых нарушений, должностных или ответственных лиц, виновных в данных нарушениях. В связи с этим аудитор несет ответственность также за неправильное освещение действительного состояния дел в обследуемом банке, преднамеренное искажение фактов или сокрытие выявленных нарушений или ошибок, допускаемых работниками.

В принципе то же самое относится и к деятельности внутренних аудиторов, хотя их основная задача – в ходе проверок выявлять моменты несоответствия реальной деятельности организации требованиям законодательных и нормативных актов, а также контроль за ходом исправления указанного рода несоответствий. Определенные функции внутренних аудиторов выполняют и ревизорские группы при бухгалтериях крупных банков, подчиненные главному бухгалтеру или финансовому директору, однако функции внутренних аудиторов шире.

Некоторые функции внутреннего аудита называются хозяйственным аудитом. Хозяйственный аудит заключается в систематическом анализе хозяйственной деятельности КО и проводится для определенных целей. Обычно он преследует три цели:

• оценка эффективного управления;
• выявление возможностей улучшения хозяйственной деятельности;
• выработка рекомендаций, касающихся улучшения рыночной деятельности или дальнейших действий в более широком плане.

Внутренний аудит банка – это, по сути, аудит системы внутреннего контроля банка и в этом качестве являет собой часть самой системы внутреннего контроля. Функция аудита системы внутреннего контроля должна быть подотчетна высшему руководству банка в лице совета. Для этого совет (или специальный комитет в его составе) следует своевременно информировать о выявленных недостатках в данной системе и представлять на его рассмотрение рекомендации по совершенствованию ее работы.

Комитет по контролю и аудиту

Для регулярного мониторинга факторов и значений рисков внутри банка целесообразно в рамках корпоративного управления создать комитет по внутреннему контролю и аудиту . Создание такого комитета делает возможным детальное и регулярное рассмотрение и обсуждение проблем, связанных с внутренним контролем и аудитом, и позволяет уделить им необходимое внимание. При этом рекомендуется включать в состав комитета наряду с сотрудниками банка, отвечающими за ключевые направления бизнеса, не работающих в банке специалистов, хорошо разбирающихся в вопросах финансовой отчетности и внутреннего контроля.

Общим результатом функционирования системы внутреннего контроля банка должна являться рациональная организация непрерывного и постоянного контроля его собственно банковской и административно-хозяйственной деятельности, имея в виду разные ее уровни – от рабочего места отдельного сотрудника и от производства отдельного продукта (оказания отдельной услуги) до итоговых параметров деятельности организации в целом.

Контрольные службы: варианты организационного построения

Место, роль и функции контролирующих подразделений банка должны быть определены: в концепции организации внутреннего контроля в банке; в положениях о данных подразделениях; во внутренних регламентирующих документах банка, в которых наряду с описанием порядков работы и взаимодействия между соисполнителями в необходимых случаях указывается порядок контроля за данным направлением работы.

В частности, СВК в банке структурно может быть организована двумя способами. В первом случае она может включать в свой состав подразделения внутреннего контроля, внутреннего аудита, подразделение, занимающееся управлением рисками, а также ряд других аналитических и контролирующих подразделений банка. В этом случае фактически речь идет о многофункциональном департаменте, который должен охватывать различные аспекты деятельности всей организации.

Во втором случае СВК может быть создана как отдельное структурное подразделение в составе банка, взаимодействующее с другими контролирующими подразделениями. При таком варианте СВК должна быть наделена соответствующими полномочиями и правами.

Целесообразно, как это формально и имеет место в большей части российских банков, объединение двух подсистем – контроля и аудита – в единую систему и единую организационную структуру внутреннего контроля, но при условии четкого разделения обязанностей между ними. При таком подходе функции организации и осуществления собственно контроля должны быть поручены подсистеме контроля (СВК в узком понимании этого органа), а оценку ее качества на постоянной основе могла бы вести подсистема внутреннего аудита (далее – СВА). Главная задача СВА при этом – оценка качества (эффективности) системы внутреннего контроля. Для этого данная служба должна быть организована таким образом, чтобы ограничить ее влияние на создание системы внутреннего контроля лишь оценкой ее качества.

Выбор варианта структурной организации зависит в первую очередь от особенностей банка, наличия в нем соответствующих ресурсов, сложившейся практики его деятельности. Однако в обоих случаях цели, функции и методы работы СВК должны быть в главных чертах идентичными и не должны нарушать технологического уклада банка.

В 2014 году, в связи с изменениями в организации внутреннего контроля Банк России разделил понятия внутренний контроль и внутренний аудит, которые до недавнего времени признавались Банком России синонимами. В результате внесения изменений в Положение № 242-П служба внутреннего контроля была отделена от службы внутреннего аудита.

Внутренний аудит в банке - это независимая оценка системы внутреннего контроля, установленная в коммерческом банке. Основное внимание внутреннего аудита сосредоточено на анализе информационных систем, включая систему бухгалтерского учета и сопутствующие виды контроля, изучении финансовой и оперативной информации, исследованию экономичности и эффективности операций.

Внутренний аудит в себя включает:

• Мониторинг контроля со стороны руководства;
• Предвидение, идентификация и оценка рисков;
• Расследование реальных и потенциальных упущений в контроле, а также случаев риска;
• Предоставление рекомендаций по изменению внутренних процессов, процедур и систем контроля в банке, улучшению реагирования на риск.

Внутренний аудит, прежде всего, обязан проверять, оценивать готовить отчетность по:

• соблюдению банком действующего законодательства и нормативных актов;
• системам идентификации и управления рисками;
• работе в банке системы внутреннего контроля по управлению рисками;
• систем и процедур защиты активов банка и его клиентов;
• систем и процедур по обеспечению адекватности и достоверности учетных данных для внутренних и внешних пользователей.

Служба внутреннего аудита является ответственной за организацию сотрудничества с контрольными службами, как внутри, так и вне банка (независимые внешние аудиторы, соответствующие подразделения Банка России; контрольно-ревизионные службы банка; служба безопасности банка и другие). Ответственность за организацию и управление процессом сотрудничества в пределах банка несет начальник службы внутреннего аудита.

Эффективность деятельности СВА полностью зависит от соблюдения общепринятых стандартов деятельности, а также выполнения определенных нормативных требований.

Служба внутреннего аудита должна иметь независимый статус в отношении тех подразделений, которые она проверяет, поэтому руководители подразделений банка не имеют прав влиять на содержание и объем проверок, проводимых службой внутреннего аудита. Но тем не менее Служба внутреннего контроля оказывает помощь персоналу и руководству банка в эффективном исполнении возложенных на них обязанностей путем предоставления результатов анализа, оценки, рекомендаций и деловых комментариев в связи с проверяемой деятельностью.

Необходимым условием качественной работы аудита и аудиторов есть глубокое знание банковской деятельности, как с точки зрения технических знаний, так и с точки зрения обновления законодательных актов. Руководитель Службы внутреннего аудита обязан поддерживать не только свой уровень профессиональной подготовки, но и уровень подготовки всего персонала службы.

