Опубликовано в "Управление в кредитной организации", 2013, N 4.

          Рассмотрим задачи, которые должен решать внутренний аудит на стратегическом уровне управления банком, основываясь на передовой практике в области стратегического риск-менеджмента и с учетом последних изменений российского законодательства. Статья подготовлена на основе материалов ряда проектов, проведенных при участии автора в банках стран СНГ, с применением в качестве методической основы международных профессиональных стандартов внутреннего аудита и рекомендаций Базельского комитета по банковскому надзору.

          Хорошему аудитору не нужны революции. Мы - не большевики, готовые изменять систему контроля во имя благих целей невзирая на сложности. Мы - за эволюционные изменения, позволяющие обеспечить устойчивое развитие, сохранять и приумножать ранее сделанные инвестиции. Расходы на контроль должны быть оправданными, а "все истинно великое достигается медленным и незаметным ростом", как говорили древние мудрецы. Этого добиться непросто, но тем и больше профессиональная удовлетворенность, когда в результате многолетних трудов наблюдаешь происходящие тектонические сдвиги в нормативно-методическом регулировании, растущий спрос на квалифицированный управленческий персонал, изменения в состоянии корпоративного управления компаний.

 Роль внутреннего аудита в системе управления банком

          Как известно, эффективная система внутреннего контроля является критически важным компонентом управления банком и основой для обеспечения безопасности и устойчивости банковских операций. Она призвана обеспечивать банкам реализацию задач и долгосрочных целей, в том числе по производительности и рентабельности, поддерживать надежную систему финансовой и управленческой отчетности, способствовать соблюдению законов и регулятивных норм, а также политики банка в разных областях деятельности, внутренних правил и процедур, способствовать выполнению принятых планов и снижать риск непредвиденных убытков или подрыва репутации банка <1>.

          --------------------------------

          <1> На основе Письма Банка России от 10.07.2001 N 87-Т, Письма Банка России от 13.05.2002 N 59-Т "О рекомендациях Базельского комитета по банковскому надзору".

          Совет директоров банка несет конечную ответственность за создание и поддержание менеджментом старшего звена адекватной и эффективной системы внутреннего контроля, системы измерения для оценки различных рисков деятельности банка, системы для определения рисков, касающихся уровня капитала банка, и соответствующих методов мониторинга соблюдения законов, подзаконных актов и внутренней политики. Менеджмент высшего звена банка несет ответственность за разработку процедур по выявлению, измерению, мониторингу и контролю рисков, которым подвергается банк. По крайней мере раз в год менеджменту высшего звена следует отчитываться перед советом директоров о масштабе и эффективности работы системы внутреннего контроля и процедуры оценки капитала, а совету директоров - проверять систему внутреннего контроля и процедуру оценки капитала.

          Надлежащий внутренний контроль в банковских организациях должен дополняться эффективной службой внутреннего аудита, являющейся одним из составных элементов системы внутреннего контроля, выполняющей функцию "обратной связи" в системе и независимым образом оценивающей другие контрольные инструменты в организации. Внутренний аудит является частью мониторинга системы внутреннего контроля банка и его внутренней процедуры оценки капитала, поскольку внутренний аудит обеспечивает независимую оценку адекватности и соблюдения установленных методик и процедур банка. В этом качестве служба внутреннего аудита содействует менеджменту старшего звена и совету директоров в эффективном и действенном исполнении своих обязанностей.

          Наличие у банка стратегии развития и эффективно функционирующей комплексной системы стратегического планирования является базой для эффективного функционирования риск-ориентированной системы управления. В стратегии банк показывает, как намеченные им ориентиры по капиталу обоснованы и как они отвечают общему характеру риска и операционной среды. Очевидно, что служба внутреннего аудита ни в коей мере не является разработчиком стратегии - этим должно заниматься специализированное подразделение. При этом служба внутреннего аудита может выполнять функцию объективной внутренней оценки стратегических документов: тестировать стратегические гипотезы и стратегию в целом, а не только осуществлять пассивный контроль соблюдения процедур планирования.

          Внутренний аудит не во всех случаях дает ожидаемые результаты. Например, когда руководство своевременно не предпринимает мер по исправлению выявленных недостатков. Такие задержки могут происходить в силу того, что руководство не признает роли и значения внутреннего аудита, и из-за того, что менеджмент и совет директоров не получают своевременных и регулярных контрольных отчетов, в которых указываются недостатки и меры по их исправлению, принятые руководством. Также возможно, что сотрудники внутреннего аудита не проявляют достаточную компетентность и не имеют соответствующей подготовки в области финансовых инструментов и рынков, систем электронной информации и других сложных областях.

