Внутренний контроль и аудит в коммерческом банке (90
..pdf
|
|
|
Совет |
Управление |
|
|
|
|
директоров |
внутреннего |
|
|
|
|
|||
|
|
|
|
|
аудита |
|
|
|
Правление |
Ответственный |
|
|
|
|
банка |
||
|
|
|
сотрудник по |
||
|
|
|
|
|
|
|
|
|
|
|
противодействию |
|
|
|
|
|
легализации |
|
|
|
|
|
(отмыванию) |
Служба внутреннего |
|
|
доходов, полученных |
||
Служба |
преступным путём |
||||
контроля |
информационной |
|
|||
|
|
|
безопасности |
|
|
|
|
|
|
||
|
|
|
|
|
|
Служба |
Управление |
Прочие |
контроля за |
контроля за |
подразделения, |
банковскими |
деятельностью |
осуществляющие |
рисками |
филиалов |
контроль |
Рис. 8. Смешанная форма организации СВК7
7 Составлено по: Соколов Б. Н., Рукин В. В. Системы внутреннего контроля (организация, методики, практика). С. 21.
11
Служба |
Совет |
Управление |
директоров |
||
внутреннего |
|
внутреннего |
контроля |
|
аудита |
|
Правление |
|
Служба |
банка |
Ответственный |
|
||
контроля |
|
сотрудник по |
за банковскими |
|
противодействию |
рисками |
|
легализации |
|
|
(отмыванию) |
|
|
доходов, |
Управление |
|
полученных |
контроля |
|
преступным |
за деятельнос- |
|
путём |
тью филиалов |
|
|
Ответственный |
Контроль |
Служба |
сотрудник |
за деятельностью |
информационной |
по правовым |
профессионального |
безопасности |
вопросам |
участника РЦБ |
|
Рис. 9. Децентрализованная форма организации СВК8
|
15% |
|
|
|
|
|
Централизованная форма |
|
|
|
|
|
|
|
|
27% |
58% |
|
Смешанная форма |
|
|||
|
|||
|
Децентрализованная |
||
|
|
||
|
|
Рис. 10. Формы организации СВК (СВА) в филиалах9
8Составлено по: Соколов Б. Н. , Рукин В. В. Системы внутреннего контроля (организация, методики, практика. С. 21.
9Составлено по: Малюта Н. Взгляд изнутри. Исследование состояния функции внутрен-
него аудита в российских банках. URL: http://www.iia-ru.ru/files/documents /issledovanie_VA_v_russian_bankah.pdf (дата обращения 17.04.2011).
12
Контроль за сохранностью активов
Контрольза достоверностью финансовойотчетности
Комплаенс-контроль
Оценка соблюдениядоговорных обязательств
Оценка операционной эффективности
Оценка достижения поставленныхцелейзадач
Оценка рисков
0% 20% 40% 60% 80% 100%
Рис. 11. Процедуры внутреннего контроля10
Сильные и слабые стороны работы СВК (СВА)
СВА 
СВК
Таблица 411
Сильные стороны |
|
|
Слабые стороны |
||
|
1 |
|
|
|
2 |
|
|
|
|
||
|
|
По мнению |
руководителей банков |
||
результативное |
|
предупреждение |
слабое техническое обеспечение; |
||
рисков совершения ошибок; |
|
недостаточно профессиональные оценки |
|||
мониторинг |
требований |
регули- |
|
рисков; |
|
рующих органов |
|
|
только последующий характер контроля |
||
|
|
По мнению руководителей СВК (СВА) |
|||
|
|
|
|
||
профессиональный, |
независимый |
|
нехватка сотрудников; |
||
мониторинг, основанный на совре- |
зависимость от мнения руководителей |
||||
менных технологиях, и упреждение |
|
банка; |
|||
возможных ошибок |
|
|
|
испытывает негативное отношение; |
|
|
|
|
|
|
незнание операций с ценными бумагами |
|
|
|
|
|
и иностранной валютой; |
|
|
|
|
неполно анализирует операции и, как |
|
|
|
|
|
|
правило, после её совершения |
|
|
|
|
|
|
10Малыхин Д. В. Исследование состояния внутреннего контроля в российских банках
//ИА Банкир.ру. URL: http://bankir.ru/file/blob138376512267666446849371657929361 (дата обращения 23.04.2011).