АНО ДПО «ИСБД» предлагает пройти базовый курс повышения квалификации для руководителей и сотрудников Службы внутреннего аудита «Внутренний аудит: передовой опыт и лучшие международные практики». В ходе мероприятия слушатели смогут ознакомиться с примерами и методикам передовых российских и международных практик в области внутреннего аудита по вопросам риск-ориентированного планирования, риск-ориентированного внутреннего аудита, а также узнать о последних международных тенденциях, связанных с трансформацией функций и задач внутреннего аудита, включая тренды в организационной структуре. Также будут рассмотрены и проработаны ключевые навыки эффективного руководителя внутреннего аудита.

Детально ответит на многие актуальные вопросы комплекс обучающих семинаров в формате повышения квалификации для внутреннего аудита «Особенности внутреннего аудита в кредитной организации в современных условиях». Будет дан полный обзор программ проверок по основным направлениям деятельности кредитной организации с практическими образцами и материалами для всех участников («Методическое обеспечение проведения проверок Службы внутреннего аудита в коммерческом банке»); рассмотрены основные требования к ВПОДК кредитной организации в соответствии с Указанием № 3624-У с подробными рекомендациями по ВПОДК для работы службы внутреннего аудита, особенности аудита организации ВПОДК («Внутренние процедуры оценки достаточности капитала (ВПОДК) в соответствии с Указанием Банка России от 15.04.2015 г. № 3624-У: аспекты внутреннего аудита»). Отдельно будет раскрыта тема аудита автоматизированных систем и особенностей осуществления внутреннего аудита в условиях электронного банкинга («Принципы внутреннего аудита банковских автоматизированных систем и систем электронного банкинга»).

По опыту проведения мероприятий у специалистов руководителей СВА вызовет особый интерес мероприятие «Оценка совокупного уровня рисков в рамках внутренних процедур оценки достаточности капитала (ВПОДК)». Будет представлен всесторонний обзор изменений в рамках внутренних процедур оценки достаточности капитала, обобщен практический опыт крупнейших банков РФ и даны ответы на вопросы по оценке Банком России качества ВПОДК и достаточности капитала.

Все мероприятия, являющиеся повышением квалификации отвечают последним требованиям Закона «Об образовании» и установленным требованиям Регулятора (в соответствии с Указанием Банка России от 12.07.2016 N 4067-У «О внесении изменений в Указание Банка России от 1 апреля 2014 года N 3223-У «О требованиях к руководителям службы управления рисками, службы внутреннего контроля, службы внутреннего аудита кредитной организации»)

АНО ДПО «ИСБД» предлагает отдельно рассмотреть мероприятие для специалистов внутреннего аудита профессиональных участников рынка ценных бумаг «Внутренний контроль и внутренний аудит профессионального участника рынка ценных бумаг». Представитель Банка России даст подробные разъяснения по требованиям к внутренним документам профессионального участника рынка ценных бумаг, определяющим порядок осуществления внутреннего контроля и аудита в финансовой организации.

Каждый из обучающих семинаров включает в себя обзор нормативных документов Банка России, регламентирующих деятельность СВА в кредитных организациях.

Кроме того каждый месяц в Институте проводится более 100 семинаров для финансовых организаций, которые помогут внутренним аудиторам разобраться в теоретических и практических нюансах работы каждого подразделения финансовой организации, даст глубокие знания в области построения и оценки систем и процедур внутреннего контроля.

Институт Современного Банковского дела Дата публикации: 2017-07-12

Первая моя аудиторская проверка состоялась через неделю после того, как я стала сотрудником СВК. И не где-нибудь, а в самом северном филиале нашего банка, за Полярным кругом. И не чего-нибудь, а налогообложения. Можете себе представить впечатления от перемещения (на вахтовом самолете!) из «бабьего лета» и яблок, еще висящих на деревьях, в средней полосе России, к метели и метровым сугробам Ямало-Ненецкого автономного округа, в сочетании с почти полным отсутствием представления как об аудите, так и о налогообложении? «Все чудесатее и чудесатее», как говорила Алиса (я ее тогда часто вспоминала). Груз ответственности давил почти физически.

Это было давно, и не было тогда ни учебников по аудиту, ни стандартов аудиторской деятельности, ни внутрибанковских нормативных документов, ни даже Положения № 242-П. Но и сейчас, как ни странно, у многих свежеиспеченных внутренних аудиторов, особенно в небольших банках, возникают те же проблемы. С чего начать? Куда бежать? За что хвататься?

Давайте начнем с теории - ох, как мне ее тогда не хватало - и рассмотрим методы проведения аудиторских проверок. Что же касается тех аудиторов, которые испечены уже давно и успели зачерстветь, то им, возможно, интересно будет сравнить, насколько используемые ими при проверках методы отличаются от того, что сейчас преподают в вузах студентам (дальнейшая информация частично позаимствована из учебной литературы).

Методы проведения аудиторских проверок.

В учебниках обычно выделяют следующие методы организации аудита:

По степени существенности:

Сплошная проверка;

Выборочная проверка;

По способу проведения:

Документальная проверка;

Фактическая проверка;

Аналитическая проверка;

Комбинированная проверка.

Сплошная проверка , конечно, больше подходит к ревизии, чем к аудиту. Но поскольку, как уже было сказано в Части 3 , внутренний аудит в банке фактически представляет собой нечто среднее между ревизией и аудитом, иногда приходится применять и этот метод.

Сплошная проверка может быть документальной или фактической.

При выборочной проверке необходимо определить приемлемый процент выборки. Внешние аудиторы никогда не проверяют абсолютно все хозяйственные операции аудируемого лица; их выводы относительно правильности отражения операций на счетах бухгалтерского учета могут основываться на суждениях или процедурах, проведенных выборочным способом.

Аналитическая проверка представляет собой использование различных методов и приемов анализа хозяйственной деятельности, математики, статистики для выявления проблем и противоречий в учете и отчетности банка. В некоторых случаях аудит может быть ограничен только аналитической проверкой.

Комбинированная проверка предполагает сочетание различных методов организации аудита.

Технология получения информации.

В двух словах аудиторскую деятельность (как внутреннего, так и внешнего аудита) можно описать следующим образом. Вам нужно добыть определенную информацию, обработать ее, сделать выводы и изложить их в определенной форме. Все очень просто.

Но как это сделать?

Правило (стандарт) № 5 «Аудиторские доказательства» (Постановление Правительства РФ от 23.09.2002 г. № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности») называет аудиторскими доказательствами информацию, полученную аудитором при проведении проверки, и результат анализа указанной информации, на которых основывается мнение аудитора.

Аудиторские доказательства могут быть получены путем выполнения следующих процедур:

Инспектирование;

Наблюдение;

Запрос;

Подтверждение;

Пересчет;

Аналитические процедуры.

Собирая аудиторские доказательства, аудитор может применить одну или несколько из указанных процедур.

Инспектирование представляет собой проверку записей, документов или материальных активов.

