Внутренний контроль - процесс, осуществляемый банком (органами управления банка, структурными подразделениями и работниками) в целях обеспечения безопасного и ликвидного ведения банковского дела в соответствии с требованиями законодательства Республики Беларусь и локальных нормативных правовых актов банка (локальные акты банка);

Система внутреннего контроля - совокупность организационной структуры, процедур и методов, принятых банком в качестве средств для упорядоченного и эффективного ведения банковской деятельности, уменьшения рисков, минимизации затрат и сохранности активов.

Целью системы внутреннего контроля является обеспечение:

эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления банковскими рисками, активами и пассивами, включая обеспечение сохранности активов;

достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности;

соблюдения требований нормативных правовых актов Республики Беларусь, локальных актов банка;

исключения вовлечения банка в финансовые операции, имеющие незаконный характер, в том числе предупреждения и пресечения деяний, связанных с легализацией доходов, полученных незаконным путем.

Внутренний аудит - часть целостной системы внутреннего контроля направленной на улучшение деятельности банка.

Под внутренним аудитом понимается независимый контроль и оценка деятельности банка, осуществляемая путем проведения департаментом внутреннего контроля регулярных проверок структурных подразделений банка.

Целью внутреннего аудита является оценка адекватности функционирующей системы внутреннего контроля в банке осуществляемым операциям и принимаемым на себя рискам.

Служба внутреннего аудита осуществляет мониторинг, проверку, оценку эффективности функционирования системы внутреннего контроля банка, дает свои предложения по повышению её эффективности и контролирует их выполнение.

Аудиторы в процессе своей деятельности должны руководствоваться действующим законодательством Республики Беларусь и локальными актами банка, а также придерживаться общепринятых моральных правил, нравственных норм и соблюдать следующие принципы:

независимость;

профессионализм;

этика поведения.

Главная структура рабочего процесса внутреннего аудита включает следующие шаги: планирование аудита, проведение аудита и реализация рекомендаций по итогам аудита.

Планирование деятельности службы внутреннего аудита должно определять наиболее важные направления контроля на основе риск-подхода и способствовать наиболее эффективному распределению обязанностей среди аудиторов.

Планирование должно проводиться в соответствии со следующими принципами:

Комплексность, что предполагает обеспечение взаимосвязанности и согласованности всех этапов планирования;

непрерывность, которая, выражается во взаимосвязи этапов планирования по срокам и по структурным подразделениям, подвергающимся проверке;

оптимальность, которая заключается в том, что в процессе планирования аудитору следует обеспечить возможность выбора оптимального варианта процедуры проверки для её своевременного и качественного проведения.

Планирование деятельности службы внутреннего аудита производится с учетом требований действующего законодательства Республики Беларусь и стратегических задач банка.

При планировании повышенное внимание уделяется структурным подразделениям и банковским продуктам, имеющим наибольший риск. С этой целью аудиторы проводят предварительный мониторинг и анализ информации о деятельности структурных подразделений. Мониторинг направлен на изучение ключевых рисков и вероятности их возникновения в том или ином структурном подразделении банка или банковском продукте.

Ежегодно, за 10 дней до начала планируемого периода руководитель службы внутреннего аудита, представляет на утверждение Председателю Правления банка либо куратору службы внутреннего аудита годовые планы работы и проведения проверок.

Служба внутреннего аудита планирует свою работу таким образом, чтобы была обеспечена определенная (не реже одного раза в три года) периодичность проведения проверок структурных подразделений. Цикл аудита определяется исходя из анализа и оценки рисков проверяемого объекта.

Процесс проведения внутреннего аудита включает: подготовку аудита, проведение проверки в структурном подразделении, согласование недостатков и проекта отчета с проверяемыми, составление рабочей документации и заключительного отчета по результатам проведенного аудита.

Службой внутреннего аудита осуществляются следующие проверки:

проверки финансово-хозяйственной деятельности (филиалов банка, направлений банковского бизнеса либо подразделений Центрального офиса банка);

проверки отдельных вопросов финансово-хозяйственной деятельности структурных подразделений;

тематические проверки структурных подразделений;

проверки выполнения мероприятий по результатам предыдущих проверок;

внеплановые проверки по заданию руководства банка.

Проверка финансово-хозяйственной деятельности предполагает полномасштабное осуществление контроля по всем направлениям банковской деятельности проверяемого объекта в целях выявления банковских операций, подверженных наибольшему риску, неэффективного ведения банковского дела, нарушения банковского законодательства, установления фактов хищений и растрат и т.д.

Проверка отдельных вопросов финансово-хозяйственной деятельности предполагает осуществление контроля по нескольким направлениям банковской деятельности.

Тематическая проверка проводится по одному, определенному вопросу. При проведении тематической проверки анализируется и проверяется конкретный вопрос финансово-хозяйственной деятельности структурного подразделения банка, банковского продукта или соблюдения политики банка в конкретной области ведения банковского дела.

Проверка выполнения мероприятий по результатам предыдущих проверок проводится с целью оценки полноты и эффективности мер, предпринятых руководством структурного подразделения к устранению и недопущению в дальнейшем выявленных проверками недостатков и нарушений.

Внеплановые проверки могут быть инициированы Председателем или Членом Правления банка, либо коллегиальным органом управления банком.

Проверки дочерних структур банка производятся на основании решений коллегиальных органов управления банком либо Председателя Правления банка.

Процесс подготовки аудита состоит из следующих этапов:

определение целей и методов осуществления аудита с учетом зон риска в деятельности проверяемого структурного подразделения;

ознакомление с информацией об объекте, подлежащем проверке, имеющейся в распоряжении службы внутреннего аудита и ее анализ;

определение периода, охватываемого проверкой, и предварительных сроков проведения проверки;

определение объёма аудита;

определение необходимого состава группы аудиторов для выполнения проверки;

разработка и утверждение программы проведения проверки.

Ознакомление с информацией об объекте, подлежащем проверке, осуществляется на основании:

материалов предыдущих проверок, проведенных как специалистами департамента внутреннего контроля, так и других подразделений банка;

материалов проверок, проведенных внешними контролирующими органами;

Мероприятий по устранению нарушений, выявленных проверками и информации о ходе их выполнения;

Информации о деятельности объекта проверки, полученной от структурных подразделений Центрального офиса банка;

сведений о деятельности объекта проверки, полученных посредством программных продуктов, используемых в банке;

решений коллегиальных органов банка, регламентирующих деятельность объекта проверки;

бухгалтерских и статистических отчетов (балансов, отчетов о дебиторской и кредиторской задолженности и т.д.), сведений об изменениях в организационной структуре и других материалов, относящихся к деятельности объекта аудита.

Для исполнения своих обязанностей в пределах утвержденного задания, аудиторы имеют право свободного доступа к рассмотрению и проверке всех документов, касающихся деятельности банка (книгам, учетным записям, отчетности, деловой корреспонденции, прикладному программному обеспечению, функционирующему в системе банка). Копии с полученных документов, записей с расшифровками, хранящихся в локальных вычислительных сетях и автономных компьютерных системах, работники департамента могут снимать в соответствии с порядком, установленным в банке. Аудиторы определяют соответствие действий и операций, осуществляемых сотрудниками банка, требованиям действующего законодательства, нормативным актам Национального банка РБ, локальным актам банка.

Сроки проведения проверок определяются руководителем службы внутреннего аудита в зависимости от объема планируемой проверки и состава рабочей группы.

Срок проведения проверки финансово-хозяйственной деятельности структурного подразделения не должен превышать 30 календарных дней. Продление срока проверки осуществляется Председателем Правления банка на основании ходатайства руководителя проверки.

Срок проведения проверок отдельных вопросов банковской деятельности, выполнения мероприятий, тематических и внеплановых проверок, устанавливается индивидуально в каждом отдельном случае в зависимости от объема и сложности проверяемых вопросов, но не более срока, установленного для проведения проверки финансово-хозяйственной деятельности.