          В других случаях фрагментарный характер аудиторских проверок (серии разрозненных проверок отдельных видов операций в рамках одного и того же подразделения, региона или юридического лица) не давал возможности глубоко вникнуть в суть банковских операций. Если бы в ходе проверок аудиторы могли отслеживать весь процесс банковских операций от начала до конца (например, прослеживать отдельную операцию до ее отражения в финансовой отчетности), это позволило бы им лучше понимать данный процесс. Более того, это дало бы им возможность проверять и тестировать качество контроля на каждом этапе процесса.

Изменение роли внутреннего аудита

           Много времени и усилий потрачено на то, чтобы функция внутреннего аудита была создана и повсеместно заняла свое место в системах корпоративного управления банков, укрепила позиции в системах управления рисками и внутреннего контроля. Мы помним, как трудно и долго создавались службы внутреннего контроля в соответствии с Положением от 28.08.1997 N 509 "Об организации внутреннего контроля в банках" <1>, как обновлялись службы внутреннего контроля (аудита) в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П). Но, несмотря на все сложности, изменение роли службы внутреннего аудита стало реальностью. Финансовый кризис 2008 - 2009 гг. заставил акционеров, высший менеджмент по-новому расставить акценты в бизнесе и пересмотреть параметры риск-аппетита, а регуляторов - активно менять правила банковского бизнеса.

          --------------------------------

          <1> Введено в действие Приказом Банка России от 28.08.1997 N 02-372.

          Изменения законодательства коснулись и внутреннего аудита. За прошедшие несколько лет было принято сразу несколько законодательных и нормативных актов (это довольно большой перечень документов), затрагивающих внутренний аудит в крупнейших компаниях с государственным участием в капитале и федеральных учреждениях (например, Агентство по страхованию вкладов, Банк развития, Банк России, Казначейство Минфина, Росавтодор, Росатом, Роструд, ФАС, ФНС), а также в страховых организациях и банках. Понятие "внутренний аудит в страховых и банковских организациях" сейчас закреплено на высшем законодательном уровне как системный институт корпоративного управления (Федеральный закон от 23.07.2013 N 234-ФЗ "О внесении изменений в Закон Российской Федерации "Об организации страхового дела в Российской Федерации", Федеральный закон от 02.07.2013 N 146-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" (далее - Закон N 146-ФЗ)).

          Соответственно, необходимо меняться и внутреннему аудиту. Ожидается издание Банком России обновленного Положения N 242-П. По мнению ряда экспертов <1>, подтверждаемому и мнением представителей регулятора <2>, для выполнения недавно принятых рекомендаций БКБН "Функция внутреннего аудита в банках" (июнь 2012 г., БКБН 223) и с учетом других изменений в нормативно-методических документах <3> банкам уже сейчас требуется принять ряд мер по совершенствованию внутреннего аудита:

          - пересмотреть внутренние документы, касающиеся функции внутреннего аудита, приводя их в соответствие с нормативными документами и международными профессиональными стандартами;

          - более точно определить функции и задачи внутреннего аудита во взаимодействии с другими службами, осуществляющими контрольные функции;

          - повысить требования к независимости внутренних аудиторов;

          - разработать программы повышения качества работы внутреннего аудита;

          - на регулярной основе проводить оценку функции внутреннего аудита;

          - строить эффективные взаимоотношения с регуляторами.

          --------------------------------

          <1> См. обзор "The state of Internal Audit, 2013", подготовленный Thomson Reuters Accelus.

          <2> Войлуков А.А., Пашковский Д.А. Функция внутреннего аудита: новый взгляд на управление кредитной организацией // Управление в кредитной организации. 2012. N 2. С. 30 - 36; Стратегический контроль в российских банках - возможно ли это? // Внутренний контроль в кредитной организации. 2013. N 1. С. 8 - 13.

          <3> Письмо Банка России от 29.06.2011 N 96-Т "О Методических рекомендациях по организации кредитными организациями внутренних процедур оценки достаточности капитала"; Письмо Банка России от 06.02.2012 N 14-Т "О рекомендациях Базельского комитета по банковскому надзору "Принципы совершенствования корпоративного управления".

Внутренний аудит в банках ждет дальнейшее качественное развитие

           Это может показаться странным, но закрепление в нормативно-методических документах новой, "усиленной", роли внутреннего аудита влечет для внутренних аудиторов новые сложности и задачи. Усиление этой роли сопровождается более четким определением обязанностей менеджмента в области управления рисками и внутреннего контроля, систематизацией других контрольных функций.

          Во-первых, внутренний аудит должен принять определенные меры для координации деятельности контрольных подразделений, прежде всего подразделений комплаенс-контроля <1>. Задача знакомая и варианты ее решения известны <2>. Во-вторых, необходимо перенести акценты в своей работе с микроуровня (работников и отдельных операций) и среднего уровня (подразделений и процессов) на уровень стратегический, макроуровень системы управления рисками и контроля (согласно общепринятым моделям COSO IC-IF и COSO ERM - уровень компании). Это означает, что де-факто уже сложилась новая стратегическая ситуация, в которой от руководителя внутреннего аудита требуется составить новый перспективный план работы.