11Там же.
13
Рис. 12. Задачи службы внутреннего аудита и внутреннего контроля12
12 Составлено по: Внутренний контроль в банке: проблемы и парадоксы. URL: http://www.bankir.lv/vnutrennii-kontrol-v-banke-problemy-i-paradoksy.html (дата обращения 21.04.2011).
14
Таблица 513
Краткая характеристика международных документов в области внутреннего контроля
Документ |
|
Характеристика |
|
||
|
1 |
|
|
2 |
|
Стандарт «Цели |
контроля |
Разработан Ассоциацией аудита и контроля инфор- |
|||
при использовании инфор- |
мационных систем ISACA. Представляет собой систему |
||||
мационных |
технологий» |
взглядов, обеспечивающую руководство бизнес-процесса |
|||
(COBIT), 1996 г. |
|
инструментом для разумного и эффективного исполнения |
|||
|
|
|
его обязанностей по контролю информационных систем, |
||
|
|
|
глобально одобренный сбор целей контроля, организо- |
||
|
|
|
ванных в процессы и зоны и связанных с бизнес-требова- |
||
|
|
|
ниями к информации. |
|
|
«Контроль и аудит систем» |
Подготовлен |
Исследовательским фондом |
Института |
||
(SAC), 1994 г. |
|
внутренних аудиторов (The Institute of Internal Auditors |
|||
|
|
|
Research Foundation's Systems Auditability and Control). |
||
|
|
|
Предлагает поддержку внутренним аудиторам в вопросах |
||
|
|
|
контроля и аудита информационных систем и техно- |
||
|
|
|
логий. Это детальное руководство о влиянии различных |
||
|
|
|
аспектов информационной технологии на систему |
||
|
|
|
средств внутреннего контроля. |
|
|
«Внутренний |
|
контроль: |
Подготовлен |
Комитетом спонсорских |
организаций |
интегрированный |
подход» |
Комиссии Тридуэя. Дает рекомендации менеджменту по |
|||
(COSO), 1992 г. |
|
вопросам оценки, описания и совершенствования систем |
|||
|
|
|
контроля, представляет общее определение внутреннего |
||
|
|
|
контроля и делает акцент на том, что средства |
||
|
|
|
внутреннего контроля помогают организациям достичь |
||
|
|
|
эффективных и целесообразных операций, надежной |
||
|
|
|
финансовой отчетности и соответствия применимым |
||
|
|
|
законам и правилам. Документ обеспечивает руковод- |
||
|
|
|
ством по оценке систем внутреннего контроля. |
||
Указание о |
рассмотрении |
Утверждены Американским институтом дипломирован- |
|||
структуры |
внутреннего |
ных бухгалтеров. Дают указание внешним аудиторам |
|||
контроля при аудите фи- |
относительно влияния внутреннего контроля на плани- |
||||
нансовой отчетности (SAS |
рование и проведение аудита финансовой отчетности |
||||
55), с внесенными позднее |
организации, адаптируют 5 компонентов внутреннего |
||||
изменениями |
|
|
контроля документа COSO, обсуждают влияние |
||
(SAS 78), 1995 г. |
|
внутреннего контроля организации на планирование и |
|||
|
|
|
проведение аудита финансовой отчетности, обращаются |
||
|
|
|
к взаимосвязи между средствами внутреннего контроля и |
||
|
|
|
риском контроля. |
|
|
|
|
|
|
|
|
13 Составлено по: Сравнение концепций внутреннего контроля // ИА Банкир. ру. URL: http://bankir.ru/technology/article/1383854 (дата обращения 03.05.2011).