Состав рабочей группы для проведения проверки определяется исходя из ее характера, сложности, предполагаемого количества затрат рабочего времени, уровня профессионализма аудиторов и их специализации. В рабочую группу для проведения проверки возможно привлечение специалистов структурных подразделений банка на основании решения Председателя Правления либо Члена Правления банка.

Для проведения проверки финансово-хозяйственной деятельности назначается рабочая группа составом не менее 3 специалистов. Руководителем рабочей группы, как правило, назначается главный аудитор департамента внутреннего контроля. В отдельных случаях, руководителем рабочей группы может быть назначен другой специалист из штата департамента внутреннего контроля. В период проведения проверки все члены рабочей группы подчинены непосредственно руководителю рабочей группы, независимо от исполнения ими своих прямых должностных обязанностей.

Для определения основных вопросов, подлежащих проверке, руководителем проверки по согласованию с руководителем службы внутреннего аудита разрабатывается и представляется на утверждение Председателю Правления банка либо куратору службы внутреннего аудита программа проверки. Изменения, вносимые в программу проверки должны согласовываться с лицом, утвердившим её.

При проведении проверок выполнения мероприятий по результатам предыдущих проверок, тематических и внеплановых проверок (кроме комплексных) составление программы проверки не требуется.

Проведение проверки и обеспечение аудита. Основанием для проведения проверки, проводимой службой внутреннего аудита, является приказ или распоряжение (письменное либо устное) Председателя Правления банка на её проведение.

Проверка состоит из двух этапов:

предварительная оценка деятельности структурного подразделения банка за намеченный период;

сравнительная оценка предварительных данных с фактическим состоянием дел в структурном подразделении.

На первом этапе члены рабочей группы предварительно производят сбор и анализ информации с целью определения наиболее рисковых направлений в деятельности определенного для проверки структурного подразделения. На основании приказа (распоряжения) о проведении проверки структурного подразделения, департамент автоматизации и информационных технологий на период проведения проверки обеспечивает членам рабочей группы доступ к автоматизированным ресурсам, используемым проверяемым подразделением. На основании данных, полученных из автоматизированных банковских систем, по результатам интервьюирования и иных источников, производится предварительный анализ деятельности проверяемого подразделения, определяются наиболее рисковые направления.

Из собранной информации и анализа делаются предварительные выводы и предложения для более детального контроля и подготовки рекомендаций на втором этапе.

Анализ деятельности структурных подразделений банка должен осуществляться на постоянной основе.

На втором этапе проводится оценка предварительно полученных сведений с фактическим состоянием дел в структурном подразделении непосредственно с выходом на место его расположения.

Руководитель подлежащего проверке объекта ставится в известность о её проведении накануне и должен быть ознакомлен с программой проведения проверки в день начала проверки. Внезапные проверки по заданию руководства банка проводятся без предварительного оповещения руководства подлежащего проверке структурного подразделения банка.

Руководитель проверяемого структурного подразделения при проведении проверки обязан:

обеспечить создание аудиторам условий работы, удовлетворяющих эффективному проведению проверки и оперативное представление всей необходимой документации и информации, а также давать по их устному или письменному запросу разъяснения и объяснения в устной или письменной форме по выявленным проверкой фактам нарушений;

содействовать проведению проверки, то есть не допускать каких-либо действий, направленных на ограничение круга вопросов, подлежащих выяснению при проведении проверки;

не воздействовать на аудиторов в целях изменения их выводов по результатам проверки.

При проведении проверки структурного подразделения банка, расположенного вне Центрального офиса банка, руководитель проверяемого подразделения должен предоставить аудиторам рабочие места по возможности в изолированном от посторонних лиц служебном помещении. Рабочая группа должна быть обеспечена также компьютерами с программным обеспечением, позволяющим осуществлять просмотр операций и отчетности по финансово-хозяйственной деятельности. При проведении проверок вне гор. Минска руководитель рабочей группы обеспечивается средствами мобильной связи.

Документы и другие затребованные аудиторами материалы передаются на рабочие места членов рабочей группы в порядке и сроки, установленные ими. Документы, не представленные до завершения проверки, в учет не принимаются.

Руководитель проверяемого объекта несет ответственность за достоверность представляемой информации, в отношении которой проводится аудит.

Объём работ. При проведении проверки аудитор должен знать конкретные цели проверки и самостоятельно определить методы проверки, посредством которых данные цели могут быть достигнуты наилучшим образом. Применение методов проверки зависит от характера и объема выполняемых проверяемым подразделением операций, уровня системы внутреннего контроля, объема и результатов предыдущих проверок.

Проверка может проводиться выборочным или сплошным методом.

Профессиональный уровень аудитора не требует от него детального контроля всех сделок (операций), а позволяет проведение проверок в необходимых пределах. При выборочной проверке аудиторы не могут дать абсолютной гарантии отсутствия нарушений или соблюдения установленных норм.

Выборка - это способ проведения проверки, при котором аудитор проверяет деятельность структурного подразделения банка не сплошным порядком, а выборочно. Важнейшим требованием, которое должно быть выполнено при осуществлении выборки, является обеспечение ее представительности. Представительность выборки - это свойство выборки, позволяющее дать возможность аудитору сделать на ее основе правильные выводы о всей проверяемой совокупности. Требование представительности предполагает, что все элементы проверяемой совокупности (совокупность всех проверяемых на данном участке элементов документации структурного подразделения банка) должны иметь равную вероятность быть отобранными в выборку.

Объем выборки и необходимость ее отражения в материалах проверки определяет аудитор либо руководитель проверки. При определении объема выборки, аудитор должен принимать во внимание допустимую ошибку и риск выборочной проверки, который представляет собой вероятность того, что выводы и предложения по результатам проверки, основанные на исследовании выборки, могут отличаться от заключения, которое было бы сделано, если бы аудитор проверил всю совокупность данных, с применением тех же аналитических процедур.

В случае установления при выборочной проверке фактов хищения, растрат, злоупотреблений все документы, касающиеся вопроса, по которому были выявлены эти факты, должны быть проверены сплошным порядком. Документы по списанию потерь и убытков подлежат сплошной проверке.

Отчеты внутреннего аудита и документирование. В материалах проверки аудитор должен отражать все известные ему и подтвержденные соответствующими документами факты, повлекшие нарушение требований действующего законодательства, локальных актов банка, искажение отчетности, другой информации или сокрытие противоправных действий.

В случае установления фактов нарушений аудитор обязан выяснить их сущность, а именно: что нарушено, в каком периоде и каким образом.

При выявлении недостатков и нарушений необходимо также установить причины нарушения, их последствия и виновных лиц.

Аудиторы при проведении проверок должны производить оценку достаточности и эффективности системы внутреннего контроля проверяемого подразделения.

По результатам проверки аудиторы должны дать соответствующие рекомендации по устранению выявленных нарушений, усилению внутреннего контроля.

Руководитель рабочей группы несет персональную ответственность за весь ход проведения проверки. Члены рабочей группы несут персональную ответственность за своевременное и качественное проведение проверки в пределах возложенных на них обязанностей и предоставленных прав.

Результаты проверки структурного подразделения оформляются отчетом о результатах проверки. В отчете по результатам проверки приводятся обобщенные итоговые данные и факты, а также рекомендации по устранению в дальнейшей работе выявленных недостатков.

Комментарии службы внутреннего аудита о деятельности проверяемого подразделения и рекомендации по улучшению его работы, также включаются в материалы проверки. При наличии у аудитора особого мнения по результатам проведенной им проверки при составлении отчета он вправе сделать об этом оговорку. Руководитель проверки не имеет права настаивать на изменении аудитором своих выводов или оценки по результатам проведенного аудита.

Структура отчета по результатам проведенного аудита включает в себя титульный лист, общее представление, таблицу результатов и отчет в деталях.

