Мудрый Экономист

Совершенствование организации внутреннего аудита в банке России

"Внутренний контроль в кредитной организации", 2012, N 2

Аудит в целом, как известно, представляет собой независимую экспертизу и анализ финансовой отчетности субъектов экономической деятельности. Его целью в общем случае является определение достоверности и полноты представляемой отчетности, установление ее соответствия нормам действующего законодательства и требованиям, предъявляемым к ведению бухгалтерского учета и составлению отчетности. Внутренний аудит предоставляет владельцам гарантии по вероятности потерь по бизнес-процессам или подразделениям. Специфика Банка России заключается в отсутствии цели получения прибыли. Тем не менее большая часть аудиторских процедур для коммерческих банков и Банка России технологически совпадает <1>.

<1> В нашем журнале ранее публиковались материалы по внутреннему аудиту в центральных банках. См., напр.: Ермаков С.Л., Юденков Ю.Н. Внутренний аудит в системе управления центральных банков // Внутренний контроль в кредитной организации. 2009. N N 1, 2.

Исторический экскурс

Своеобразие банковской деятельности предопределяет и особенности ее аудита. Естественно, это связано прежде всего с работой банков с привлеченными средствами, что предполагает наличие высокой степени доверия лиц, предоставляющих эти средства в их распоряжение. Поэтому действующим законодательством предусмотрен обязательный независимый контроль деятельности всех банков, в том числе и Центрального банка Российской Федерации.

Для предупреждения негативных явлений в деятельности банков и формирования системы внутреннего контроля, позволяющей постоянно располагать достоверной информацией о состоянии дел на различных участках их работы, Банком России было подготовлено Положение от 28.08.1997 N 509 "Об организации внутреннего контроля в банках" (далее - Положение N 509). В данном Положении регламентировались основы организации и функционирования внутреннего контроля. В нем же были определены его цели и задачи, права и обязанности службы внутреннего контроля, порядок взаимодействия с ней других подразделений, основные требования к сотрудникам данной службы. Положение содержало специальный раздел "Рекомендации по организации внутреннего контроля за рисками банковской деятельности", подготовленный в соответствии с предложениями Базельского комитета по банковскому надзору.

Традиционно считается, что именно Положение N 509 является исходным документом, послужившим одновременно и письменным указанием о массовом формировании служб внутреннего контроля в коммерческих банках, и началом общей теоретической путаницы (из-за некачественного перевода документов Базельского комитета, в которых напрочь отсутствует понятие "служба внутреннего контроля") в парадигмах внутреннего аудита и внутреннего контроля.

Справедливости ради заметим, что особый статус Банка России предопределяет и отдельные специфические аспекты организации его внутреннего аудита. Именно поэтому порядок формирования и функционирования данной службы был установлен Положением "Об организации внутреннего аудита в Центральном банке Российской Федерации" (Приложение к Приказу по Банку России от 31.03.1997 N 02-140). В 1997 г. работа департамента внутреннего аудита и ревизий была организована в соответствии с Положением о нем, утвержденным Решением совета директоров Банка России 23 мая 1997 г. (протокол N 16).

Конечно, невозможно забыть специально разработанное Банком России Положение от 10.09.1997 N 64 "Об аудиторской деятельности в банковской системе Российской Федерации", определявшее цели всего банковского аудита, порядок работы Центральной аттестационно-лицензионной аудиторской комиссии, регламентировавшее права и обязанности аудиторов и аудиторских фирм, а также саму процедуру аудиторских проверок.

Пятнадцать лет спустя

В апреле текущего года председатель Банка России утвердил новое Положение "О внутреннем аудите в Центральном банке Российской Федерации" (далее - новое Положение), которое устанавливает общие требования к организации и порядку осуществления внутреннего аудита в Банке России. Эти общие требования во многом являются определяющими и представляют несомненный интерес для большинства российских коммерческих банков. Положение о внутреннем аудите является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В этом Положении согласно стандартам внутреннего аудита <1> определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету директоров, объем и содержание деятельности внутреннего аудита; закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий. Новое Положение, как будет показано ниже, в большей части пунктов отвечает требованиям Международных профессиональных стандартов внутреннего аудита.