Инспектирование (проверка) записей и документов дает аудиторские доказательства (информацию) различной степени надежности.

Проверка документов заключается в том, что аудитор должен убедиться в реальности (достоверности) конкретного документа. Для этого можно выбрать определенные записи в бухгалтерском учете и проследить отражение операции вплоть до того первичного документа, который может подтвердить реальность и целесообразность выполнения этой операции.

Проверку документов можно проводить по следующим направлениям:

А) формальная проверка , то есть проверка:

Правильности заполнения всех реквизитов;

Наличия неоговоренных исправлений, подчисток, дописок в тексте и цифрах;

Подлинности подписей должностных и материально ответственных лиц;

Б) арифметическая проверка , то есть проверка правильности подсчетов в документах (в том числе итоговых сумм в первичных документах, учетных регистрах и отчетных формах);

В) проверка документов по существу , то есть проверка:

Законности и целесообразности операции;

Правильности отнесения сумм на счета и статьи.

Для получения более убедительных доказательств проверяемой информации может применяться процедура прослеживания . При этом аудитор отбирает интересующие его первичные документы и просматривает последовательно относящиеся к ним учетные регистры для проверки правильности отражения операции в бухгалтерском учете.

Часто применяется также процедура сканирования - беглый просмотр, пролистывание пачки документов. Сканирование применяют при использовании выборочных проверок, когда существует риск невыявления ошибок и принятия ошибочного решения. Но это, конечно, метод не для новичков. Чтобы выявить что-то интересное при сканировании, нужен солидный профессиональный опыт.

Прослеживание и сканирование позволяют изучить нетипичные статьи и события, отраженные в документах банка.

Инспектирование материальных активов (инвентаризация ) предоставляет достоверные аудиторские доказательства относительно их существования (но необязательно относительно права собственности на них или их стоимостной оценки). Однако ориентировочную информацию о состоянии и стоимости имущества при инвентаризации получить можно.

Наблюдение - это отслеживание аудитором процесса или процедуры, выполняемой другими лицами. Это может быть, например, наблюдение аудитора за пересчетом наличных денежных средств при ревизии кассы.

Использование этого метода позволяет аудитору изучить процедуры или процессы, выполняемые сотрудниками банка. Если информация получена непосредственно в момент наблюдения, она может считаться достоверной.

Запрос - это поиск информации у осведомленных лиц. Он может быть как официальным письменным, так и неформальным устным. Ответы на запросы (вопросы) предоставляют аудитору сведения, которыми он раньше не располагал, или подтверждение (опровержение) уже имеющейся информации.

Результаты устных опросов должны оформляться в виде протокола или краткого конспекта, в котором указываются фамилия аудитора, который проводил опрос, а также фамилия, имя, отчество опрошенного лица (так пишут в учебниках, а на практике мне такое встречать не приходилось ни у внутренних аудиторов, ни у внешних).

Подтверждение представляет собой ответ на запрос об информации, содержащейся в бухгалтерских записях. Например, аудитор может запрашивать подтверждение о дебиторской задолженности непосредственно у дебиторов.

Пересчет - это проверка точности арифметических расчетов в первичных документах и бухгалтерских записях (скажем, пересчет амортизации), либо выполнение аудитором самостоятельных расчетов.

Пересчет относится к числу наиболее распространенных способов получения аудиторских доказательств. Как правило, он осуществляется выборочно.

К аналитическим процедурам относят анализ и оценку полученной аудитором информации, исследование финансовых и экономических показателей деятельности проверяемого объекта (в случае внутреннего аудита - подразделения или вида деятельности). Целью аналитических процедур является выявление необычных или неправильно отраженных в бухгалтерском учете операций, а также выявление причин таких ошибок и искажений.

У Банка России есть свой взгляд на методы осуществления проверок службой внутреннего контроля. Он изложен в Приложении 3 к Положению ЦБ РФ от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». В Приложении приводятся следующие способы (методы) осуществления проверок:

Финансовая проверка;

Проверка соблюдения законодательства;

Проверка соблюдения внутренних документов кредитной организации;

Операционная проверка;

Проверка качества управления.

Финансовая проверкасвоей целью имеет оценку надежности учета и отчетности.

Проверка соблюдения законодательства РФ должна затрагивать все виды законодательства: банковское, о рынке ценных бумаг, о налогах и сборах, и особенно - о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Сюда же включается проверка «иных актов регулирующих и надзорных органов».

Проверка внутренних документов банка включает проверку установленных ими методик, программ, правил, порядков и процедур. Целью ее является оценка качества и соответствия созданных в кредитной организации систем обеспечения соблюдения требований законодательства РФ и иных актов.

Цель операционной проверки заключается в оценке качества и соответствия систем, процессов и процедур, анализе организационных структур и их достаточности для выполнения возложенных функций.

И самое интересное - это, конечно, проверка качества управления. Цель ее состоит в оценке качества подходов органов управления, подразделений и служащих банка к банковским рискам и методам контроля за ними в рамках поставленных целей кредитной организации.

Детализация и описание перечисленных методов осуществления проверок отдаются Банком России на откуп кредитным организациям. А значит, можно использовать для этой цели описанные здесь приемы из учебников и Правил (стандартов) аудиторской деятельности.

Простые истины.

Этот раздел содержит утверждения, которые могут показаться вам тривиальными. Однако, если ими не пренебрегают ни учебники, ни даже Стандарты аудиторской деятельности, то, наверное, и нам есть смысл их вспомнить. Тем более, что применять их с некоторыми поправками можно не только во внутреннем аудите, но и практически в любом другом виде деятельности, включая воспитание собственных детей и ведение переговоров с ЖЭКом.

Информация, полученная из внешних источников (от третьих лиц) более надежна, чем информация, полученная из внутренних источников.

Чем эффективнее существующая система бухгалтерского учета и внутреннего контроля, тем более надежна информация, полученная из внутренних источников.

Информация, собранная непосредственно аудитором, более надежна, чем та, что получена от аудируемого лица (подразделения).

Информация в виде документов и письменных заявлений более надежна, чем информация, представленная в устной форме.

Сведения об одном и том же объекте или факте более убедительны, если они получены из различных источников, обладают различным содержанием и при этом не противоречат друг другу (а еще лучше - подтверждают друг друга).

Если сведения, полученные из одного источника, не соответствуют сведениям, полученным из другого, необходимо определить и провести дополнительные процедуры для выяснения причин несоответствия.

Нужно сопоставлять расходы, связанные с получением информации, и полезность (ценность) получаемой информации.

Сложность работы не является достаточным основанием для отказа в выполнении необходимой процедуры. Это, я считаю, Золотое Правило. Нет ничего невозможного для человека с интеллектом, поэтому никогда не бойтесь взяться за незнакомую тему. Познакомитесь в процессе.

При наличии серьезных сомнений относительно достоверности отражения операций в учете и отчетности следует попытаться получить достаточную информацию для устранения таких сомнений. В случае невозможности получения указанной информации аудитор должен выразить свое мнение с соответствующей оговоркой или отказаться от выражения мнения.