          --------------------------------

          <1> См.: Практическое указание Института внутренних аудиторов 2050-2 "Схемы предоставления гарантий" (Assurance maps); Малыхин Д.В. Обзор нормативных актов по вопросам взаимодействия внутреннего и внешнего аудита // Аудиторские ведомости. 2013. N 8.

          <2> См.: Акулов А.В., Малыхин Д.В., Рыжих Н.Н. Некоторые особенности организации комплаенс-контроля в российских банках // Бухгалтерия и банки. 2006. N N 9, 10.

          Что положить в основу плана?

          В данном вопросе регулятор пока не высказал своих детальных рекомендаций. Ни Методические рекомендации по проведению проверки системы управления банковскими рисками в кредитной организации (ее филиале), доведенные Письмом Банка России от 23.03.2007 N 26-Т, ни Методические рекомендации по проведению проверки и оценки организации внутреннего контроля в кредитных организациях, содержащиеся в Письме Банка России от 24.03.2005 N 47-Т, не дают рекомендаций по оценке работы подразделений банка, в том числе и службы внутреннего аудита, в области стратегических рисков.

          У профессиональных организаций и экспертного сообщества такие рекомендации имеются, хотя и не получили еще серьезного развития. Прежде всего следует привлечь внимание и внутренних аудиторов, и их ключевого "клиента" - топ-менеджмента - к Практическому указанию Института внутренних аудиторов 2120-3 "Включение в область внутреннего аудита рисков, связанных с достижением стратегических целей" (см. Приложение 1), которое рекомендуется использовать с учетом всей методической базы знаний института и современных методик оценки организации систем управления (в т.ч. Balanced Scorecard, GRC, методики рейтинговых агентств, методики оценки рисков ответственности менеджмента страховыми компаниями и др.). В нем обращается внимание на роль внутреннего аудита в оценке системы управления рисками на стратегическом уровне. Учитывая удаленность макроуровня от отдельных банковских операций и процессов, в деятельности внутреннего аудитора на макроуровне большее значение приобретают консультационные виды работ, хотя и сохраняется объем работ для аудиторских заданий в классической форме проверок и оценки состояния контроля.

          Спектр областей деятельности на макроуровне, в которых внутреннему аудитору следует предусмотреть те или иные виды работ, примерно следующий (см. Приложение 2) <1>:

          1. Организация корпоративного управления.

          2. Подготовка и организация контроля исполнения стратегических планов развития банка.

          3. Организация работы с персоналом банка, подготовка и реализация кадровой политики.

          4. Организация комплексной подготовки и тестирования планов обеспечения бесперебойности и восстановления деятельности банка в нештатных ситуациях.

          5. Организация работы других подразделений, "предоставляющих гарантии".

          6. Организация работы с инвесторами, рейтинговыми агентствами и соблюдение правил раскрытия информации.

          7. Организация работы по выявлению и систематизации стратегических рисков, в том числе наличия достаточных ресурсов для развития, сбалансированность процессов развития и текущей деятельности.

          --------------------------------

          <1> Любопытно отметить, что некоторые из этих позиций с отличиями, которые можно легко объяснить, уже были определены Банком России объектами контроля в 1997 г.

          Разумеется, работа на отмеченных направлениях требует от внутренних аудиторов новых знаний и навыков. Поддержку им в этой работе может и должен оказывать специализированный комитет по аудиту совета директоров, в задачу которого входит организация контроля процессов управления рисками и контроля в банке. И ключевым процессом в области управления рисками является, разумеется, процесс планирования капитала на стратегическом уровне и тестирование прогнозов выполнения риск-показателей.

          Учитывая нынешние и предстоящие изменения в макроэкономике и скорость, с которой они происходят, изменить привычный для многих российских банков формат работы внутреннего аудита - актуальная необходимость.

Приложение 1

Практическое указание 2120-3

           Практическое указание Института внутренних аудиторов "2120-3. Включение в область внутреннего аудита рисков, связанных с достижением стратегических целей" принято на основе соответствующего исходного стандарта МПСВА <1> "2120. Управление рисками":

          2120.А1. Внутренний аудит должен оценивать риски, связанные с корпоративным управлением, операционной деятельностью организации и ее информационными системами, в части:

          - достижения стратегических целей организации;

          - достоверности и целостности информации о финансово-хозяйственной деятельности;

          - эффективности и результативности деятельности и программ;

          - сохранности активов;

          - соответствия требованиям законов, нормативных актов, политики, процедур и договорных обязательств.

          --------------------------------

          <1> МПСВА - международные профессиональные стандарты внутреннего аудита.

          Практическое указание определяет следующие нормы, которыми руководствуются внутренние аудиторы.