<1> Международные профессиональные стандарты внутреннего аудита. Стандарты качественных характеристик. Ст. 1000. НП "ИВА", 2010.

С точки зрения практической направленности в новом Положении кардинально поменялись основные задачи внутреннего аудита. В Положении 1997 г. задачи, решение которых входило в обязанности департамента внутреннего аудита и ревизий, включали: подготовку документации по практической организации внутреннего аудита и ревизий; планирование и организацию комплексных ревизий и аудиторских проверок, включая проведение проверок по постановлению правоохранительных органов; координацию деятельности ревизионных отделов и проверку качества их работы; обобщение материалов ревизий и аудиторских проверок в ежегодных отчетах; организацию и проведение семинаров и совещаний. Новое Положение формулирует задачи внутреннего аудита следующим образом:

Согласно международным стандартам внутренний аудит в Банке России организуется в соответствии с принципами независимости и риск-ориентированного подхода при его осуществлении.

Принцип независимости

Принцип независимости заключается в том, что внутренний аудит в Банке России независим от деятельности объектов аудита и выполняемых ими процедур внутреннего контроля. В соответствии со ст. 95 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" внутренний аудит в Банке России осуществляется службой главного аудитора Банка России, непосредственно подчиненной председателю Банка России.

Независимость внутреннего аудита гарантируется организационной и функциональной особенностью службы главного аудитора, позволяющей обеспечить объективность профессиональных суждений ее сотрудников. Работники подразделений службы главного аудитора независимы в своих суждениях от мнения руководителя и работников объекта аудита, а также от других структурных подразделений Банка России <1>.

<1> Международные профессиональные стандарты внутреннего аудита. Стандарты качественных характеристик. Ст. 1000. НП "ИВА", 2010. Статья 1100 "Независимость и объективность": "Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей".

Интерпретация: независимость - это свобода от условий, которые создают угрозу способности подразделения внутреннего аудита беспристрастно выполнять свои обязанности. Для того чтобы достичь степени независимости, необходимой для эффективного выполнения подразделением внутреннего аудита своих обязанностей, руководитель внутреннего аудита должен иметь прямой и свободный доступ к высшему исполнительному руководству и совету. Этого можно достичь путем установления подотчетности двум сторонам. Проблемы независимости необходимо решать на уровнях индивидуального аудитора, аудиторского задания, функциональном и организационном уровнях.

В обычной практике коммерческих банков, где при совете директоров создан комитет по аудиту, последний непосредственно оценивает и заслушивает (часто ежеквартально) руководителя службы внутреннего контроля (внутреннего аудита), то есть имеет место функциональное подчинение совету директоров при административном подчинении высшему исполнительному органу. Подчинение в соответствии с новым Положением службы главного аудитора председателю Банка России является и административным, и функциональным. Для устранения этой проблемы как вариант в соответствии с логикой Международных профессиональных стандартов внутреннего аудита можно было бы при Национальном банковском совете сформировать аудиторский комитет, который бы ежеквартально заслушивал главного аудитора Центрального банка Российской Федерации.

Принцип риск-ориентированного подхода

Принцип риск-ориентированного подхода заключается в выявлении службой главного аудитора областей деятельности Банка России, связанных с рисками, и в осуществлении внутреннего аудита исходя из уровня выявленных рисков.

В целях организации риск-ориентированного аудита до сведения главного аудитора структурными подразделениями Банка России и организациями - юридическими лицами, учрежденными Банком России, в порядке, установленном распорядительным актом Банка России, должна доводиться информация об инцидентах, влияющих на выполнение функций Банка России, о фактах причинения ущерба Банку России и наступлении других негативных последствий для Банка России.

Руководители структурных подразделений Банка России и организаций - юридических лиц, учрежденных Банком России, несут персональную ответственность за полноту, достоверность и своевременность представления соответствующей информации.