15
Таблица 6
Основные задачи совершенствования системы управления рисками и системы внутреннего контроля банка
|
Организационное |
|
|
|
Возможные задачи |
|
|
|
||
|
звено |
|
|
|
|
|
|
|
|
|
|
Органы управления |
|
Совершенствование работы органов управления |
|
|
|||||
|
|
|
Развитие организационно-функциональной структуры |
|
|
|||||
|
|
|
Организация управления стратегическими рисками |
|
|
|||||
|
|
|
Организация контроля работы органов и временных |
|
||||||
|
|
структур управления |
|
|
|
|
|
|
||
|
|
|
Разработка этических норм |
|
|
|
|
|||
|
Менеджмент |
|
Нормативно-методическоеобеспечениебизнес-процессов |
|
|
|||||
|
подразделений |
|
Ведение электронной библиотеки документов |
|
|
|||||
|
|
|
Разработка планов развития |
|
|
|
|
|||
|
|
|
Формирование |
планов |
обеспечения |
бесперебойности |
|
|||
|
|
функционирования |
|
|
|
|
|
|
||
|
Управление |
|
Разработка моделей измерения финансовых рисков |
|
|
|||||
|
рисками |
|
Документирование лимитов и полномочий |
|
|
|||||
|
|
|
Разработка |
схем |
управления |
операционными, |
|
|||
|
|
правовыми и репутационными рисками |
|
|
|
|
||||
|
Специализирован- |
|
Комплаенс-контроль |
|
|
|
|
|
||
|
ные службы кон- |
|
Бухгалтерский |
последующий |
контроль устранения |
|
||||
|
троля |
ошибок |
|
|
|
|
|
|
||
|
|
|
Контроль исполнительской дисциплины |
|
|
|||||
|
Внутренний аудит |
|
Планирование аудита |
|
|
|
|
|
||
|
|
|
Работа с внешними аудиторами |
|
|
|
|
|||
|
|
|
Отчетность на Совет директоров |
|
|
|
|
|||
|
|
|
Контроль за выполнением плана мероприятий |
|
|
|||||
|
|
|
|
|
|
|
|
Таблица 7 |
|
|
|
|
Принципы внутреннего аудита |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|||
|
Принцип |
|
|
|
Содержание принципа |
|
|
|||
|
Принцип ответственности |
|
Каждый внутренний аудитор (как субъект внутреннего |
|
||||||
|
|
|
|
контроля), |
работающий |
в |
организации, |
за |
|
|
|
|
|
|
ненадлежащее выполнение |
контрольных функций |
|
||||
|
|
|
|
должен нести экономическую, административную и |
|
|||||
|
|
|
|
дисциплинарную ответственность. Ответственность |
|
|||||
|
|
|
|
должна быть формально установлена за выполнение |
|
|||||
|
|
|
|
каждой контрольной функции, ясно очерченной и |
|
|||||
|
|
|
|
формально закрепленной за конкретным субъектом. В |
|
|||||
|
|
|
|
противном случае субъект не будет в должной мере |
|
|||||
|
|
|
|
осуществлять контроль. |
|
|
|
|
||
16
Принцип сбалансированности |
Аудитору нельзя предписывать контрольные функции, |
|||||||
|
|
|
|
не обеспеченные средствами для их выполнения; не |
||||
|
|
|
|
должно быть средств, не связанных той или иной |
||||
|
|
|
|
функцией. При определении обязанностей субъекта |
||||
|
|
|
|
контроля должен быть предписан соответствующий |
||||
|
|
|
|
объем прави возможностей, инаоборот. |
||||
Принцип |
своевременного |
Информация об отклонениях должна быть пред- |
||||||
сообщения об отклонениях |
|
ставлена лицам, уполномоченным принимать решения |
||||||
|
|
|
|
по соответствующим отклонениям, в максимально |
||||
|
|
|
|
короткие сроки. Если сообщение запаздывает, |
||||
|
|
|
|
нежелательные последствия отклонений усугубляют- |
||||
|
|
|
|
ся; объект переходит уже в другое состояние (дейст- |
||||
|
|
|
|
вие), что лишает смысла сам проведенный контроль. |
||||
|
|
|
|
При предварительном |
контроле |
несвоевременное |
||
|
|
|
|
сообщение о возможности возникновения отклонений |
||||
|
|
|
|
также лишает смысла проведенный контроль. |
||||
Принцип |
соответствия |
Степень сложности системы внутреннего аудита долж- |
||||||
контролирующей и |
контро- |
на соответствовать степени сложности подкон- |
||||||
лируемой систем |
|
|
трольной системы. Успешно справиться с разно- |
|||||
|
|
|
|
образием в подконтрольной системе может только |
||||
|
|
|
|