Моральный кодекс аудитора.

Здесь мы затрагиваем деликатную тему. С одной стороны, этические требования к аудиторам все же, наверное, представляют собой скорее пожелания, чем требования - ну, как десять заповедей; да и количественному измерению такие параметры, как «честность» или «профессиональное поведение» поддаются с трудом. С другой - они установлены Кодексом этики аудиторов России. Дабы избежать нравоучений и гражданского пафоса (очень уж я этого не люблю), просто перечислим этические требования к аудиторам:

Честность;

Объективность;

Профессиональная компетентность;

Должная тщательность;

Сохранение конфиденциальности имеющейся информации;

Профессиональное поведение;

Независимость.

В соответствии с Правилом (стандартом) № 7 «Контроль качества выполнения заданий по аудиту» руководитель аудиторской проверки должен контролировать соблюдение этих требований участниками аудиторской группы. Если он узнает о несоблюдении этических требований участниками группы, то он должен проконсультироваться с соответствующими лицами из состава работников аудиторской организации и обеспечить применение соответствующих мер дисциплинарного воздействия на лиц, не соблюдающих этические требования. Но здесь речь идет о внешних аудиторах.

Для внутренних аудиторов соблюдение этических требований оказывается не менее, а то и более важным, чем для внешних. Если, конечно, их волнует отношение к ним коллектива (а таких людей, которых это не волнует, не так уж много, согласитесь). Статус контролера, хотя и внутреннего, редко вызывает симпатию в рядах проверяемых. А если человек при этом еще нечестен, некомпетентен и хамоват, то все, пиши - пропало.

Ну вот, не обошлось-таки без нравоучений. L

Служба внутреннего контроля по версии Банка России.

Целью создания службы внутреннего контроля кредитной организации декларируется осуществление внутреннего контроля и содействие органам управления банка в обеспечении эффективного функционирования вверенной им кредитной организации.

Основной внутренний документ, регулирующий деятельность службы внутреннего контроля (положение о службе внутреннего контроля), должен определять:

Цели и сферу деятельности службы;

Принципы (стандарты) и методы деятельности службы, отвечающие требованиям Положения № 242-П;

Статус службы в организационной структуре кредитной организации;

Задачи, полномочия, права и обязанности службы;

Взаимоотношения службы с другими подразделениями кредитной организации, в том числе осуществляющими контрольные функции;

Подчиненность и подотчетность руководителя службы;

Обязанность руководителя службы информировать о выявляемых при проверках нарушениях (недостатках) по вопросам, определяемым кредитной организацией:

Совет директоров (наблюдательный совет);

Единоличный и коллегиальный исполнительный орган;

Руководителя структурного подразделения, в котором проводилась проверка;

Обязанность всех сотрудников службы информировать органы управления банка о всех случаях, которые препятствуют осуществлению службой своих функций;

Порядок участия службы в разработке внутренних документов;

Ответственность руководителя службы в случаях неинформирования или несвоевременного информирования по вопросам, определяемым кредитной организацией, совета директоров (наблюдательного совета), единоличного и коллегиального исполнительного органа.

Положение о службе внутреннего контроля утверждается советом директоров (наблюдательным советом) кредитной организации, если иное не предусмотрено в уставе кредитной организации.

Функции службы внутреннего контроля.

Служба внутреннего контроля осуществляет следующие функции:

Проверка и оценка эффективности системы внутреннего контроля;

Проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками;

Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем;

Проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности и своевременности сбора и представления информации и отчетности;

Проверка достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России;

Поверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации;

Оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций;

Проверка соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг);

Проверка процессов и процедур внутреннего контроля;

Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения;

Оценка работы службы управления персоналом кредитной организации;

Другие вопросы, предусмотренные внутренними документами кредитной организации.

В «другие вопросы» иногда по привычке включают разработку (или участие в разработке) внутрибанковских нормативных документов. Это не совсем правильно - ведь в таком случае оценивать качество, актуальность и адекватность внутренних документов придется оценивать тем же людям, которые их разрабатывали.

Зато согласовывать такие документы - пожалуйста.

Также нельзя назвать удачной идею включения в состав службы внутреннего контроля подразделение или лицо, ответственное за управление рисками. По тем же соображениям: в функции службы входит проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками.

Вроде бы других случаев возложения на службу внутреннего контроля несвойственных ей функций в моей практике не встречалось.

Обязательные условия деятельности службы внутреннего контроля в кредитной организации.

Нормативные требования этического свойства к внутреннему аудиту, установленные Положением № 242-П, несколько отличаются от этики внешнего аудита.

Согласно пункту 4.5. Положения № 242-П кредитная организация должна обеспечить выполнение следующих требований к деятельности службы внутреннего контроля:

Постоянство деятельности;

Независимость;

Беспристрастность;

Профессиональная компетентность руководителя и служащих;

Условия для беспрепятственного и эффективного осуществления службой своих функций.

Постоянство деятельности службы внутреннего контроля означает, ничтоже сумняшеся, что служба внутреннего контроля должна действовать на постоянной основе.

Для этого банком должны быть установлены (определены) численный состав, структура и уровень технической обеспеченности службы в соответствии с масштабами деятельности, а также характером совершаемых банковских операций и сделок. Работники службы внутреннего контроля должны входить в штат кредитной организации.

Передача функций службы внутреннего контроля сторонней организации не допускается, за исключением кредитных организаций, входящих в состав банковских групп.

Независимость службы внутреннего контроля обеспечить не так уж просто. Несмотря на наличие соответствующих рекомендаций в Положении № 242-П, фактически зарплату вам платит тот, кого вы проверяете.

Избежать конфликтов в такой ситуации (или хотя бы минимизировать их) поможет Моральный кодекс аудитора (см. выше), а также Положение № 242-П (см. ниже).

Пунктом 4.7. Положения № 242-П определено, в частности, что служба внутреннего контроля:

Действует под непосредственным контролем совета директоров банка (наблюдательного совета);

Не осуществляет деятельность, подвергаемую проверкам (кроме случаев, когда деятельность службы подлежит независимой проверке аудиторской организацией или советом директоров (наблюдательным советом), если такая проверка предусмотрена уставом банка);

По собственной инициативе докладывает совету директоров (наблюдательному совету) о вопросах, возникающих в ходе исполнения службой своих функций, и предложениях по их решению, а также раскрывает эту информацию исполнительному органу кредитной организации (единоличному и коллегиальному).

Руководитель службы внутреннего контроля должен быть подотчетен совету директоров (наблюдательному совету) кредитной организации.

Руководитель подразделения внутреннего контроля филиала банка или служащий филиала, выполняющий функции внутреннего контроля, должен подчиняться руководителю службы внутреннего контроля банка.

Руководитель службы внутреннего контроля банка должен иметь право взаимодействовать с соответствующими руководителями банка для оперативного решения вопросов. Порядок такого взаимодействия должен быть предусмотрен внутренними документами банка.