Принцип риск-ориентированного подхода применяется также при планировании аудиторских проверок и осуществлении внутреннего аудита. Указанный принцип, внедренный в практику внутреннего аудита новым Положением, несомненно, повышает эффективность процедур аудита и одновременно надежность операций Банка России. В соответствии со стандартами внутренние аудиторы должны быть готовы выявлять существенные риски, способные оказать воздействие на цели, деятельность или ресурсы организации. Тем не менее процедуры, осуществляемые при предоставлении аудиторских гарантий, даже если они проведены на должном профессиональном уровне, сами по себе не гарантируют выявления всех существенных рисков.

В новом Положении процедуры внутреннего аудита не должны заменять процедуры внутреннего контроля, выполняемые работниками объектов аудита в соответствии с их должностными обязанностями. Внутренний аудит направлен на оказание помощи руководителям объектов аудита в их деятельности, направленной на поддержание эффективности и совершенствование системы внутреннего контроля, посредством предоставления рекомендаций.

Работники подразделений службы главного аудитора руководствуются принципами объективности и профессиональной компетентности, а также требованиями профессиональной этики. Работники Банка России, участвующие в осуществлении внутреннего аудита, обязаны относиться к делу объективно и беспристрастно, избегать обстоятельств, препятствующих их беспристрастности и объективности (конфликта интересов), и информировать руководителей соответствующих подразделений службы главного аудитора об указанных обстоятельствах. В стандартах внутреннего аудита конфликт интересов интерпретируется как ситуация, когда внутренний аудитор, являющийся лицом, облеченным доверием, имеет конкурирующий профессиональный или личный интерес. Наличие таких конкурирующих интересов может помешать внутреннему аудитору выполнять свои обязанности беспристрастно. Конфликт интересов может существовать даже в тех случаях, когда он не приводит к неэтичным или неправильным действиям. Конфликт интересов может привести к возникновению видимости ненадлежащего поведения, что может подорвать доверие к внутреннему аудитору, подразделению внутреннего аудита и к профессии в целом, а также повредить способности аудитора объективно выполнять свои функции и обязанности.

Осуществление внутреннего аудита

Внутренний аудит в Банке России осуществляется посредством проведения аудиторских проверок и мониторинга.

Служба главного аудитора осуществляет проведение аудиторских проверок на основе годовых планов (плановые проверки). Планы аудиторских проверок относятся к документам, содержащим информацию ограниченного доступа, и включают информацию об объектах аудита и о виде аудиторских проверок (комплексная, тематическая).

Комплексная аудиторская проверка проводится по основным направлениям деятельности объекта аудита за определенный период.

Тематическая аудиторская проверка проводится по отдельным направлениям деятельности или видам операций, осуществляемых объектом аудита за определенный период. Тематическая аудиторская проверка может охватывать деятельность нескольких объектов аудита по выполнению определенных функций за период.

Внеплановые аудиторские проверки проводятся на основании поручений о проведении внеплановых проверок.

Аудиторская проверка осуществляется на основании предписания и в соответствии с заданием. Предписание на проведение аудиторской проверки составляется на бланке лица (или подразделения), назначившего аудиторскую проверку, и включает наименование объекта аудита, вид аудиторской проверки, состав группы проверяющих сотрудников, куратора, проверяемый период и срок представления акта проверки.

При наличии на объекте аудита нескольких территориально удаленных кладовых, хранилищ ценностей для одновременного начала ревизии банкнот и монеты резервных фондов, денежной наличности и ценностей может быть оформлено необходимое количество экземпляров предписаний, каждый из которых подписывается лицом, назначившим аудиторскую проверку.