Титульный лист содержит общую информацию об объекте аудита и должностным лицам, которым направляется отчет; общее представление включает все главные результаты аудита и содержит обобщенное мнение аудита о состоянии дел в проверяемом структурном подразделении, основные недостатки и риски; таблица результатов содержит рекомендации по результатам аудита; отчет в деталях содержит описание недостатков и нарушений и рекомендации по их устранению и недопущению в дальнейшей работе, срок проведения проверки и согласования, проверяемый период и состав рабочей группы.

По результатам проверки (ревизии) касс, обменных пунктов составляется акт по форме, установленной соответствующими нормативными правовыми актами Национального банка, которые прилагаются к отчету.

Материалы внеплановых проверок по заданию руководства банка могут быть оформлены с отступлением от установленной процедуры и типовой формы отчета.

Все материалы, служащие подтверждением обнаруженных аудитом нарушений, должны быть задокументированы, как часть аудиторских рабочих бумаг, в том числе с использованием рабочих таблиц. В необходимых случаях к отчету могут быть приложены копии документов или выписки из различных учетных регистров, а также справки и расчеты, составленные на основании проверенных документов, заверенные в установленном порядке.

В рабочих таблицах, прилагаемых к отчету, производится документирование нарушений и указываются все необходимые данные по каждому факту: период, на протяжении которого совершались нарушения и их характер, даты и номера документов, виновные лица и другие необходимые сведения. Рабочие таблицы составляются в двух экземплярах. Один экземпляр рабочих таблиц остается в структурном подразделении до подписания окончательного варианта отчета по результатам проверки.

Согласование рабочих таблиц с руководителями проверяемых подразделений (ответственными исполнителями) должно производиться не позднее одного рабочего дня до срока завершения проверки.

В день завершения проверки, руководителем проверки производится систематизация материалов по её результатам и формируется предварительный вариант отчета. До сведения руководства проверяемого подразделения доводится информация о рекомендациях по устранению недостатков в работе, которые будут даны службой внутреннего аудита.

Один экземпляр предварительного отчета остаётся в проверенном подразделении для согласования рекомендаций. В течение 3 рабочих дней после завершения аудиторской проверки материалы должны быть согласованы с руководителем службы внутреннего аудита, ее куратором, а при необходимости с руководителями заинтересованных подразделений Центрального офиса банка. По истечении указанного срока, окончательный вариант согласованного отчета в двух экземплярах подписывается руководителем проверки, регистрируется Секретариатом в соответствии с локальными актами банка и направляется в структурное подразделение, подвергнутое проверке, для ознакомления.

Руководитель и главный бухгалтер проверенного подразделения в течение одного рабочего дня обязаны ознакомиться с материалами проверки, о чем в заключительной части отчета учиняются соответствующие подписи, и направить первый экземпляр окончательного варианта отчета вместе с рабочими таблицами в департамент внутреннего контроля для хранения.

В сроки, обозначенные в таблице результатов, руководство проверенного структурного подразделения должно информировать службу внутреннего аудита о выполнении рекомендаций по итогам проверки. Контроль за исполнением рекомендаций возлагается на руководителя проверки.

Ответственность за устранение недостатков и нарушений, выявленных проверками и выполнением рекомендаций аудита, несут руководители проверяемых подразделений.

После реализации материалов аудита предварительные варианты отчета подлежат уничтожению.

По результатам проверки структурному подразделению могут быть предложены конкретные рекомендации по устранению недостатков, отраженных в материалах аудита. К таковым относятся:

мероприятия организационного характера, направленные на повышение эффективности взаимодействия структурных подразделений с целью снижения затрат, а также улучшение системы контроля на всех этапах совершения операций;

мероприятия, направленные на разработку конкретных действий по устранению выявленных нарушений и недостатков, а также пересмотру либо совершенствованию системы функционального контроля.

Кроме того, по результатам проверок службой внутреннего аудита могут быть даны руководителям департаментов Центрального офиса рекомендации по изменению локальных актов банка, доработке или разработке программного обеспечения, пересмотра процедур, регламентирующих осуществление банковских операций либо иные рекомендации. Рекомендации фиксируются в отчете по результатам проверки и оформляются докладной запиской в адрес руководителя структурного подразделения за подписью руководителя службы внутреннего аудита либо ее куратора.

Реализация материалов. Материалы проверок после получения окончательного отчета рассматриваются куратором. Председатель Правления и главный бухгалтер банка должны быть проинформированы о результатах проведенной поверки. Информация о результатах проверок может также направляться Членам Правления банка. После ознакомления с материалами, совместно с руководителем службы внутреннего аудита определяется способ их реализации. В зависимости от объема и существенности выявленных нарушений применятся одна из форм реализации:

рассмотрение материалов Председателем Правления банка;

рассмотрение на заседаниях коллегиальных органов банка;

рассмотрение результатов проверки на рабочем совещании у куратора;

информационное письмо (докладная записка) в адрес руководства проверяемого объекта.

Реализация материалов производится не позже 30 дней с момента подписания отчета по результатам проверки. Рассмотрение материалов может производиться как с участием руководства проверяемого структурного подразделения, так и без его участия. В рассмотрении материалов могут принимать участие и руководители заинтересованных структурных подразделений, которые, предварительно знакомятся с материалами проверки.

По истечении 6 месяцев с момента окончания проверки, службой внутреннего аудита проводится проверка выполнения мероприятий по устранению недостатков, зафиксированных в отчете по результатам проверки финансово-хозяйственной деятельности. Указанная проверка проводится в соответствии с утвержденной процедурой. Проверка должна отражать полноту и эффективность предпринятых структурным подразделением мер к устранению и недопущению в дальнейшем недостатков и нарушений, установленных предыдущей проверкой. Кроме того, фиксируется ход и степень реализации рекомендаций, наличие нарушений, аналогичных ранее выявленным. Проверки выполнения мероприятий по результатам тематических проверок, проверок отдельных вопросов и внеплановых проверок по заданию руководства банка могут производиться как с выходом непосредственно в структурное подразделение банка, так и путем переписки.

Материалы проверок являются документами служебного пользования, регистрируются по специальному делопроизводству.

Любое несанкционированное тиражирование и распространение материалов проверок запрещено. Ответственность за несанкционированное тиражирование и распространение материалов проверки в период её проведения несет руководитель проверки, в период их нахождения в проверяемом подразделении - руководитель этого подразделения, а после поступления в департамент внутреннего контроля и регистрации - лицо, ответственное за ведение специального делопроизводства.

Ознакомление с материалами проверок руководителей структурных подразделений банка производится только с разрешения руководителя службы внутреннего аудита. Представление материалов третьим лицам производится по согласованию с Председателем Правления банка либо куратором.

Службой внутреннего аудита производится изучение, обобщение и систематизация недостатков и нарушений, выявленных по результатам проведенных департаментом проверок структурных подразделений банка. По согласованию с Председателем Правления, либо куратором обобщенные материалы проверок доводятся до структурных подразделений банка.

Координация действий. Служба внутреннего аудита организует и осуществляет координацию работы, в области контроля и аудита с Национальным банком Республики Беларусь, внешними контролирующими органами, внешним аудитом банка. Руководитель службы внутреннего аудита является официальным представителем банка в работе с членами ревизионной комиссии банка, внешним аудитом и способствует осуществлению их планов и действий.

Служба внутреннего аудита имеет право запрашивать все банковские документы и информацию, необходимых для проведения проверок Национальным банком Республики Беларусь, внешними контролирующими органами и внешним аудитом. Запросы о представлении информации и документов направляются в адрес подразделений за подписью куратора или руководителя службы внутреннего аудита.

Структурные подразделения банка обязаны исполнять данные запросы в установленные службой внутреннего аудита сроки. Филиалы банка направляют информацию (документы) по принадлежности в подразделения Центрального офиса, курирующие данные направления банковской деятельности. Полученная от филиалов информация анализируется и проверяется ответственными исполнителями соответствующих подразделений Центрального офиса на предмет её соответствия балансовым данным, отчетности (и иным требованиям) и в установленные сроки представляется в службу внутреннего аудита. Запрашиваемую информацию структурные подразделения банка представляют в электронном виде, а при необходимости - с последующим подтверждением её на бумажном носителе за подписью руководителя или его заместителя.

