Последовательно рассмотрим имеющиеся в настоящее время рекомендации и требования к подразделению внутреннего аудита банка со стороны международных организаций и национальных регуляторов. В конце раздела приведем таблицу с ключевыми отличиями.
Напомним, что в сфере внутреннего аудита в мире, как и во многих других областях интернациональных взаимоотношений, применяется в течение уже долгого времени единый принцип: «Соответствуй или объясняй». Данный принцип на практике означает только одно: нужно в точности выполнять рекомендации, формализованные пожелания, или документально подтвержденные «прихоти» международных саморегулируемых организаций, международных рейтинговых агентств или международных аудиторов. В противном случае совершенно невозможно будет объяснить исконным авторам данных рекомендаций, что, мол, у себя в компании мы придумали и реализуем какие-то процедуры, механизмы или формы внутреннего аудита, которые отличаются от их образца, да еще и лучше, эффективнее него.
Вот некоторые выдержки из перевода стандартов, осуществленного Институтом внутренних аудиторов (далее – ИВА) в Москве, который опубликован на сайте его российского отделения с разрешения The Institute of Internal Auditors Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701–4201, USA.
«…Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование хозяйственной деятельностиорганизации. Он помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и системы корпоративного управления.
Внутренний аудит может проводиться в обстоятельствах, отличающихся характером традиций в области культуры и права, в организациях, различающихся по своему назначению, размеру, сложности и структуре, как сотрудниками самой организации, так и внешними исполнителями. В то время как эти различия могут накладывать свои особенности на практику внутреннего аудита в той или иной ситуации, соблюдение Международных стандартов профессиональной практики внутреннего аудита является важнейшей предпосылкой выполнения подразделением внутреннего аудита и внутренними аудиторами своих обязанностей. Если законодательство не позволяет внутренним аудиторам соблюдать отдельные положения Стандартов, внутренние аудиторы должны соблюдать все остальные положения Стандартов, раскрывая соответствующую информацию.
Услуги по предоставлению гарантий включают объективную оценку аудиторских доказательств внутренним аудитором, который высказывает независимое мнение или дает заключение о процессе, системе или другом предмете. Характер и объем задания, выполнение которого обеспечивает гарантии, определяются внутренним аудитором. В общем случае три стороны вовлечены в процесс оказания услуг по предоставлению гарантий: (1) лицо или группа лиц, непосредственно ответственных за процесс, систему или другой предмет, – ответственный за процесс, (2) лицо или группа лиц, проводящих оценку, – внутренний аудитор и (3) лицо или группа лиц, использующих оценку для конкретных целей, – пользователь.
Услуги по консультированию в основном предоставляются по специальному запросу клиента. Характер и объем задания по консультированию являются предметом договорас клиентом. В общем случае две стороны вовлечены в процесс оказания услуги по консультированию: (1) лицо или группа лиц, предоставляющих консультации, – внутренний аудитор и (2) лицо или группа лиц, запрашивающих и получающих консультации, – клиент. Внутренний аудитор в процессе предоставления услуг по консультированию должен сохранять объективность и не принимать на себя менеджерские обязанности.
Назначение Стандартов:
а) установить основные принципы практики внутреннего аудита;
б) определить концептуальную базу, лежащую в основе широкого спектра услуг в области внутреннего аудита;
в) создать основу для оценки деятельности внутреннего аудита;
г) способствовать совершенствованию систем и процессов внутри организации.
Стандарты разделяются на стандарты качественных характеристик (Attribute Standards), стандарты деятельности (Performance Standards) и стандарты практического применения (Implementation Standards). В стандартах качественных характеристик рассматриваются характеристики организаций и сторон, занимающихся внутренним аудитом. Стандарты деятельности описывают сущность внутреннего аудита и дают качественные критерии оценки деятельности внутреннего аудита. В то время как стандарты качественных характеристик и стандарты деятельности относятся к услугам внутреннего аудита в целом, стандарты практического применения относятся к отдельным видам аудиторских заданий.
Стандарты качественных характеристик и стандарты деятельности существуют в едином варианте. Стандарты практического применения существуют в различных вариантах – отдельный вариант для каждого вида аудиторской деятельности. Стандарты практического применения были разработаны для деятельности по предоставлению аудиторских гарантий («А») и деятельности по консультированию («С»).