По результатам аудиторских проверок с учетом выявленных нарушений и недостатков, оценки выполнения объектом аудита возложенных на него задач и функций, состояния внутреннего контроля на объекте аудита председателем Банка России либо главным аудитором Банка России, а также в соответствии с предоставленными полномочиями директором департамента внутреннего аудита может быть принято одно из следующих управленческих решений:

Приказы по основной деятельности, издаваемые по результатам аудиторских проверок, подготавливаются подразделениями службы главного аудитора. После издания приказа по основной деятельности лицо, назначившее аудиторскую проверку, направляет письмо с предложениями профильных подразделений о мерах по устранению выявленных нарушений и недостатков и информацией о порядке и сроке представления отчета о выполнении плана мероприятий по устранению нарушений и недостатков, выявленных аудиторской проверкой.

В случае если материалы аудиторских проверок содержат факты, свидетельствующие о неисполнении (ненадлежащем исполнении) работниками по их вине должностных обязанностей, на основании приказов по основной деятельности в порядке, установленном Банком России, могут быть изданы соответствующие приказы по личному составу о дисциплинарной ответственности работников.

Привлечение работников Банка России к дисциплинарной ответственности по результатам аудиторских проверок осуществляется с соблюдением законодательства РФ. При рассмотрении материалов аудиторских проверок должно быть обеспечено соблюдение сроков применения дисциплинарных взысканий с учетом даты совершения и даты обнаружения проступка. Датой обнаружения проступка считается день, когда лицу, которому по работе (службе) подчинен работник, стало известно о совершении проступка, независимо от того, наделено ли оно правом наложения дисциплинарных взысканий.

Представление содержит информацию о выявленных нарушениях, предложения профильных подразделений о мерах по устранению выявленных нарушений и недостатков, порядок и срок представления отчета о выполнении плана мероприятий.

В случае если по результатам проведенной аудиторской проверки принято управленческое решение в форме приказа по основной деятельности или представления, в план аудиторских проверок следующего года включается тематическая аудиторская проверка по вопросам устранения выявленных нарушений.

Срок представления отчета о выполнении плана мероприятий по результатам аудиторских проверок, по которым был издан приказ по основной деятельности или вынесено представление, не может превышать шести месяцев.

Рекламационное письмо содержит информацию о результатах проведенной аудиторской проверки, предложения профильных подразделений о мерах по устранению выявленных нарушений и недостатков, порядок и срок представления отчета о выполнении плана мероприятий (при наличии).

Служба главного аудитора организует и координирует деятельность объектов аудита и профильных подразделений в целях обеспечения контроля за устранением нарушений и недостатков, выявленных аудиторскими проверками.

Работники Банка России, участвующие в осуществлении внутреннего аудита, обязаны обеспечить сохранность информации, ставшей им известной в связи со служебной деятельностью, и несут ответственность за ее разглашение. Предоставление третьим лицам информации о результатах внутреннего аудита осуществляется по решению председателя Банка России или лица, назначавшего аудиторскую проверку.

Организация внутреннего аудита

В Банке России работу по составлению планов аудиторских проверок, проводимых подразделениями службы главного аудитора, организует и координирует департамент внутреннего аудита. Этот департамент запрашивает у руководителей структурных подразделений центрального аппарата, территориальных учреждений Банка России предложения о проведении тематических аудиторских проверок, которые могут быть учтены при составлении планов аудиторских проверок исходя из имеющихся в распоряжении службы главного аудитора кадровых ресурсов.

В соответствии с Международными профессиональными стандартами внутреннего аудита руководитель внутреннего аудита должен составить риск-ориентированный план, определяющий приоритеты внутреннего аудита в соответствии с целями организации (ст. 2010). Руководитель внутреннего аудита отвечает за разработку риск-ориентированного плана. Руководитель внутреннего аудита принимает во внимание концепцию управления рисками, принятую в организации, включая использование определенных исполнительным руководством уровней риск-аппетита для различных видов деятельности или подразделений организации. Если такой концепции в организации нет, руководитель службы внутреннего аудита применяет собственное суждение о рисках, сформированное после консультаций с высшим исполнительным руководством и советом директоров.

Новое Положение предусматривает организацию выполнения плана аудиторских проверок службы главного аудитора. Контроль за его выполнением осуществляется в следующем порядке.