Выверенная и сформированная надлежащим образом информация, полученная от структурных подразделений банка, представляется службой внутреннего аудита заявителям, в соответствии с их запросами. Руководители структурных подразделений банка несут ответственность за достоверность, полноту и своевременность предоставления информации.

Все структурные подразделения банка должны согласовывать со службой внутреннего аудита планы проведения проверок и представлять материалы проведенных проверок структурных подразделений банка (кроме материалов проверок последующего контроля) не позднее 5 дней с момента их оформления.

При наличии в материалах проверок, проведенных внешними контролирующими органами недостатков и нарушений, копии указанных материалов направляются в адрес службы внутреннего аудита. О фактах применения к банку финансовых санкций со стороны внешних контролирующих органов куратор и руководитель службы внутреннего аудита должны быть поставлены в известность незамедлительно.

При подготовке к утверждению органами управления банка, все локальные нормативные правовые акты банка проходят процедуру согласования со службой внутреннего аудита. В соответствии с принципами независимости, в разработке локальных актов банка (кроме регламентирующих процесс организации внутреннего аудита) служба внутреннего аудита участия не принимает.

После утверждения коллегиальным органом банка, копия локального нормативного правового акта банка должна представляться в службу внутреннего аудита банка.

Сотрудники всех подразделений банка должны оказывать специалистам службы внутреннего аудита содействие в осуществлении ими своих прямых должностных обязанностей.

Уже никто не оспаривает несомненную пользу . Правильно проведенный контроль внутри компании позволяет устранить ошибки и недочеты, повысить эффективность деятельности и дисциплинировать сотрудников. Эта форма деятельности организации, как и многие другие, требует документальной работы.

Понятие отчета по внутреннему аудиту

Отчет по ВА - это один из обязательных документов контроля, отражающий данные по результатам внутренней проверки. Изложенная в нем информация должна отражать данные контроля, его результаты и конкретные предложения. Этот документ является важным звеном в процессе устранения недостатков и нарушений, а также в анализе эффективности рабочих процессов.

При проверки узкой части рабочих процессов компании отчет может быть довольно скромный. Особенно если в результате аудита не было обнаружено серьезных недостатков. Глобальный аудит имеет более крупную форму отчета, но и этот документ является основным бланком проведенного контроля.

Данное видео расскажет об отчете по внутреннему аудиту:

Его предназначение

Простое составление отчета ВА с указанием выявленных недочетов лишь отмечает ошибки. Такой отчет не обладает полной информацией и не может считаться полезным документом. Грамотно составленный отчет решает значительно больше задач, чем простое информирование.

Правильный отчет решает следующие задачи:

• Раскрывает и описывает необходимые данные.
• Фиксирует предложения и рекомендации для исправления.
• Указывает смягчающие обстоятельства и излагает план корректирующих мероприятий.

На основании различных аудиторских отчетов допустимо исправление ошибок или окончательное утверждение стратегии компании.

Этот документ по сути является подтверждением правильности организации работы и корректного курса предприятия.

Форма и правила составления

Главными критериями правил составления отчета служат качественно изложенные сведения. Правильный отчет по внутреннему аудиту должен соответствовать 7 требованиям по корректности донесения информации. Сообщения в отчеты должны быть:

1. Ясными.
2. Точными.
3. Краткими.
4. Полными.
5. Объективными.
6. Конструктивными.
7. Своевременными.

На основании этих правил должна базироваться и форма отчета по внутреннему аудиту. Несмотря на то, что отчет по ВА является официальным документом организации, единой формы его составления не существует. Каждая компания в праве использовать удобный формат изложения информации в зависимости от объема отчета и целей его составления.

Ниже будет рассмотрена форма отчета по результатам внутреннего аудита СМК.

Данное видео содержит еще больше полезной информации об отчете по внутреннему аудиту:

При составлении отчета необходимо понимать, что данный документ касается не всех областей деятельности организации, а только в сфере рассматриваемых вопросов. Поэтому вне зависимости от выбранной формы документа, в нем должны отражаться 3 главных части:

1. Вводная.
2. Аналитическая.
3. Итоговая.

В вводной части аудиторского отчета указываются данные предприятия и информация об объекте контроля. Также приводятся сведения о сроках проверки и выносятся основные вопросы, подвергшиеся аудиту. Аналитическая часть документа подразумевает включение всех выявленных недостатков и нюансов, а также должна содержать указания на плюсы, определенные в результате контроля. Итоговая часть содержит выводы и рекомендации.

Пример заполнения отчета о результатах осуществления внутреннего финансового аудита

Отчет о результатах осуществления внутреннего финансового аудита — 1

Отчет о результатах осуществления внутреннего финансового аудита — 2

Отчет о результатах осуществления внутреннего финансового аудита — 3

Отчет о результатах осуществления внутреннего финансового аудита — 4

Отчет о результатах осуществления внутреннего финансового аудита — 5

Отчет о результатах осуществления внутреннего финансового аудита — 6

Отчет по внутреннему аудиту обязательный документ. Без его составления вся деятельность ВА практически утрачивает смысл. Форма его составления произвольная, а содержание должно быть предельно лаконичным и полным. Составить отчет по узкой сфере проверки довольно просто, а умение корректно формировать данные по всей деятельности компании приходит с опытом.

Эта статья была написана для специализированного журнала несколько лет назад, однако издание неожиданно закрылось. Текст был скорректирован в соответствии с новыми формулировками международных профессиональных стандартов внутреннего аудита. Предполагается, что он и сегодня не потерял своей актуальности и практического значения относительно вопросов представления результатов внутреннего аудита.

Представление результатов аудита, а проще говоря, написание аудиторского отчета, зачастую превращается в настоящее испытание для внутренних аудиторов. Требования к изложению материала, форматам отчетов, перечню их получателей индивидуальны для каждой компании. Компания сама принимает решение, каким должен быть отчет ее службы внутреннего аудита. Для одной компании в аудиторском отчете достаточно одним предложением указать, что нарушен такой-то внутренний регламент, и виновный будет уволен с работы. Для другой – необходима обоснованная аргументация того, что именно в результате выявленных недостатков контроля компания теряет прибыль, активы, не выполняет планы и т.д.

Итак, исходные данные: две крупные нефтяные компании – публичная американская (назовем ее WorldWideOil, сокращенно WWO) и российская (будем называть ее PetrolUnion, или PU). Обе ведут свою деятельность по всему миру, обе стремятся к росту капитализации и расширению деятельности. Ценные бумаги американской компании котируются на Нью-Йоркской фондовой бирже (NYSE), акции российской – на Лондонской (LSE). В обеих компаниях примерно равные по численности службы внутреннего аудита. Служба внутреннего аудита PU образована в 2002 г. Внутренний аудит WWO значительно старше, однако в том же 2002 г. в результате крупных слияний, которые провела компания WWO, ее служба внутреннего аудита претерпела существенные изменения и фактически была создана заново.

Отчетность о деятельности внутреннего аудита

Международные профессиональные стандарты внутреннего аудита. Стандарт 2060 «Отчетность перед высшим исполнительным руководством и Советом»

Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету .

В идеале считается, что у службы внутреннего аудита должна быть двойная подотчетность: функциональная – совету директоров, точнее, его аудиторскому комитету, и административная – руководителю организации или другому руководителю (финансовому директору, контролеру…), обладающему соответствующим уровнем полномочий для того, чтобы обеспечить повседневную деятельность службы внутреннего аудита. Принято полагать, что подотчетность аудиторскому комитету совета директоров обеспечивает независимость службы внутреннего аудита.

В рассматриваемых компаниях дела обстоят следующим образом.