Стандарты являются частью Концептуальной базы профессиональной практики, которая включает «Определение внутреннего аудита», «Кодекс этики», стандарты и другие руководства. Руководства по применению Стандартов содержатся в «Практических рекомендациях» (Practice Advisories), которые выпускает Комитет по профессиональным вопросам.
В Стандартах используются специальные термины, толкование которых приводится в Словаре терминов.
Разработка и выпуск Стандартов идет на постоянной основе. Совет по стандартам внутреннего аудита проводит активные консультации и обсуждения перед выпуском Стандартов. Этот процесс включает предоставление проектов на общественное рассмотрение на международном уровне.
Все проекты размещаются на интернет-сайте международного Института внутренних аудиторов, а также рассылаются по его филиалам…»
Приведем выборку из русской версии документа, которая предоставлена компанией Deloitte совместно с Институтом внутренних аудиторов (Россия). Перевод был проверен Институтом внутренних аудиторов (Россия).
«…Одним из последствий событий, описанных выше, стало принятие Закона Сарбейнса – Оксли в США в 2002 году. Аналогичные законы были приняты или готовятся к принятию и в других странах. Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая на руководство компаний обязанность предоставлять информацию об эффективности этих систем, а на независимого аудитора – удостоверять предоставленные сведения. Выдержавшие проверку временем «Концептуальные основы внутреннего контроля» выступают в качестве общепринятого стандарта при выполнении данных требований к предоставлению отчетности.
Каждый сотрудник организации несет определенную ответственность за управление рисками. Полную ответственность несет руководитель организации, который и является «владельцем» данного бизнес-процесса. Прочие менеджеры должны обеспечивать поддержку философии организации в области управления рисками, способствовать соблюдению показателей риск-аппетита, управлять рисками в рамках своих зон ответственности с учетом допустимых для них уровней риска. Ключевые обязанности по поддержке данного процесса обычно выполняют директор по управлению рисками, финансовый директор, директор по внутреннему аудиту и другие должностные лица. Остальные сотрудники отвечают за соблюдение установленных в организации процедур, норм и правил управления рисками. Совет директоров обеспечивает надзор за управлением рисками и анализирует риск-аппетит организации. Внешние контрагенты, т. е. клиенты, поставщики, партнеры по бизнесу, а также внешние аудиторы, регулирующие органы и финансовые аналитики часто предоставляют информацию, полезную при осуществлении процесса управления рисками организации, однако они не несут ответственности за его эффективность и не являются частью процесса управления рисками.
Внутренние аудиторы должны оценить, насколько глубоко они анализируют процесс управления рисками. Организационная структура организации создает основу для планирования, выполнения, контроля и мониторинга ее деятельности. Правильная организационная структура включает определение ключевых областей полномочий и ответственности, а также установление уровней подчинения.
Например, подразделение внутреннего аудита организуется таким образом, чтобы обеспечивались его объективность в оценке деятельности организации и неограниченный доступ к высшему руководству и аудиторскому комитету совета директоров, а уровень подчинения главного аудитора в рамках организации должен позволять подразделению внутреннего аудита эффективно выполнять свои функции.
Внутренние и внешние аудиторы и консультанты регулярно предоставляют рекомендации по улучшению процесса управления рисками. Аудиторы могут уделять значительное внимание ключевым рискам и соответствующим способам реагирования, а также построению средств контроля. Они могут определить потенциальные недостатки и рекомендовать руководству альтернативные действия, сопровождаемые информацией, полезной впринятии решенийпоанализу соотношения затрат-выгод. Внутренние аудиторы или персонал, выполняющий аналогичные функции, могут оказать неоценимую помощь в проведении мониторинга деятельности организации.