  1. План аудиторских проверок службы главного аудитора утверждается председателем Банка России по представлению главного аудитора Банка России. В указанный план включаются аудиторские проверки структурных подразделений Банка России и организаций - юридических лиц, учрежденных Банком России.

Проект плана аудиторских проверок службы главного аудитора подготавливается департаментом внутреннего аудита с учетом риск-ориентированного подхода и периодичности проведения комплексных аудиторских проверок объектов аудита, подлежащих включению в план проверок службы главного аудитора.

  1. Изменения в планах аудиторских проверок службы главного аудитора утверждаются председателем Банка России по представлению главного аудитора.
  2. Выполнение плана аудиторских проверок службы главного аудитора организует департамент внутреннего аудита. Контроль выполнения плана аудиторских проверок службы главного аудитора осуществляет главный аудитор Банка России.

Организация проведения аудиторской проверки включает следующие этапы:

<1> Аналогично статье Международных профессиональных стандартов внутреннего аудита 2010.A1: план работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой по крайней мере один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и совета директоров.

Несомненным новаторством нового Положения следует считать возможность включения в группу проверяющих работников Банка России, не являющихся работниками подразделений службы главного аудитора, по согласованию с руководителями соответствующих структурных подразделений. Для оказания консультационной и практической помощи руководителю аудиторской проверки может быть назначен куратор аудиторской проверки - работник подразделения службы главного аудитора.

Подразделения службы главного аудитора для надлежащего исполнения своих задач и функций имеют право направлять профильным подразделениям запросы о представлении информации, касающейся деятельности объектов аудита. Запросы могут направляться до начала проведения аудиторских проверок для обеспечения предпроверочной подготовки и в период их проведения. Профильные подразделения обязаны направить запрашиваемую информацию в срок, указанный в запросе.

Руководитель аудиторской проверки обязан довести до сведения проверяющих содержание предписания и задания в части общих требований к проведению аудиторской проверки и подготовленных им вопросов (участка работы объекта аудита). Также он организует предпроверочную подготовку проверяющих путем их ознакомления с имеющейся информацией о деятельности объекта аудита. Проверяющие осуществляют предпроверочную подготовку с соблюдением требований по обеспечению сохранности полученной информации.

В отличие от множества регламентирующих документов в новом Положении прописаны права и обязанности руководителя проверки и проверяющих.

Руководитель аудиторской проверки обязан:

<1> Аудиторская проверка может проводиться выборочным или сплошным методом. Выбор метода осуществляется в зависимости от характера и объема проверяемых операций, состояния системы внутреннего контроля, результатов предыдущих аудиторских проверок. В целях получения аудиторских доказательств могут применяться различные аудиторские процедуры, в том числе обследование, наблюдение, запрос и подтверждение, расчеты и измерения, аналитические процедуры, ревизия, инвентаризация.

Руководитель аудиторской проверки имеет право:

Проверяющие обязаны:

Проверяющие имеют право:

Порядок аудиторской проверки

В новом Положении достаточно подробно прописываются процедуры проведения проверки. Последние могут представлять интерес для крупных и многофилиальных банков. Аудиторские проверки, предписанием и заданием на проведение которых предусмотрено осуществление ревизии, начинаются без предварительного информирования руководителя объекта аудита. Проверки, не предусматривающие проведения ревизии, могут проводиться с предварительным информированием руководителя объекта аудита.

Руководитель аудиторской проверки предъявляет предписание руководителю объекта аудита (лицу, исполняющему его обязанности) и вручает ему копию предписания. Куратор аудиторской проверки дистанционно или непосредственно на объекте аудита оказывает помощь руководителю аудиторской проверки в организации и проведении аудиторской проверки. Куратор аудиторской проверки осуществляет контроль за ходом аудиторской проверки и выполнением задания <1>.

<1> Аналогично звучит ст. 2340 "Контроль над выполнением задания" Международных профессиональных стандартов внутреннего аудита: "Для достижения поставленных целей, обеспечения качества работы и повышения квалификации сотрудников подразделения внутреннего аудита необходим должный контроль над выполнением задания".