Руководителю службы внутреннего контроля или его заместителям не должны функционально подчиняться иные подразделения кредитной организации.

Служащие службы внутреннего контроля, включая руководителя и его заместителей, не могут совмещать свою деятельность с деятельностью в других подразделениях кредитной организации.

Служба внутреннего контроля должна участвовать в разработке внутренних документов кредитной организации.

Служба внутреннего контроля не может участвовать в совершении банковских операций и других сделок.

Руководитель и служащие службы внутреннего контроля не имеют права подписывать от имени банка платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми кредитная организация принимает банковские риски, либо визировать такие документы.

Все перечисленное выше должно быть подробно изложено во внутренних документах банка.

Беспристрастность службы внутреннего контроля - понятие, на мой взгляд, еще более эфемерное, чем независимость. Полностью беспристрастный человек - это уже и не человек, а монстр какой-то. Однако от ярко выраженных пристрастий все же нужно избавляться, и здесь Положение № 242-П также предлагает некоторые приемы.

Банк должен обеспечить решение поставленных перед службой внутреннего контроля задач без вмешательства со стороны органов управления, подразделений и служащих кредитной организации, не являющихся служащими службы внутреннего контроля. Короче, оградить службу от внешних влияний.

Служащие службы внутреннего контроля, включая руководителя и его заместителей, ранее занимавшие должности в других структурных подразделениях банка, не должны участвовать в проверке деятельности и функций, которые осуществлялись ими в течение проверяемого периода и в течение 12 месяцев после завершения такой деятельности и осуществления функций. Не очень понимаю, в чем смысл такого ограничения. Если отношения ушедшего на ниву контроля работника с прежним коллективом остались хорошими и связи поддерживаются, то на тринадцатый месяц они вряд ли разом оборвутся. Если плохие - то первая же проверка новым сотрудником службы своего бывшего подразделения даст богатый урожай. Если никакие - то нет никакой разницы, прошел год после завершения деятельности, или нет.

Хотя, конечно, с точки зрения обеспечения беспристрастности ситуация выглядит опасной.

В банке может быть установлен порядок перемещения (периодичность, обоснованность) руководителя (его заместителей) и служащих службы внутреннего контроля на другие должности в случае изменения характера и масштабов деятельности, появления новых видов или направлений деятельности и т.п. Очень надеюсь, что «и т.п.» включает такие факторы, как личные желания и амбиции указанных работников - иначе это получается не служба внутреннего контроля, а ссылка в места не столь отдаленные.

И, наконец, руководителем службы внутреннего контроля не рекомендуется назначать лицо, работающее по совместительству. То есть руководитель СВК должен принадлежать своей службе безраздельно.

Профессиональная компетентность руководителя службы, его заместителей и остальных служащих не вызывает сомнений в ее необходимости (в моем, правда, случае, все было с точностью до наоборот, но тогда и Положение № 242-П еще не действовало; теперь этот номер уже не пройдет).

Все сотрудники службы должны владеть достаточными знаниями о банковской деятельности и методах внутреннего контроля и сбора информации, ее анализа и оценки в связи с выполнением служебных обязанностей.

Служба внутреннего контроля должна быть укомплектована служащими, имеющими высокий уровень профессиональной подготовки и квалификации.

Для руководителя (его заместителей) службы внутреннего контроля рекомендуется устанавливать требования о наличии опыта руководства структурным подразделением кредитной организации, связанным с совершением банковских операций и других сделок (а как же беспристрастность?).

Обучение (переподготовку) руководителя (его заместителей) и служащих службы внутреннего контроля рекомендуется осуществлять на постоянной основе.

Особенности осуществления проверок службой внутреннего контроля банка.

О методах осуществления проверок службой внутреннего контроля, предусмотренных Банком России и указанных в Приложении № 3 к Положению № 242-П, мы уже говорили. Кроме методов, Приложение описывает некоторые права, принадлежащие руководителям и служащим службы внутреннего контроля банка, а также особенности документооборота службы.

Сотрудники службы внутреннего контроля имеют право :

Входить в помещения проверяемого подразделения, архивы и денежные хранилища, компьютерные залы и т.д. При этом должны соблюдаться процедуры доступа, определенные внутренними документами банка;

Получать документы, копии документов, иную информацию, а также любые сведения, имеющиеся в информационных системах кредитной организации, необходимые для осуществления контроля. При этом должны соблюдаться требования законодательства РФ и требования кредитной организации по работе со сведениями ограниченного распространения;

Привлекать при осуществлении проверок служащих кредитной организации и требовать от них обеспечения доступа к документами и иной информации, необходимой для проведения проверок.

Документальное оформление проверок службой внутреннего контроля.

Документооборот в деятельности службы внутреннего контроля должен содержать описание порядка составления и движения следующих основных документов:

План проведения проверок (в том числе график проведения проверок);

План работы службы внутреннего контроля;

Отчеты о выполнении плана проверок;

Программы проверок по каждому направлению деятельности банка;

Рабочие документы;

Отчеты и предложения по результатам проверок.

Есть еще специальные виды отчетности по системе внутреннего контроля, но о них мы поговорим в другой раз.

План проведения проверок , осуществляемых службой внутреннего контроля, должен включать график осуществления проверок. Он составляется исходя из принятой в банке методологии оценки управления банковскими рисками, которая должна учитывать:

Изменения в системе внутреннего контроля;

Новые направления деятельности кредитной организации.

При составлении графика должна учитываться установленная в банке периодичность проведения проверок по направлениям деятельности структурных подразделений и банка в целом.

Планы работы службы внутреннего контроля разрабатываются службой внутреннего контроля и утверждаются советом директоров (наблюдательным советом) кредитной организации. Эти планы могут согласовываться с исполнительным органом банка (единоличным или коллегиальным).

Отчеты о выполнении планов проверок представляются службой внутреннего контроля не реже двух раз в год совету директоров (наблюдательному совету) банка.

Программы проверок разрабатываются отдельно по каждому направлению (вопросу) деятельности банка.

Программа проверки должна:

Определять ключевые банковские риски;

Определять механизмы обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.

В рабочих документах проверок службы внутреннего контроля отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации.

Отчеты и предложения по результатам проверок представляются службой внутреннего контроля:

Совету директоров (наблюдательному совету);

Единоличному исполнительному органу (его заместителям);

Коллегиальному исполнительному органу;

Руководителям проверяемых структурных подразделений кредитной организации (филиала).

Отчеты должны содержать:

Описание целей проверки;

Описание выполненных работ;

Описание выявленных нарушений;

Описание ошибок и недостатков в деятельности кредитной организации, которые могут создать угрозу интересам кредиторов и вкладчиков или оказать влияние на финансовую устойчивость кредитной организации (про этот пункт почему-то часто забывают и пишут в отчете обо ВСЕХ выявленных ошибках и недостатках);

Теперь, вооруженные до зубов теорией, мы можем смело переходить к практике осуществления аудиторских проверок по различным направлениям деятельности банка.