такое контролирующее устройство, которое само |
||||
|
|
|
|
достаточно разнообразно. Необходимо, чтобы |
||||
|
|
|
|
адекватность достигалась в том, чтобы звенья системы |
||||
|
|
|
|
внутреннего контроля могли гибко настраиваться на |
||||
|
|
|
|
изменения соответственных звеньев системы объектов |
||||
|
|
|
|
внутреннего аудита компании. |
|
|||
Принцип комплексности |
|
Объекты различного типа должны быть охвачены |
||||||
|
|
|
|
адекватным внутренним аудитом; нельзя добиться |
||||
|
|
|
|
общей эффективности, сосредоточив аудит только над |
||||
|
|
|
|
относительно узким кругом объектов. |
||||
Принцип |
разделения |
обязан- |
Функции между служащими распределяются таким |
|||||
ностей |
|
|
|
образом, чтобы за одним человеком не были |
||||
|
|
|
|
закреплены одновременно следующие функции: |
||||
|
|
|
|
санкционирование операций с определенными акти- |
||||
|
|
|
|
вами, регистрация данных операций, обеспечение |
||||
|
|
|
|
сохранности данных активов, осуществление их |
||||
|
|
|
|
инвентаризации. Во избежание злоупотреблений и для |
||||
|
|
|
|
эффективности аудита эти функции должны быть |
||||
|
|
|
|
распределены между несколькими лицами. |
||||
Принцип |
разрешения |
и |
Должно быть обеспечено формальное разрешение и |
|||||
одобрения |
|
|
|
одобрение всех финансово-хозяйственных операций |
||||
|
|
|
|
ответственными официальными лицами в пределах их |
||||
|
|
|
|
полномочий. Формальное разрешение – это формаль- |
||||
|
|
|
|
ное решение либо относительно общего типа хозяйст- |
||||
|
|
|
|
венных операций, либо относительно какой-либо кон- |
||||
|
|
|
|
кретной |
операции. |
Формальное |
одобрение – это |
|
|
|
|
|
конкретный случай использования общего разреше- |
||||
|
|
|
|
ния, выданного администрацией. Без наличия фор- |
||||
|
|
|
|
мально |
установленных |
процедур |
санкционирования |
|
|
|
|
|
невозможно считать |
систему внутреннего контроля |
|||
|
|
|
|
организации эффективной. |
|
|||
17
Таблица 8
Основные требования к организации системы внутреннего аудита
Требование |
Содержание требования |
||
Требование ущемления |
Необходимо создавать специальные условия, при которых |
||
интересов |
|
любые отклонения ставят какого-либо работника или под- |
|
|
|
разделение организации в невыгодное положение и по- |
|
|
|
буждают их к регулированию «узких мест». Необхо- |
|
|
|
димость таких условий обусловливается возможностью |
|
|
|
появления отклонений, в которых определенные работ- |
|
|
|
ники или коллектив заинтересованы. |
|
Недопущение |
концентра- |
Сосредоточение первичного контроля в одних руках может |
|
ции прав первичного кон- |
привести к недостоверному учету в интересах данного |
||
троля в руках одного лица |
лица. |
||
Требование |
|
Функционирование системы внутреннего аудита не может |
|
заинтересованности |
быть эффективным без честности, должной заинтересо- |
||
администрации |
|
ванности и участия должностных лиц управления. |
|
Требование |
|
Ставящиеся перед центрами ответственности контрольные |
|
приемлемости |
|
цели и задачи должны быть рациональными. Необходимо |
|
(пригодности) |
|
целесообразное распределение контрольных функций. |
|
методологии внутреннего |
Программы внутреннего аудита и применяемые методы |
||
контроля |
|
должны быть целесообразными. |
|
Требование |
|
Система внутреннего контроля должна быть построена |
|
непрерывности |
развития |
таким образом, чтобы можно было гибко ее «настраивать» |
|
и совершенствования |
на решение новых задач, возникающих в результате |
||
|
|
изменения внутренних и внешних условий функциониро- |
|
|
|
вания организации, и обеспечить возможность ее расшире- |
|
|
|
ния и модернизации. |
|
Требование |
|
Абсолютный контроль над обычными незначительными |
|
приоритетности |
операциями (например, мелкими расходами) не имеет |
||
|
|