Административная подотчетность:

WWO: Генеральный аудитор (так называется руководитель службы внутреннего аудита) подотчетен первому вице-президенту по финансам (CFO). То есть все вопросы, касающиеся повседневной деятельности службы внутреннего аудита, решаются через CFO.

PU: Вице-президент (руководитель службы внутреннего аудита) подчинен и подотчетен непосредственно президенту компании.

Функциональная подотчетность:

По этой линии подотчетности службы внутреннего аудита обеих компаний периодически отчитываются перед своими аудиторскими комитетами. Кроме этого, руководитель службы внутреннего аудита PU ежеквартально отчитывается о результатах работы правлению компании.

Обе компании стараются следовать требованиям стандарта 2060. В PU периодичность отчетов аудиторскому комитету не установлена, носит произвольный характер, полностью зависит от плана работы комитета, где указано количество и сроки рассмотрения вопросов, касающихся внутреннего аудита. Специальная типовая форма отчета не разработана. Отчеты содержат общую информацию о характере выявленных недостатков, включая существенные риски и проблемы контроля, а также информацию о количестве проведенных проверок.

Генеральный аудитор WWO в течение года отчитывается перед аудиторским комитетом регулярно: 5-6 раз в течение года представляются отчеты о ходе выполнения годового плана (в виде схемы – status report) и один раз – отчет о работе службы внутреннего аудита за год (в виде доклада).

Отчет о работе службы внутреннего аудита за год содержит информацию:

• о стратегии и целях в области работы с персоналом службы внутреннего аудита;
• квалификации персонала;
• результатах оценки качества внутреннего аудита;
• бюджете внутреннего аудита;
• выполнении службой внутреннего аудита ключевых показателей деятельности и метрик;
• процессе годового планирования аудита;
• выполнении плана аудита текущего года;
• обновлении стратегии внутреннего аудита;
• обосновании плана на следующий год.

Отчеты о ходе выполнении годового плана аудита представляются по форме, установленной службой внутреннего аудита и согласованной с аудиторским комитетом. Они содержат информацию:

• о проведенных аудитах;
• об оценке внутреннего контроля;
• о планах менеджмента по устранению недостатков, а также о ходе выполнения этих планов.

Схематично это выглядит следующим образом:

Статус предусматривает три состояния: выполнено, выполняется, дата выполнения просрочена. В отчете эти состояния отражаются цветами «светофора», соответственно: зелеными, желтыми и красными точками.

Информация для отчетов о ходе выполнения годового плана аудита собирается из отчетов по результатам выполнения конкретных аудиторских заданий. Информация показывается объективная, но при этом «дозируется». Что это значит? Это означает, что не следует ставить в неловкое положение всех участников процесса, включая членов совета директоров; информация о недостатках не раздувается до размера «вселенской катастрофы» (как, например, любит делать современное российское телевидение), негатив не нагнетается. Все по-деловому: обнаружено то-то, планируем сделать для улучшения то-то, уже сделано то-то или не сделано то-то.

Можно вспомнить случай, как однажды руководителю службы внутреннего аудита PetrolUnion подчиненные подготовили отчет аудиторскому комитету по форме, в которой обычно делается доклад на заседании правления: хлесткие фразы о творящихся безобразиях, предрекание последствий гипертрофированных размеров – словом, картина настоящего Апокалипсиса.

Не обойтись без пояснения.

Одно дело информацию в таком виде доводить до членов правления (исполнительного органа компании), которые обязаны адекватно реагировать на сигналы внутреннего аудита, и поэтому, «чем страшнее будет повесть, тем спокойней аудиторская совесть», и другое – до членов аудиторского комитета, которые призваны осуществлять надзорные, но никак не административные функции.

Отчетность по результатам проверки: форма, содержание, сроки, получатели

Группа стандартов 2400-2440 «Информирование о результатах».

Внутренние аудиторы должны сообщать результаты выполненных заданий.

Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

Сообщения должны быть точными, ясными, объективными, ясными, конструктивными, краткими и своевременными.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих сторон.

Типовая форма аудиторского отчета компании WWO менялась на определенных этапах развития функции внутреннего аудита. Сейчас она определена корпоративным регламентом внутреннего аудита и аудиторский отчет выглядит следующим образом:

Рис. 1. Аудиторский отчет нефтегазодобывающей дочерней компании WorldWideOil

Фактически, отчет представляет собой заключение внутреннего аудита WWO о состоянии системы внутреннего контроля тех областей деятельности предприятия или структурного подразделения, которые подверглись проверке. Выводы излагаются кратко.

Непосредственно аудиторский отчет занимает, как правило, одну страницу. В состав аудиторского отчета в обязательном порядке включаются три приложения:

А. Оценка контроля в каждой области особого внимания (см. рис. 2);
В. Перечень недостатков контроля, выявленных в результате аудита;
С. Описание недостатков контроля и план действий менеджмента по их устранению (см. рис. 3).

Рис. 2. Приложение А к аудиторскому отчету нефтегазодобывающей дочерней компании WWO

Пояснение к рис. 2 (приложение А). Внутренний аудит WWO применяет четыре оценки контроля: положительные – эффективный, надежный; отрицательные – нуждающийся в улучшении, слабый. Для каждой оценки определены соответствующие критерии. Например, оценке «надежный» соответствует уровень контроля, которым может быть обеспечена защита от материальных потерь, искажений и ошибок, несоответствия политикам компании. При этом контролю может быть присвоена высшая положительная оценка, даже если аудиторским тестированием в нем выявлены определенные недостатки, но только при условии, что эти изъяны не приводят к искажению отчетности и не нарушают безопасности используемых информационных систем.

Как «слабый» оценивается контроль, недостатки которого существенны: важные контрольные процедуры игнорируются, не выполняются или вообще не определены менеджментом объекты аудита, что приводит к высоким рискам финансовых потерь, утечке конфиденциальной информации, неисполнению политик компании.

Приложение B фактически представляет собой содержание приложения С, т.е. в нем просто по порядку перечисляются все выявленные недостатки контроля.

Рис. 3. Приложение С к аудиторскому отчету нефтегазодобывающей дочерней компании WWO.

Приложение С. При изложении недостатков контроля внутренние аудиторы руководствуются регламентом Внутреннего аудита WWO, в соответствии с которым описание «слабых мест» должно быть кратким и точным (как правило, 2-3 предложения на каждый пример). Несущественные замечания в отчет не включаются. Обязательно указывается, какие контрольные процедуры должны осуществляться, к каким рискам приводят выявленные недочеты, какие конкретно стандарты внутреннего контроля WWO и положения других локальных нормативных актов компании не исполнены. Проект аудиторского отчета готовит руководитель аудиторской (рабочей) группы (Lead Auditor, Auditor In-Charge). Срок – к последнему дню проверки «в поле», к проведению заключительной конференции с объектом аудита. Проект отчета направляется руководству объекта аудита для окончательного согласования и включения в приложение С Плана действий менеджмента по устранению недостатков (Action Plan), в котором менеджеры излагают мероприятия для исправления ситуации. Эта часть аудиторского отчета также должна быть четко сформулирована. В ней указываются ответственные лица за исполнение и сроки устранения недостатков. Выполнение Плана контролируется службой внутреннего аудита, в том числе в ходе последующих проверок.

В связи с тем что информация о мероприятиях по устранению недостатков согласована с менеджментом объекта аудита и включена в аудиторский отчет, никакие распорядительные документы по результатам аудита (приказы, указания, в том числе корпоративного уровня) не издаются.

Срок подготовки окончательного варианта аудиторского отчета в WWO – один из показателей (метрик) оценки работы службы внутреннего аудита. Цель – 14 дней, фактически же окончательные варианты отчетов готовы в среднем через десять дней после завершения проверки!