Продолжение следует.

Эта статья была написана для специализированного журнала несколько лет назад, однако издание неожиданно закрылось. Текст был скорректирован в соответствии с новыми формулировками международных профессиональных стандартов внутреннего аудита. Предполагается, что он и сегодня не потерял своей актуальности и практического значения относительно вопросов представления результатов внутреннего аудита.

Представление результатов аудита, а проще говоря, написание аудиторского отчета, зачастую превращается в настоящее испытание для внутренних аудиторов. Требования к изложению материала, форматам отчетов, перечню их получателей индивидуальны для каждой компании. Компания сама принимает решение, каким должен быть отчет ее службы внутреннего аудита. Для одной компании в аудиторском отчете достаточно одним предложением указать, что нарушен такой-то внутренний регламент, и виновный будет уволен с работы. Для другой – необходима обоснованная аргументация того, что именно в результате выявленных недостатков контроля компания теряет прибыль, активы, не выполняет планы и т.д.

Итак, исходные данные: две крупные нефтяные компании – публичная американская (назовем ее WorldWideOil, сокращенно WWO) и российская (будем называть ее PetrolUnion, или PU). Обе ведут свою деятельность по всему миру, обе стремятся к росту капитализации и расширению деятельности. Ценные бумаги американской компании котируются на Нью-Йоркской фондовой бирже (NYSE), акции российской – на Лондонской (LSE). В обеих компаниях примерно равные по численности службы внутреннего аудита. Служба внутреннего аудита PU образована в 2002 г. Внутренний аудит WWO значительно старше, однако в том же 2002 г. в результате крупных слияний, которые провела компания WWO, ее служба внутреннего аудита претерпела существенные изменения и фактически была создана заново.

Отчетность о деятельности внутреннего аудита

Международные профессиональные стандарты внутреннего аудита. Стандарт 2060 «Отчетность перед высшим исполнительным руководством и Советом»

Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету .

В идеале считается, что у службы внутреннего аудита должна быть двойная подотчетность: функциональная – совету директоров, точнее, его аудиторскому комитету, и административная – руководителю организации или другому руководителю (финансовому директору, контролеру…), обладающему соответствующим уровнем полномочий для того, чтобы обеспечить повседневную деятельность службы внутреннего аудита. Принято полагать, что подотчетность аудиторскому комитету совета директоров обеспечивает независимость службы внутреннего аудита.

В рассматриваемых компаниях дела обстоят следующим образом.

Административная подотчетность:

WWO: Генеральный аудитор (так называется руководитель службы внутреннего аудита) подотчетен первому вице-президенту по финансам (CFO). То есть все вопросы, касающиеся повседневной деятельности службы внутреннего аудита, решаются через CFO.

PU: Вице-президент (руководитель службы внутреннего аудита) подчинен и подотчетен непосредственно президенту компании.

Функциональная подотчетность:

По этой линии подотчетности службы внутреннего аудита обеих компаний периодически отчитываются перед своими аудиторскими комитетами. Кроме этого, руководитель службы внутреннего аудита PU ежеквартально отчитывается о результатах работы правлению компании.

Обе компании стараются следовать требованиям стандарта 2060. В PU периодичность отчетов аудиторскому комитету не установлена, носит произвольный характер, полностью зависит от плана работы комитета, где указано количество и сроки рассмотрения вопросов, касающихся внутреннего аудита. Специальная типовая форма отчета не разработана. Отчеты содержат общую информацию о характере выявленных недостатков, включая существенные риски и проблемы контроля, а также информацию о количестве проведенных проверок.

Генеральный аудитор WWO в течение года отчитывается перед аудиторским комитетом регулярно: 5-6 раз в течение года представляются отчеты о ходе выполнения годового плана (в виде схемы – status report) и один раз – отчет о работе службы внутреннего аудита за год (в виде доклада).

Отчет о работе службы внутреннего аудита за год содержит информацию:

• о стратегии и целях в области работы с персоналом службы внутреннего аудита;
• квалификации персонала;
• результатах оценки качества внутреннего аудита;
• бюджете внутреннего аудита;
• выполнении службой внутреннего аудита ключевых показателей деятельности и метрик;
• процессе годового планирования аудита;
• выполнении плана аудита текущего года;
• обновлении стратегии внутреннего аудита;
• обосновании плана на следующий год.

Отчеты о ходе выполнении годового плана аудита представляются по форме, установленной службой внутреннего аудита и согласованной с аудиторским комитетом. Они содержат информацию:

• о проведенных аудитах;
• об оценке внутреннего контроля;
• о планах менеджмента по устранению недостатков, а также о ходе выполнения этих планов.

Схематично это выглядит следующим образом:

Статус предусматривает три состояния: выполнено, выполняется, дата выполнения просрочена. В отчете эти состояния отражаются цветами «светофора», соответственно: зелеными, желтыми и красными точками.

Информация для отчетов о ходе выполнения годового плана аудита собирается из отчетов по результатам выполнения конкретных аудиторских заданий. Информация показывается объективная, но при этом «дозируется». Что это значит? Это означает, что не следует ставить в неловкое положение всех участников процесса, включая членов совета директоров; информация о недостатках не раздувается до размера «вселенской катастрофы» (как, например, любит делать современное российское телевидение), негатив не нагнетается. Все по-деловому: обнаружено то-то, планируем сделать для улучшения то-то, уже сделано то-то или не сделано то-то.

Можно вспомнить случай, как однажды руководителю службы внутреннего аудита PetrolUnion подчиненные подготовили отчет аудиторскому комитету по форме, в которой обычно делается доклад на заседании правления: хлесткие фразы о творящихся безобразиях, предрекание последствий гипертрофированных размеров – словом, картина настоящего Апокалипсиса.

Не обойтись без пояснения.

Одно дело информацию в таком виде доводить до членов правления (исполнительного органа компании), которые обязаны адекватно реагировать на сигналы внутреннего аудита, и поэтому, «чем страшнее будет повесть, тем спокойней аудиторская совесть», и другое – до членов аудиторского комитета, которые призваны осуществлять надзорные, но никак не административные функции.

Отчетность по результатам проверки: форма, содержание, сроки, получатели

Группа стандартов 2400-2440 «Информирование о результатах».

Внутренние аудиторы должны сообщать результаты выполненных заданий.

Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

Сообщения должны быть точными, ясными, объективными, ясными, конструктивными, краткими и своевременными.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих сторон.

Типовая форма аудиторского отчета компании WWO менялась на определенных этапах развития функции внутреннего аудита. Сейчас она определена корпоративным регламентом внутреннего аудита и аудиторский отчет выглядит следующим образом:

Рис. 1. Аудиторский отчет нефтегазодобывающей дочерней компании WorldWideOil

Фактически, отчет представляет собой заключение внутреннего аудита WWO о состоянии системы внутреннего контроля тех областей деятельности предприятия или структурного подразделения, которые подверглись проверке. Выводы излагаются кратко.