Интерпретация: требуемая степень контроля будет зависеть от уровня профессионализма и опыта внутренних аудиторов, а также сложности задания. Руководитель внутреннего аудита несет общую ответственность за контроль над выполнением задания, которое делается самим внутренним аудитом или для внутреннего аудита, но может поручить осуществлять контроль сотрудникам, обладающим надлежащим опытом работы во внутреннем аудите. Надлежащие свидетельства осуществления контроля должны документироваться и храниться.

Руководитель аудиторской проверки в целях надлежащей организации ее проведения в начале проверки проводит совещание с руководством объекта аудита по вопросам:

Проверяющие обязаны оперативно информировать руководителя аудиторской проверки о выявлении недостач, излишков денежных знаков, имущества, подделки, подлогов документов и других нарушений, имеющих существенный характер, непринятие мер по устранению которых может повлечь утрату ценностей, документов, способствовать злоупотреблениям, создавать другие риски для Банка России, а также о фактах противодействия проведению аудиторской проверки.

Руководитель аудиторской проверки незамедлительно информирует лицо, назначившее аудиторскую проверку:

В новом Положении уделено особое внимание итоговому документу - акту аудиторской проверки, который должен содержать результаты проверки вопросов, предусмотренных заданием. В нем излагаются сведения о проверенном участке (участках) работы объекта аудита и об операциях, выявленные нарушения и недостатки, аргументированные ссылками на положения законодательства РФ, нормативных и иных актов Банка России и подтвержденные аудиторскими доказательствами, выводы о работе объекта аудита и соответствии (адекватности) процедур внутреннего контроля на проверенном участке работы имеющимся рискам и о состоянии системы внутреннего контроля на объекте аудита в целом.

Акт аудиторской проверки может отражать профессиональное суждение (мнение) проверяющих об имеющихся рисках в деятельности объекта аудита для Банка России, причинах возникновения нарушений, а также рекомендации по совершенствованию действующих систем управления и внутреннего контроля. К акту приобщаются поименованные в нем приложения, являющиеся его неотъемлемой частью.

Руководитель аудиторской проверки в установленный заданием срок направляет руководителю объекта аудита проект акта аудиторской проверки для рассмотрения и подписания.

Аргументированные пояснения и возражения руководителя объекта аудита по отдельным записям акта аудиторской проверки (при наличии) представляются при подписании акта аудиторской проверки. Указанные пояснения и возражения приобщаются к каждому экземпляру акта проверки в качестве его неотъемлемой части с указанием об этом при его подписании руководителем объекта аудита.

Пояснения и возражения, представленные после подписания акта аудиторской проверки, в качестве его неотъемлемой части не рассматриваются и не принимаются.

Руководитель аудиторской проверки, руководитель объекта аудита, а также главный бухгалтер объекта аудита в случаях проведения комплексных и тематических аудиторских проверок, касающихся вопросов, относящихся к компетенции бухгалтерской службы объекта аудита, подписывают акт аудиторской проверки на последней странице.

В целях устранения выявленных нарушений и недостатков руководитель объекта аудита подготавливает план мероприятий по устранению нарушений и недостатков, выявленных аудиторской проверкой. План мероприятий должен предусматривать конкретные меры по устранению нарушений и недостатков и обеспечивать не только устранение выявленных нарушений, но и совершенствование системы внутреннего контроля в целях предотвращения аналогичных нарушений в работе объекта аудита.

* * *

Положение о внутреннем аудите является новаторским документом, в котором отражается риск-ориентированный подход к проведению внутреннего аудита. Такой подход содержится далеко не во всех положениях о внутреннем контроле в кредитных организациях, и пример Банка России, можно надеяться, ускорит внедрение риск-ориентированного внутреннего аудита в кредитно-финансовую сферу.

Ю.Н.Юденков

Издательский дом

"Регламент-Медиа"

Мотивированное суждение как метод оценки правомерности банковских операций
 
Аутсорсинг функций внутреннего аудита