Аудиторский отчет может формироваться с использованием специальной компьютерной программы (например, TeamMate), которая позволяет автоматически группировать замечания аудиторов в форму аудиторского отчета. Но на практике формулировки замечаний, их состав во многом определяет менеджер внутреннего аудита по направлению деятельности компании, основываясь на результатах совещаний и мнении всех участников аудиторской группы. Замечания, не попавшие в отчет, вносятся в меморандум обсуждения аудита, который также рассматривается на заключительной конференции с менеджерами объекта проверки. Все недостатки, отмеченные как в аудиторском отчете, так и в меморандуме, подлежат безусловному устранению.

Регламентом внутреннего аудита WWO определен перечень получателей аудиторских отчетов. Таковыми являются:

• менеджеры внутреннего аудита (по направлению деятельности);
• генеральный аудитор;
• первый вице-президент по финансам (CFO);
• вице-президент по контроллингу/главный бухгалтер;
• исполнительный вице-президент по направлению деятельности;
• внешний аудитор.

По решению руководителя аудиторской группы в рассылку могут быть включены также менеджеры всех уровней, включая вице-президентов и исполнительных вице-президентов с соответствующими функциональными обязанностями (финансы, информационные технологии, материально-техническое обеспечение и т.д.).

Первому руководителю WWO направляются отчеты только тех аудитов, по результатам которых контроль оценен как «слабый»! Перед этим они в обязательном порядке рассматриваются генеральным аудитором.

В остальных случаях ответственность за качество отчета лежит на менеджерах службы внутреннего аудита.

PU: В PU так же, как и в WWO, разработаны регламенты внутреннего аудита. Это и корпоративные стандарты внутреннего аудита, и стандарты (на уровне методик) проведения проверок по направлениям деятельности (бизнес-сегментам), в которых содержатся в том числе и требования к формированию аудиторского отчета. Так, например, согласно корпоративному стандарту изложение результатов аудиторского задания должно включать наблюдения, выводы (мнение), рекомендации и план действий. Наблюдения должны представлять факты, имеющие отношение к аудиторскому заданию. Наблюдения, необходимые для пояснения (предупреждения неверного понимания) выводов и рекомендаций внутренних аудиторов, должны быть включены в окончательное представление результатов аудиторского задания.

Аудиторские отчеты PU очень объемны, имеют массу приложений, по существу документируют ход выполнения аудиторского задания. Их и читать-то нелегко, а уж писать!..

Сложность заключается еще и в том, что служба внутреннего аудита PU включает в отчет рекомендации по устранению недостатков, в том числе и топ-менеджерам компании. Эти рекомендации оформляются распорядительными документами (приказами, указаниями), которые требуют прохождения процедуры согласования внутри компании и оказывают существенное влияние на продолжительность процесса подготовки окончательного отчета.

Понятны и требования, предъявляемые руководителем службы внутреннего аудита PU к качеству аудиторских отчетов: читать их будет президент! По сути, каждый отчет – «лицо» службы. (Очень ответственно.)

В условиях, когда любая служба внутреннего аудита объективно не может на все 100% быть укомплектована высококвалифицированными специалистами, качество аудиторского отчета попадает в прямую зависимость от количества времени, затраченного на его написание. Говорить о 10 днях на отчет не приходится! Порой процесс затягивается на несколько месяцев, и теряется одно из главных качеств аудиторского отчета – его своевременность.

Однако стоит ли кивать на PetrolUnion, когда подобное положение еще совсем недавно было свойственно службам внутреннего аудита очень крупных международных компаний.

Направляются все аудиторские отчеты президенту компании, так как руководитель службы внутреннего аудита подчинен и подотчетен непосредственно ему. После рассмотрения президент принимает решение о рассылке аудиторского отчета, т.е. определяет круг лиц, которым сообщаются результаты аудиторского задания.

Какой вариант представления отчета лучше? Решать придется самостоятельно. Статистика же такова: имея приблизительно равное количество объектов в аудиторской базе (свыше 500 у каждой компании), служба внутреннего аудита WorldWideOil проводит около 120 аудиторских проверок в год, внутреннего аудита PetrolUnion – чуть больше тридцати. И срок подготовки окончательного варианта аудиторского отчета, конечно, не единственный, но очень важный фактор для объяснения такой разницы. Казалось бы, вывод очевиден – срочно менять порядок представления результатов аудита, упростить структуру отчета и не направлять его первому лицу компании (или направлять только в исключительных случаях). Но здесь стоит задуматься об одном щепетильном моменте.

Представим себе работу внутреннего аудита в условиях более или менее отлаженной работы системы внутреннего контроля, риск-менеджмента, корпоративного управления. Это когда замечания в аудиторском отчете могут звучать примерно так: «не представлено подтверждения того, что сверка счетов за март проводилась в установленном порядке». На самом деле для системы внутреннего контроля это серьезное нарушение, и менеджеры разного уровня это прекрасно понимают. И к виновному будут приняты самые строгие меры. Но это же… момент рабочий. С такими замечаниями на самый верх идти неудобно. И что получается? Работа отлажена лучше некуда, но это не оценивается по достоинству, так как встречи с высшим руководством крайне редки, и, как говорится, со временем происходит « выпадение из обоймы». Поэтому парадокс: чем лучше результаты работы, чем четче работает весь механизм, тем уязвимее со временем позиция, а это и потеря авторитета, и далеко идущие выводы.

Порой, по-видимому, так и происходит на самом деле. Правда, это не касается вышеназванных компаний.

И в завершение. Теоретически процессы формирования и представления результатов выполненного аудиторского задания в компаниях PetrolUnion и WorldWideOil не имеют принципиальных различий, так как внутренний аудит и в той и в другой компании соответствует Международным профессиональным стандартам. Практически же эти различия существенны. Причина кроется в разных задачах, стоящих перед службами внутреннего аудита на сегодняшнем этапе развития компаний.

Первостепенная задача внутреннего аудита компании PetrolUnion – создание современной системы корпоративного управления посредством рекомендаций (в том числе топ-менеджменту), разрабатываемых по результатам аудиторских проверок, и систематического контроля их исполнения.

В WorldWideOil ситуация следующая. Развитию корпоративного управления компании, формализации процессов риск-менеджмента, внутреннего контроля поспособствовала внешняя среда (и в первую очередь – рынок ценных бумаг). Каким образом? Прежде всего, наличием соответствующего законодательства. Внутренний аудит сегодня, в основном, осуществляет проверку соответствия контрольных действий менеджеров и исполнителей принятым регламентам, что вполне соответствует требованиям Закона Сарбейнса-Оксли. В таких условиях проще стандартизировать и аудиторский процесс, и процесс представления результатов аудита. Рекомендаций по результатам проверки внутренний аудит WWO не дает. Соответствие Международному стандарту 2130 достигается путем оказания дочерним предприятиям и структурным подразделениям консультационных услуг, т.е. проведения анализа с целью выработки рекомендаций. Однако количество таких проектов в год очень незначительно, и вот уже сами аудиторы WorldWideOil жалуются на снижение эффективности, на невозможность в связи с нехваткой времени больше внимания уделять выявлению новых рисков и подготовке рекомендаций, направленных на повышение эффективности компании.

Очевидно, единого рецепта нет, но есть главный принцип: не останавливаться на достигнутом, постоянно стремиться к совершенствованию и улучшению методов и процессов.

Как уже отмечалось, в банке должны быть сформированы и действовать органы специализированного (профессионального) контроля. Такими органами могут быть прежде всего:

• служба внутреннего контроля;
• служба внутреннего аудита;
• комитет по внутреннему контролю и аудиту.

Служба внутреннего контроля

Служба внутреннего контроля (далее – СВК) банка создается конкретно в целях мониторинга за процессом функционирования системы внутреннего контроля в банке, выявления и анализа проблем, связанных с ее функционированием, обеспечения соблюдения всеми сотрудниками организации при выполнении своих служебных обязанностей требований законодательства, а также обеспечения контроля за минимизацией банковских рисков, в том числе рисков, связанных с конфликтами интересов, возникающими в процессе жизнедеятельности банка.