Непосредственно аудиторский отчет занимает, как правило, одну страницу. В состав аудиторского отчета в обязательном порядке включаются три приложения:

А. Оценка контроля в каждой области особого внимания (см. рис. 2);
В. Перечень недостатков контроля, выявленных в результате аудита;
С. Описание недостатков контроля и план действий менеджмента по их устранению (см. рис. 3).

Рис. 2. Приложение А к аудиторскому отчету нефтегазодобывающей дочерней компании WWO

Пояснение к рис. 2 (приложение А). Внутренний аудит WWO применяет четыре оценки контроля: положительные – эффективный, надежный; отрицательные – нуждающийся в улучшении, слабый. Для каждой оценки определены соответствующие критерии. Например, оценке «надежный» соответствует уровень контроля, которым может быть обеспечена защита от материальных потерь, искажений и ошибок, несоответствия политикам компании. При этом контролю может быть присвоена высшая положительная оценка, даже если аудиторским тестированием в нем выявлены определенные недостатки, но только при условии, что эти изъяны не приводят к искажению отчетности и не нарушают безопасности используемых информационных систем.

Как «слабый» оценивается контроль, недостатки которого существенны: важные контрольные процедуры игнорируются, не выполняются или вообще не определены менеджментом объекты аудита, что приводит к высоким рискам финансовых потерь, утечке конфиденциальной информации, неисполнению политик компании.

Приложение B фактически представляет собой содержание приложения С, т.е. в нем просто по порядку перечисляются все выявленные недостатки контроля.

Рис. 3. Приложение С к аудиторскому отчету нефтегазодобывающей дочерней компании WWO.

Приложение С. При изложении недостатков контроля внутренние аудиторы руководствуются регламентом Внутреннего аудита WWO, в соответствии с которым описание «слабых мест» должно быть кратким и точным (как правило, 2-3 предложения на каждый пример). Несущественные замечания в отчет не включаются. Обязательно указывается, какие контрольные процедуры должны осуществляться, к каким рискам приводят выявленные недочеты, какие конкретно стандарты внутреннего контроля WWO и положения других локальных нормативных актов компании не исполнены. Проект аудиторского отчета готовит руководитель аудиторской (рабочей) группы (Lead Auditor, Auditor In-Charge). Срок – к последнему дню проверки «в поле», к проведению заключительной конференции с объектом аудита. Проект отчета направляется руководству объекта аудита для окончательного согласования и включения в приложение С Плана действий менеджмента по устранению недостатков (Action Plan), в котором менеджеры излагают мероприятия для исправления ситуации. Эта часть аудиторского отчета также должна быть четко сформулирована. В ней указываются ответственные лица за исполнение и сроки устранения недостатков. Выполнение Плана контролируется службой внутреннего аудита, в том числе в ходе последующих проверок.

В связи с тем что информация о мероприятиях по устранению недостатков согласована с менеджментом объекта аудита и включена в аудиторский отчет, никакие распорядительные документы по результатам аудита (приказы, указания, в том числе корпоративного уровня) не издаются.

Срок подготовки окончательного варианта аудиторского отчета в WWO – один из показателей (метрик) оценки работы службы внутреннего аудита. Цель – 14 дней, фактически же окончательные варианты отчетов готовы в среднем через десять дней после завершения проверки!

Аудиторский отчет может формироваться с использованием специальной компьютерной программы (например, TeamMate), которая позволяет автоматически группировать замечания аудиторов в форму аудиторского отчета. Но на практике формулировки замечаний, их состав во многом определяет менеджер внутреннего аудита по направлению деятельности компании, основываясь на результатах совещаний и мнении всех участников аудиторской группы. Замечания, не попавшие в отчет, вносятся в меморандум обсуждения аудита, который также рассматривается на заключительной конференции с менеджерами объекта проверки. Все недостатки, отмеченные как в аудиторском отчете, так и в меморандуме, подлежат безусловному устранению.

Регламентом внутреннего аудита WWO определен перечень получателей аудиторских отчетов. Таковыми являются:

• менеджеры внутреннего аудита (по направлению деятельности);
• генеральный аудитор;
• первый вице-президент по финансам (CFO);
• вице-президент по контроллингу/главный бухгалтер;
• исполнительный вице-президент по направлению деятельности;
• внешний аудитор.

По решению руководителя аудиторской группы в рассылку могут быть включены также менеджеры всех уровней, включая вице-президентов и исполнительных вице-президентов с соответствующими функциональными обязанностями (финансы, информационные технологии, материально-техническое обеспечение и т.д.).

Первому руководителю WWO направляются отчеты только тех аудитов, по результатам которых контроль оценен как «слабый»! Перед этим они в обязательном порядке рассматриваются генеральным аудитором.

В остальных случаях ответственность за качество отчета лежит на менеджерах службы внутреннего аудита.

PU: В PU так же, как и в WWO, разработаны регламенты внутреннего аудита. Это и корпоративные стандарты внутреннего аудита, и стандарты (на уровне методик) проведения проверок по направлениям деятельности (бизнес-сегментам), в которых содержатся в том числе и требования к формированию аудиторского отчета. Так, например, согласно корпоративному стандарту изложение результатов аудиторского задания должно включать наблюдения, выводы (мнение), рекомендации и план действий. Наблюдения должны представлять факты, имеющие отношение к аудиторскому заданию. Наблюдения, необходимые для пояснения (предупреждения неверного понимания) выводов и рекомендаций внутренних аудиторов, должны быть включены в окончательное представление результатов аудиторского задания.

Аудиторские отчеты PU очень объемны, имеют массу приложений, по существу документируют ход выполнения аудиторского задания. Их и читать-то нелегко, а уж писать!..

Сложность заключается еще и в том, что служба внутреннего аудита PU включает в отчет рекомендации по устранению недостатков, в том числе и топ-менеджерам компании. Эти рекомендации оформляются распорядительными документами (приказами, указаниями), которые требуют прохождения процедуры согласования внутри компании и оказывают существенное влияние на продолжительность процесса подготовки окончательного отчета.

Понятны и требования, предъявляемые руководителем службы внутреннего аудита PU к качеству аудиторских отчетов: читать их будет президент! По сути, каждый отчет – «лицо» службы. (Очень ответственно.)

В условиях, когда любая служба внутреннего аудита объективно не может на все 100% быть укомплектована высококвалифицированными специалистами, качество аудиторского отчета попадает в прямую зависимость от количества времени, затраченного на его написание. Говорить о 10 днях на отчет не приходится! Порой процесс затягивается на несколько месяцев, и теряется одно из главных качеств аудиторского отчета – его своевременность.

Однако стоит ли кивать на PetrolUnion, когда подобное положение еще совсем недавно было свойственно службам внутреннего аудита очень крупных международных компаний.

Направляются все аудиторские отчеты президенту компании, так как руководитель службы внутреннего аудита подчинен и подотчетен непосредственно ему. После рассмотрения президент принимает решение о рассылке аудиторского отчета, т.е. определяет круг лиц, которым сообщаются результаты аудиторского задания.