Внутренние аудиторы, как правило, осуществляют проверки в рамках своих обычных обязанностей либо по распоряжению высшего руководства, совета директоров, руководителя подразделения или дочернего предприятия. Кроме того, при оценке эффективности управления рисками руководство может использовать информацию, полученную от внешних аудиторов. По решению руководства для проведения любых проверок усилия внутренних и внешних аудиторов могут объединяться…
Одним из наилучших источников информации по недостаткам процесса управления рисками является сам процесс управления рисками. Непрерывный мониторинг деятельности организации, включая деятельность руководства и текущий контроль со стороны сотрудников, позволяет получить сведения от лиц, принимающих самое непосредственное участие в деятельности организации. Данные сведения поступают в режиме реального времени и также могут обеспечить оперативное определение недостатков. Такими источниками сведений о недостатках являются периодические проверки процесса управления рисками. Проверки, проводимые руководством, внутренними аудиторами или другими подразделениями, могут выявить области, требующие изменений.
Стороны, которые должны быть уведомлены о недостатках, иногда устанавливают специальные указания относительно того, какая информация должна быть предоставлена. Например, совет директоров или аудиторский комитет могут требовать от руководства или внутреннего или внешнего аудитора информирования только о недостатках, которые отвечают заданному уровню серьезности или важности.
Управление рисками организации осуществляется целым рядом сторон, каждая из которых выполняет важные обязанности. Совет директоров (непосредственно или через свои комитеты), руководство, внутренние аудиторы и прочий персонал – все вносят значительный вклад в управление рисками. Прочие стороны, такие как внешние аудиторы и регулирующие органы, иногда также ассоциируются с управлением рисками и внутренним контролем. В то же время существует различие между лицами, являющимися частью процесса управления рисками организации, и лицами, не являющимися его частью, действия которых, тем не менее, могут оказывать влияние на процесс управления рисками или иным образом содействовать организации в достижении ее целей. При этом прямое или косвенное содействие организации в достижении ее целей не делает соответствующую внешнюю сторону частью процесса управления рисками и не возлагает на нее ответственности за управление рисками организации.
Внутренние аудиторы играют одну из ведущих ролей в деле оценки эффективности управления рисками и в разработке рекомендаций по его оптимизации. Стандарты, установленные Институтом внутренних аудиторов, указывают, что в объем внутреннего аудита должен входить аудит систем управления рисками и систем контроля. Данные функции включают оценку достоверности финансовой отчетности, эффективности деятельности и соблюдения применимого законодательства и нормативных актов. При выполнении своих обязанностей внутренние аудиторы оказывают содействие руководству и совету директоров или аудиторскому комитету путем изучения, оценки, составления отчетов и предоставления рекомендаций по повышению адекватности и эффективности процесса управления рисками организации.
Стандарты Института внутренних аудиторов также определяют роль службы внутреннего аудита, четко указывая на то, что внутренние аудиторы должны быть объективны в отношении проверяемой ими деятельности. Такая объективность должна подтверждаться их положением и полномочиями в рамках организации и подбором кандидатов на должности внутренних аудиторов. Должное положение и полномочия в рамках организации подразумевают: подотчетность лицу, имеющему достаточные полномочия по обеспечению должного охвата аудитом, рассмотрения его результатов и реагирования; выбор и смещение с должности руководителя службы внутреннего аудита только по согласованию с советом директоров или аудиторским комитетом; доступ внутренних аудиторов к совету директоров или аудиторскому комитету и полномочия по отслеживанию устранения недостатков и выполнения рекомендаций.
Члены совета директоров должны по мере необходимости обсуждать с высшим руководством состояние управления рисками в организации и осуществлять соответствующий надзор. Совет директоров также должен создать условия, при которых механизмы управления рисками организации обеспечивают оценку наиболее значимых рисков в привязке к стратегии и к целям организации, включая оценку того, какие действия предпринимает руководство и каким образом оно участвует в мониторинге процесса управления рисками. Совет директоров должен стремиться к получению информации от внутренних аудиторов, внешних аудиторов и прочих сторон.
Менеджеры и прочий персонал должны проанализировать, каким образом они выполняют свои обязанности по управлению рисками в свете данной концепции, и обсудить с вышестоящими свои идеи по совершенствованию процесса управления рисками организации. Внутренние аудиторы должны проанализировать, насколько глубоко они рассматривают процесс управления рисками организации…»
Вот что полагает Банк России относительно подразделения внутреннего аудита.