          1. Исполнительное руководство несет ответственность за идентификацию риска и управление риском в процессе достижения стратегических целей организации. Ответственность совета директоров состоит в том, чтобы удостовериться, что все стратегические риски идентифицированы, поняты и поддерживаются на допустимом уровне в пределах устойчивости к риску. Внутреннему аудиту следует ознакомиться со стратегией организации, а также с тем, как выполняется стратегия, со связанными рисками и с тем, как осуществляется управление этими рисками.

          2. Для того чтобы внутренний аудит имел возможность сфокусироваться на наиболее существенных для организации рисках, стратегия организации должна стать одним из основополагающих элементов при разработке риск-ориентированного плана аудита. Это согласует деятельность внутреннего аудита со стратегическими приоритетами организации и поможет обеспечить выделение ресурсов на наиболее важные направления.

          3. При разработке плана аудита внутреннему аудиту следует максимально использовать работу исполнительного руководства и других контрольных функций для того, чтобы с их помощью выявить риски, которые представляют наиболее существенные угрозы и возможности для достижения стратегических целей организации.

          4. Стратегические угрозы и возможности будут определять действия исполнительного руководства по созданию и выбору приоритетных краткосрочных и долгосрочных стратегических проектов организации или наиболее значимых инвестиций, приносящих выгоду заинтересованным сторонам.

          5. При разработке плана аудита внутреннему аудиту следует рассмотреть возможность проведения аудиторских проверок в отношении таких стратегических инициатив. Это позволит внутреннему аудиту определить, осуществляется ли управление стратегическими рисками на приемлемом уровне путем оценки некоторых или всех принимаемых мер по снижению риска. Также возможно предусмотреть оказание внутренним аудитом консультационных услуг, что непосредственно повлияет на развитие организации.

          6. После определения стратегических рисков, которые включаются в план аудита, внутренний аудит должен определить, имеются ли требуемые навыки и знания в подразделении внутреннего аудита для проведения соответствующих аудиторских проверок или оказания консультационных услуг. Возможно, потребуется привлечение дополнительных ресурсов (внутренних или внешних) со специализированными навыками и знаниями, достаточными для проведения аудита.

Приложение 2

Задачи внутреннего аудита на макроуровне

           В системе внутреннего контроля основных видов рисков банковской деятельности на макроуровне внутренний аудит выполняет несколько задач <1>, учитывая, что риски на макроуровне предопределяются следующими внешними по отношению к банку макроэкономическими и нормативно-правовыми условиями деятельности, а именно:

          - не отвечающая интересам банка текущая емкость и доходность отечественных и международных финансовых рынков, на которых банк проводит операции и сделки;

          - негативные общие и структурные (отраслевые и региональные) тенденции экономического развития;

          - неблагоприятные изменения государственной экономической политики;

          - неблагоприятные изменения отечественных и зарубежных нормативно-правовых условий банковской деятельности.

          --------------------------------

          <1> Подготовлено на основе Положения Банка России от 28.08.1997 N 509 "Об организации внутреннего контроля в банках" и концепции COSO IC-IF (модель COSO "Internal Control-Integrated Framework", ред. 2013 г.).

          Основной объект системы внутреннего контроля на этом уровне - состояние аналитической работы с точки зрения учета в процессе управления банком влияния экономических и нормативно-правовых условий (и их возможных изменений) на эффективность выбранных направлений текущего и перспективного развития банка.

          На стадии предварительного контроля службы внутреннего аудита оценивают полноту, состав и своевременность обновления исходных баз данных, на основе которых аналитические и функциональные подразделения банка осуществляют перспективную оценку и прогноз ситуации. Проверяется наличие порядка оперативного и систематического информирования руководства банка:

          - о выводах и предложениях аналитических служб по текущей ситуации;

          - о прогнозах развития ситуации на соответствующем сегменте рынка;

          - в экономике в целом, в сфере нормативно-правового обеспечения банковской деятельности.

          На стадии текущего контроля служба внутреннего аудита периодически проверяет исполнение задач по анализу и прогнозированию ситуации ответственными работниками и структурными подразделениями банка, а также своевременность доведения выводов и предложений аналитического характера до руководства банка. Отслеживается наличие в функциональных подразделениях банка системы контроля конкурентоспособности качества и стоимости предлагаемых банком продуктов на рынке, сравнение их с аналогичными услугами других кредитных организаций. Оценивается своевременность реагирования функциональных подразделений на действия конкурентов, а также на изменения хозяйственной конъюнктуры в нефинансовом секторе.

          На стадии последующего контроля служба внутреннего аудита оценивает соответствие выводов и рекомендаций аналитических служб реальному развитию ситуации, подготавливает соответствующие предложения руководству банка.

Д.В.Малыхин

Дипломированный внутренний аудитор