Какой вариант представления отчета лучше? Решать придется самостоятельно. Статистика же такова: имея приблизительно равное количество объектов в аудиторской базе (свыше 500 у каждой компании), служба внутреннего аудита WorldWideOil проводит около 120 аудиторских проверок в год, внутреннего аудита PetrolUnion – чуть больше тридцати. И срок подготовки окончательного варианта аудиторского отчета, конечно, не единственный, но очень важный фактор для объяснения такой разницы. Казалось бы, вывод очевиден – срочно менять порядок представления результатов аудита, упростить структуру отчета и не направлять его первому лицу компании (или направлять только в исключительных случаях). Но здесь стоит задуматься об одном щепетильном моменте.

Представим себе работу внутреннего аудита в условиях более или менее отлаженной работы системы внутреннего контроля, риск-менеджмента, корпоративного управления. Это когда замечания в аудиторском отчете могут звучать примерно так: «не представлено подтверждения того, что сверка счетов за март проводилась в установленном порядке». На самом деле для системы внутреннего контроля это серьезное нарушение, и менеджеры разного уровня это прекрасно понимают. И к виновному будут приняты самые строгие меры. Но это же… момент рабочий. С такими замечаниями на самый верх идти неудобно. И что получается? Работа отлажена лучше некуда, но это не оценивается по достоинству, так как встречи с высшим руководством крайне редки, и, как говорится, со временем происходит « выпадение из обоймы». Поэтому парадокс: чем лучше результаты работы, чем четче работает весь механизм, тем уязвимее со временем позиция, а это и потеря авторитета, и далеко идущие выводы.

Порой, по-видимому, так и происходит на самом деле. Правда, это не касается вышеназванных компаний.

И в завершение. Теоретически процессы формирования и представления результатов выполненного аудиторского задания в компаниях PetrolUnion и WorldWideOil не имеют принципиальных различий, так как внутренний аудит и в той и в другой компании соответствует Международным профессиональным стандартам. Практически же эти различия существенны. Причина кроется в разных задачах, стоящих перед службами внутреннего аудита на сегодняшнем этапе развития компаний.

Первостепенная задача внутреннего аудита компании PetrolUnion – создание современной системы корпоративного управления посредством рекомендаций (в том числе топ-менеджменту), разрабатываемых по результатам аудиторских проверок, и систематического контроля их исполнения.

В WorldWideOil ситуация следующая. Развитию корпоративного управления компании, формализации процессов риск-менеджмента, внутреннего контроля поспособствовала внешняя среда (и в первую очередь – рынок ценных бумаг). Каким образом? Прежде всего, наличием соответствующего законодательства. Внутренний аудит сегодня, в основном, осуществляет проверку соответствия контрольных действий менеджеров и исполнителей принятым регламентам, что вполне соответствует требованиям Закона Сарбейнса-Оксли. В таких условиях проще стандартизировать и аудиторский процесс, и процесс представления результатов аудита. Рекомендаций по результатам проверки внутренний аудит WWO не дает. Соответствие Международному стандарту 2130 достигается путем оказания дочерним предприятиям и структурным подразделениям консультационных услуг, т.е. проведения анализа с целью выработки рекомендаций. Однако количество таких проектов в год очень незначительно, и вот уже сами аудиторы WorldWideOil жалуются на снижение эффективности, на невозможность в связи с нехваткой времени больше внимания уделять выявлению новых рисков и подготовке рекомендаций, направленных на повышение эффективности компании.

Очевидно, единого рецепта нет, но есть главный принцип: не останавливаться на достигнутом, постоянно стремиться к совершенствованию и улучшению методов и процессов.

Руководитель Службы внутреннего аудита АО «Самрук‑Энерго»

Руководит Службой с 2012 года. Член международного Института внутренних аудиторов (IIA). Владеет международным сертификатом внутреннего аудитора CIA, Дипломом Международного Института Аудита и Менеджмента IFA (DipIFA), международным сертификатом САР ЕССБА.

В условиях современной экономической ситуации, когда и внешняя, и внутренняя среда Компании сталкиваются с рисками самого широкого спектра, мы осознаем важность роли внутреннего аудита в достижении стратегических целей Компании. Сегодня внутренний аудит Компании является действенным инструментом, предназначенным для выявления возможностей повышения эффективности деятельности Компании.

Наша Команда внутренних аудиторов состоит из квалифицированных опытных специалистов.

Деятельность Службы внутреннего аудита построена на Международных основах профессиональной практики внутреннего аудита и признана соответствующей Международным профессиональным стандартам внутреннего аудита.

Применяя свои навыки и знания, мы привносим пользу Компании путем предоставления независимых и объективных гарантий и консультаций, направленных на совершенствование систем управления рисками, внутреннего контроля и корпоративного управления в Компании и ее ДЗО.

Служба функционально подотчетна Совету директоров Компании, административно – Правлению Компании. Курирование деятельности Службы осуществляется Комитетом по аудиту. Руководитель и работники Службы назначаются Советом директоров.

В 2016 г. численность Службы составляла 7 человек.

Внутренние аудиторы на постоянной основе осуществляют непрерывное профессиональное развитие. Так, работники Службы владеют международным сертификатом внутреннего аудитора CIA, дипломами Международного института аудита и менеджмента IFA (DipIFA), международным сертификатом САР ЕССБА, дипломами института финансовых менеджеров Великобритании (DipPIA и DiPCPIA).

Основными функциями Службы внутреннего аудита являются:

• Оценка рисков, адекватности и эффективности внутреннего контроля над рисками в сфере корпоративного управления, операционной (производственной и финансовой) деятельности Компании и ее ДЗО, а также их информационных систем;
• Проведение в установленном порядке оценки (диагностики) системы корпоративного управления в Компании и ее ДЗО, включая оценку внедрения и соблюдения принятых принципов корпоративного управления, соответствующих этических стандартов и ценностей в Компании и ее ДЗО;
• Проверка соблюдения требований законодательства Республики Казахстан, международных соглашений, внутренних документов Компании и его ДЗО, а также выполнения указаний уполномоченных и надзорных органов, решений органов Компании и ее ДЗО, а также оценка систем, созданных в целях соблюдения этих требований;
• Оценка адекватности мер, применяемых подразделениями Компании и ее ДЗО для обеспечения достижения поставленных перед ними целей в рамках стратегических целей Компании и ее ДЗО.

Годовые риск-ориентированные аудиторские планы рассматриваются и утверждаются Советом директоров Компании.

Все запланированные аудиторские задания выполнены в полном объеме.

При осуществлении своих функций Служба подтвердила Совету директоров свою независимость от влияния каких-либо лиц.

КПД Службы и ее руководителя устанавливаются с учетом стратегических целей Компании. Советом директоров Компании деятельность Службы оценена как «эффективная».

Работа с почтой доверия Компании

Служба является уполномоченным органом по рассмотрению, мониторингу и контролю за рассмотрением обращений, поступивших на почту доверия Компании. За 2016 г. поступило и рассмотрено 45 обращений.