Внутренний контроль осуществляется в целях обеспечения:
• эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками, под которым понимается: выявление, измерение и определение приемлемого уровня банковских рисков, присущих банковской деятельности типичных возможностей понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий; постоянное наблюдение за банковскими рисками; принятие мер по поддержанию на не угрожающем финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков уровне банковских рисков;
• достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).
Служба внутреннего контроля кредитной организации создается для осуществления внутреннего контроля и содействия органам управления кредитной организации в обеспечении эффективного функционирования кредитной организации.
Внутренний документ, регулирующий деятельность службы внутреннего контроля (далее – положение о службе внутреннего контроля), должен определять:
A. Цели и сферу деятельности службы внутреннего контроля.
Б. Принципы (стандарты) и методы деятельности службы внутреннего контроля, отвечающие требованиям настоящего Положения.
B. Статус службы внутреннего контроля в организационной структуре кредитной организации, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями кредитной организации, в том числе осуществляющими контрольные функции.
Г. Подчиненность иподотчетность руководителя службы внутреннего контроля.
Д. Обязанность руководителя службы внутреннего контроля информировать о выявляемых при проведении проверок нарушениях (недостатках) по вопросам, определяемым кредитной организацией, совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительный орган и руководителя структурного подразделения кредитной организации, в котором проводилась проверка.
Е. Обязанность руководителя и служащих службы внутреннего контроля информировать органы управления кредитной организации о всех случаях, которые препятствуют осуществлению службой внутреннего контроля своих функций.
Ж. Порядок участия службы внутреннего контроля в разработке внутренних документов кредитной организации.
З. Ответственность руководителя службы внутреннего контроля в случаях неинформирования или несвоевременного информирования по вопросам, определяемым кредитной организацией, совета директоров (наблюдательного совета), единоличного или коллегиального исполнительного органа.
Положение о службе внутреннего контроля утверждается советом директоров (наблюдательным советом) кредитной организации в соответствии со ст. 48 и 65 Федерального закона от 26 декабря 1995 г. № 208‑ФЗ «Об акционерных обществах» (далее – Закон об АО) и ст. 32 Федерального закона от 8 февраля 1998 г. № 14‑ФЗ «Об обществах с ограниченной ответственностью» (далее – Закон об ООО), если в уставе кредитной организации не предусмотрено иное.
Служба внутреннего контроля осуществляет следующие функции.
A. Проверка и оценка эффективности системы внутреннего контроля.
Б. Проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок, управления банковскими рисками).
B. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств.
Г. Проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности (включая достоверность, полноту и объективность) и своевременности сбора и представления информации и отчетности.
Д. Проверка достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России.
Е. Проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации.
Ж. Оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций.
З. Проверка соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг).
И. Проверка процессов и процедур внутреннего контроля.
К. Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения.
Л. Оценка работы службы управления персоналом кредитной организации.
М. Другие вопросы, предусмотренные внутренними документами кредитной организации…
Кредитная организация обязана обеспечить постоянство деятельности, независимость и беспристрастность службы внутреннего контроля, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций…
Кредитная организация обеспечивает независимость службы внутреннего контроля в соответствии с порядком, в котором должно быть установлено, что служба внутреннего контроля:
• действует под непосредственным контролем совета директоров (наблюдательного совета);
• не осуществляет деятельность, подвергаемую проверкам, за исключением некоторых случаев;
• по собственной инициативе докладывает совету директоров (наблюдательному совету) о вопросах, возникающих в ходе осуществления службой внутреннего контроля своих функций, и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу кредитной организации;
• подлежит независимой проверке аудиторской организацией или советом директоров (наблюдательным советом), если такая проверка предусмотрена уставом кредитной организации.
Во внутренних документах кредитной организации должно быть предусмотрено:
A. Порядок утверждения положения о службе внутреннего контроля, годовых и текущих планов проверок, отчетов о выполнении планов проверок в соответствии со ст. 48 и 65 Закона об АО и со ст. 32 Закона об ООО.
Б. Подотчетность руководителя службы внутреннего контроля совету директоров (наблюдательному совету) кредитной организации.