Основной функцией СВК в банке, если сказать в общем плане, должна стать функция создания, отладки и поддержания всех механизмов внутреннего контроля в банке на необходимом уровне. При этом функции СВК нецелесообразно сводить только к методической работе (формирование требований к системе внутреннего контроля), однако они и не должны подменять функции других органов внутреннего контроля в банке.

При этом СВК должна обеспечивать контроль за:

• выполнением сотрудниками банка требований законодательства и нормативных актов регулирующих органов;
• адекватным определением во внутренних документах и соблюдением процедур и полномочий при осуществлении любых операций, при принятии любых решений, затрагивающих интересы банка, его собственников и клиентов;
• выполнением процедур эффективного управления банком своими рисками;
• сохранностью активов и адекватным отражением проводимых операций в бухгалтерском и управленческом учете банка;
• эффективным функционированием всех звеньев системы внутреннего контроля банка.

Для эффективной работы СВК банка необходимо обеспечить особый статус ее сотрудников (контролеров). Контролер должен иметь безусловную возможность доступа ко всей бухгалтерской и прочей документации, к электронным базам данных и к данным на бумаге. При этом режим доступа к информации должен быть таким, чтобы исключалась возможность корректировки данных контролером.

Контролер должен быть независим от деятельности, которую он проверяет. Недопустима зависимость контролера от проверяемой деятельности, обусловленная тем, что он ранее работал в проверяемом подразделении. Недопустимо также наличие менее очевидных связей: работа в настоящее время или в прошлом в проверяемом подразделении родственников, возможность пользоваться какими-либо услугами проверяемого подразделения и др.

Контролер не должен административно зависеть также от исполнительных органов банка. Это очень важный принцип, несоблюдение которого приводит к созданию недееспособной СВК.

Контролер должен обладать полномочиями приостанавливать операции (сделки) банка в случае обнаружения в них грубых нарушений, которые могут привести к убыткам или дополнительным рискам для банка. Это право должно быть зафиксировано в Положении о СВК и внутрибанковских должностных инструкциях.

При проведении административно-правового, управленческого, организационно-управленческого и финансового контроля необходимо постоянно обращать должное внимание на выполнение следующих принципов.

• 1. Деятельность каждого участка банка должна контролироваться путем применения следующих, в частности, стандартных методов:
  • метод "четырех глаз", означающий, что любую значимую операцию проводят два сотрудника банка, один из которых является контролером;
  • нумерации документов, предполагающей, что отчетные документы брошюруются и нумеруются по порядку;
  • ограничения доступа посторонних лиц к документам и ценностям;
  • периодической сверки вычислений, полученных независимым путем.
• 2. Каждая проведенная операция должна оставлять "аудиторский след", что предполагает документальное подтверждение такого факта, т.е. фиксирование в первичных документах, бухгалтерских документах, в проводках, в описательных документах и т.д.
• 3. Контролер должен иметь возможность влиять на ход операции. Инструктивно должно быть закреплено право контролера при известных рисковых обстоятельствах приостанавливать проведение операции (сделки), при этом должны быть четко регламентированы эти самые обстоятельства – условия, наличие которых дает контролеру право и (или) даже обязывает его распорядиться о приостановлении соответствующей операции.
• 4. Для каждой операции должен быть определен порядок ее санкционирования, т.е. следует указывать полномочия конкретных ответственных лиц, которые могут давать разрешение (согласие, распоряжение, указание, приказ) на выполнение операций (группы взаимосвязанных операций).

Аналитический контроль, как уже отмечалось, предполагает выявление отклонений фактических параметров прежде всего финансовой деятельности банка от должных (ожидаемых) и выяснение их причин. Для этого используются финансово-экономические показатели, различные коэффициенты, методики их расчета, а также требуемые (нормативные, плановые) значения указанных показателей и коэффициентов. При этом особые сотрудники банка должны вести регулярный мониторинг значений и динамики данных показателей и коэффициентов и в случае их отклонения от должных значений немедленно сообщать об этом руководителям банка, включая коллегиальные органы управления, имеющие право по своему положению в организации принимать управленческие решения, которые должны будут "ввести" значения таких показателей в необходимые рамки.

СВК обязана выборочно проверять соблюдение указанных должных показателей, имея в виду прежде всего наиболее значимые для банка финансово-экономические показатели (например, правильность начисления резервов под те или иные рисковые активы), а также вести регулярный контрольный мониторинг за тем, как в подразделениях поставлен и ведется аналитический контроль.

Каждый сотрудник СВК в процессе своей работы периодически оказывается в "оппозиции" к сотрудникам проверяемых подразделений. Это неизбежное обстоятельство несет в себе зародыш конфликта, который может вылиться в неприязнь и отторжение коллективом банка сотрудников контролирующих подразделений, что может сильно затруднить проведение контрольных мероприятий и снизить эффективность системы внутреннего контроля в целом. Чтобы этого не произошло, необходимо создание в коллективе банка климата, объединяющего всех, в том числе сотрудников контролирующих служб, вокруг единой цели (целей).

Отдельной функцией СВК является участие в согласовании внутрибанковских нормативных актов и процедур. Данная работа представляет собой фактически предварительный контроль, поскольку в ходе ее определяются, с одной стороны, алгоритмы действий работников, с другой – алгоритмы функционирования контрольных механизмов, призванных предупредить нарушения указанных правил действий работников.

СВК, участвуя в согласовании проектов внутрибанковских нормативных актов и процедур, должна изучать наличие и достаточность этих контрольных механизмов, а затем соответствие описанных в проектах действий работников банка требованиям нормативных актов, т.е. тем самым выполнять уже упомянутые функции (проверять на соответствие и контролировать наличие должного контроля). Понятно, что все согласуемые документы должны проверяться на соответствие нормам законов, правовых актов Банка России, а также международных актов.

Служба внутреннего аудита

Важную роль в системе внутреннего контроля банка может и должен занимать аудит. Аудит банков (внешний) имеет ряд особенностей, которые требуют наличия специализированных аудиторских организаций. Дело в том, что при аудиторских проверках банков и других КО должны рассматриваться самые различные стороны экономической деятельности как самих банков (НКО), так и их клиентов. Это налагает на банковских аудиторов особую ответственность, требует от них особой квалифицированности, объективности и соответственно достоверности конечных выводов.

Практика аудиторских обследований банков показывает, что важным условием успешной деятельности аудиторов является взаимная заинтересованность как проверяемого банка, так и проверяющих лиц в обеспечении достоверности учета и отчетности, в выявлении и устранении причин, мешающих банку достичь более высоких результатов деятельности. Аудитор – лицо, обладающее специальными знаниями, ему должны быть присущи не только высокий профессионализм, но и такие качества, как объективность и честность, умение соблюдать коммерческую тайну, доброжелательность и лояльность по отношению к проверяемым и ряд других черт.

Аудиторы вправе, в частности:

• проверять все бухгалтерские, денежные и другие первичные документы, наличие денег, материальных ценностей и ценных бумаг в кассе, хранилище, у подотчетных лиц, регистры бухгалтерского учета, отчетность, сметы и другие документы по денежным, расчетным (платежным), кредитным и иным операциям банка;
• знакомиться с приказами, распоряжениями правления банка и его председателя, протоколами заседаний совета и правления банка;
• требовать предоставления всех необходимых документов, а также справок, расчетов, копий отдельных документов для приобщения к акту;
• получать устные или письменные объяснения по вопросам, возникающим в ходе проведения аудита;
• осматривать кассовые помещения, кладовые и другие служебные помещения, места и условия хранения ценностей в целях выяснения соответствия их необходимым требованиям.

Что касается обязанностей аудиторов, то они определяются на основе поставленных перед ними задач (в рамках норм законодательства). Основная их обязанность заключается в том, чтобы при выявлении фактов неправильного ведения банковских операций, нарушений установленного порядка бухгалтерского учета, злоупотреблений и т.д. точно определить размер причиненного банку или государству (бюджету) ущерба, выяснить причины вскрытых нарушений, должностных или ответственных лиц, виновных в данных нарушениях. В связи с этим аудитор несет ответственность также за неправильное освещение действительного состояния дел в обследуемом банке, преднамеренное искажение фактов или сокрытие выявленных нарушений или ошибок, допускаемых работниками.

В принципе то же самое относится и к деятельности внутренних аудиторов, хотя их основная задача – в ходе проверок выявлять моменты несоответствия реальной деятельности организации требованиям законодательных и нормативных актов, а также контроль за ходом исправления указанного рода несоответствий. Определенные функции внутренних аудиторов выполняют и ревизорские группы при бухгалтериях крупных банков, подчиненные главному бухгалтеру или финансовому директору, однако функции внутренних аудиторов шире.

Некоторые функции внутреннего аудита называются хозяйственным аудитом. Хозяйственный аудит заключается в систематическом анализе хозяйственной деятельности КО и проводится для определенных целей. Обычно он преследует три цели:

• оценка эффективного управления;
• выявление возможностей улучшения хозяйственной деятельности;
• выработка рекомендаций, касающихся улучшения рыночной деятельности или дальнейших действий в более широком плане.

Внутренний аудит банка – это, по сути, аудит системы внутреннего контроля банка и в этом качестве являет собой часть самой системы внутреннего контроля. Функция аудита системы внутреннего контроля должна быть подотчетна высшему руководству банка в лице совета. Для этого совет (или специальный комитет в его составе) следует своевременно информировать о выявленных недостатках в данной системе и представлять на его рассмотрение рекомендации по совершенствованию ее работы.

Комитет по контролю и аудиту

Для регулярного мониторинга факторов и значений рисков внутри банка целесообразно в рамках корпоративного управления создать комитет по внутреннему контролю и аудиту . Создание такого комитета делает возможным детальное и регулярное рассмотрение и обсуждение проблем, связанных с внутренним контролем и аудитом, и позволяет уделить им необходимое внимание. При этом рекомендуется включать в состав комитета наряду с сотрудниками банка, отвечающими за ключевые направления бизнеса, не работающих в банке специалистов, хорошо разбирающихся в вопросах финансовой отчетности и внутреннего контроля.

Общим результатом функционирования системы внутреннего контроля банка должна являться рациональная организация непрерывного и постоянного контроля его собственно банковской и административно-хозяйственной деятельности, имея в виду разные ее уровни – от рабочего места отдельного сотрудника и от производства отдельного продукта (оказания отдельной услуги) до итоговых параметров деятельности организации в целом.

Контрольные службы: варианты организационного построения

Место, роль и функции контролирующих подразделений банка должны быть определены: в концепции организации внутреннего контроля в банке; в положениях о данных подразделениях; во внутренних регламентирующих документах банка, в которых наряду с описанием порядков работы и взаимодействия между соисполнителями в необходимых случаях указывается порядок контроля за данным направлением работы.

В частности, СВК в банке структурно может быть организована двумя способами. В первом случае она может включать в свой состав подразделения внутреннего контроля, внутреннего аудита, подразделение, занимающееся управлением рисками, а также ряд других аналитических и контролирующих подразделений банка. В этом случае фактически речь идет о многофункциональном департаменте, который должен охватывать различные аспекты деятельности всей организации.

Во втором случае СВК может быть создана как отдельное структурное подразделение в составе банка, взаимодействующее с другими контролирующими подразделениями. При таком варианте СВК должна быть наделена соответствующими полномочиями и правами.

Целесообразно, как это формально и имеет место в большей части российских банков, объединение двух подсистем – контроля и аудита – в единую систему и единую организационную структуру внутреннего контроля, но при условии четкого разделения обязанностей между ними. При таком подходе функции организации и осуществления собственно контроля должны быть поручены подсистеме контроля (СВК в узком понимании этого органа), а оценку ее качества на постоянной основе могла бы вести подсистема внутреннего аудита (далее – СВА). Главная задача СВА при этом – оценка качества (эффективности) системы внутреннего контроля. Для этого данная служба должна быть организована таким образом, чтобы ограничить ее влияние на создание системы внутреннего контроля лишь оценкой ее качества.

Выбор варианта структурной организации зависит в первую очередь от особенностей банка, наличия в нем соответствующих ресурсов, сложившейся практики его деятельности. Однако в обоих случаях цели, функции и методы работы СВК должны быть в главных чертах идентичными и не должны нарушать технологического уклада банка.

Руководитель Службы внутреннего аудита АО «Самрук‑Энерго»

Руководит Службой с 2012 года. Член международного Института внутренних аудиторов (IIA). Владеет международным сертификатом внутреннего аудитора CIA, Дипломом Международного Института Аудита и Менеджмента IFA (DipIFA), международным сертификатом САР ЕССБА.

В условиях современной экономической ситуации, когда и внешняя, и внутренняя среда Компании сталкиваются с рисками самого широкого спектра, мы осознаем важность роли внутреннего аудита в достижении стратегических целей Компании. Сегодня внутренний аудит Компании является действенным инструментом, предназначенным для выявления возможностей повышения эффективности деятельности Компании.

Наша Команда внутренних аудиторов состоит из квалифицированных опытных специалистов.

Деятельность Службы внутреннего аудита построена на Международных основах профессиональной практики внутреннего аудита и признана соответствующей Международным профессиональным стандартам внутреннего аудита.

Применяя свои навыки и знания, мы привносим пользу Компании путем предоставления независимых и объективных гарантий и консультаций, направленных на совершенствование систем управления рисками, внутреннего контроля и корпоративного управления в Компании и ее ДЗО.

Служба функционально подотчетна Совету директоров Компании, административно – Правлению Компании. Курирование деятельности Службы осуществляется Комитетом по аудиту. Руководитель и работники Службы назначаются Советом директоров.

В 2016 г. численность Службы составляла 7 человек.

Внутренние аудиторы на постоянной основе осуществляют непрерывное профессиональное развитие. Так, работники Службы владеют международным сертификатом внутреннего аудитора CIA, дипломами Международного института аудита и менеджмента IFA (DipIFA), международным сертификатом САР ЕССБА, дипломами института финансовых менеджеров Великобритании (DipPIA и DiPCPIA).

Основными функциями Службы внутреннего аудита являются:

• Оценка рисков, адекватности и эффективности внутреннего контроля над рисками в сфере корпоративного управления, операционной (производственной и финансовой) деятельности Компании и ее ДЗО, а также их информационных систем;
• Проведение в установленном порядке оценки (диагностики) системы корпоративного управления в Компании и ее ДЗО, включая оценку внедрения и соблюдения принятых принципов корпоративного управления, соответствующих этических стандартов и ценностей в Компании и ее ДЗО;
• Проверка соблюдения требований законодательства Республики Казахстан, международных соглашений, внутренних документов Компании и его ДЗО, а также выполнения указаний уполномоченных и надзорных органов, решений органов Компании и ее ДЗО, а также оценка систем, созданных в целях соблюдения этих требований;
• Оценка адекватности мер, применяемых подразделениями Компании и ее ДЗО для обеспечения достижения поставленных перед ними целей в рамках стратегических целей Компании и ее ДЗО.

Годовые риск-ориентированные аудиторские планы рассматриваются и утверждаются Советом директоров Компании.

Все запланированные аудиторские задания выполнены в полном объеме.

При осуществлении своих функций Служба подтвердила Совету директоров свою независимость от влияния каких-либо лиц.

КПД Службы и ее руководителя устанавливаются с учетом стратегических целей Компании. Советом директоров Компании деятельность Службы оценена как «эффективная».

Работа с почтой доверия Компании

Служба является уполномоченным органом по рассмотрению, мониторингу и контролю за рассмотрением обращений, поступивших на почту доверия Компании. За 2016 г. поступило и рассмотрено 45 обращений.