смысла. Но если высшее руководство считает, что какие- |
|
|
|
либо области деятельности организации имеют страте- |
|
|
|
гическое значение, то в каждой такой области обязательно |
|
|
|
должен быть налажен контроль. |
|
Требование |
единичной |
Каждая отдельная контрольная функция должна быть |
|
ответственности |
закреплена только за одним центром ответственности. |
||
|
|
Недопустимо закрепление отдельной функции за двумя |
|
|
|
или несколькими центрами ответственности. Но закреп- |
|
|
|
ление нескольких контрольных функций за одним центром |
|
|
|
ответственности вполне допустимо. |
|
Требование |
|
Временное выбытие отдельных субъектов внутреннего |
|
потенциального |
контроля не должно прерывать контрольные процедуры. |
||
функционального |
Для этого каждый внутренний контролер должен уметь |
||
выполнять контрольную работу вышестоящего, нижестоя- |
|||
замещения |
|
||
|
щего и одного-двух работников своего уровня во избежа- |
||
|
|
ние потери адекватной связи с объектом контроля за время |
|
|
|
их выбытия. Данный принцип распространяется и на цент- |
|
|
|
ры ответственности. |
|
Требование |
|
Эффективность функционирования системы внутреннего |
|
регламентации |
|
аудита прямо связана с тем, насколько подчинена |
|
|
|
регламенту контрольная деятельность в организации. |
|
18
Таблица 9
Международные профессиональные стандарты внутреннего аудита (в редакции, действующей с 01.01.2011 г.)14
№ |
|
Название Стандарта |
Содержание стандарта |
|||
|
|
|
|
Стандарты |
качественных характеристик |
|
1000 |
Цели, |
полномочия и |
Цели, полномочия и ответственность внутреннего |
|||
|
ответственность |
|
аудита должны быть определены во внутреннем |
|||
|
|
|
|
|
|
документе организации (Положении о внутреннем |
|
|
|
|
|
|
аудите), соответствующем Определению внутреннего |
|
|
|
|
|
|
аудита, Кодексу этики и Стандартам. |
1010 |
Признание |
Определе- |
В Положении о внутреннем аудите должно содер- |
|||
|
ния внутреннего ауди- |
жаться указание на обязательность применения |
||||
|
та, |
Кодекса |
этики |
Определения внутреннего аудита, Кодекса этики и |
||
|
и стандартов в Положе- |
Стандартов. Руководителю внутреннего аудита сле- |
||||
|
нии |
о |
внутреннем |
дует обсудить Определение внутреннего аудита, |
||
|
аудите |
|
|
Кодекс этики и Стандарты с высшим исполнительным |
||
|
|
|
|
|
|
руководством и Советом. |
1100 |
Независимость |
|
Внутренний аудит должен быть независимым, а внут- |
|||
|
и объективность |
|
ренние аудиторы должны быть объективными при |
|||
|
|
|
|
|
|
выполнении своих обязанностей. |
1110 |
Организационная |
|
Руководитель внутреннего аудита должен отчи- |
|||
|
независимость |
|
тываться органу управления такого уровня, который |
|||
|
|
|
|
|
|
позволил бы подразделению внутреннего аудита |
|
|
|
|
|
|
выполнять свои обязанности. Руководитель внутрен- |
|
|
|
|
|
|
него аудита должен подтверждать Совету факт |
|
|
|
|
|
|
организационной независимости внутреннего аудита, |
|
|
|
|
|
|
по крайней мере, один раз в год. |
1120 |
Индивидуальная |
|
Внутренние аудиторы должны быть беспристрастны и |
|||
|
объективность |
|
непредвзяты в своей работе и избегать конфликта |
|||
|
|
|
|
|
|
интересов любого рода. |
1130 |
Факторы, отрицательно |
Если независимость или объективность подвергаются |
||||
|
влияющие на независи- |
или воспринимаются как подвергающиеся отрица- |
||||
|
мость и объективность |
тельному воздействию, информация об этом должна |
||||
|
|
|
|
|
|
быть раскрыта соответствующим сторонам. Метод |
|
|
|
|
|
|
раскрытия информации зависит от характера |
|
|
|
|
|
|
отрицательного воздействия. |
1200 |
Профессионализм |
|
Внутренние аудиторы должны выполнять аудиторские |
|||
|
и профессиональное |
задания на должном профессиональном уровне. |
||||
|
отношение к работе |
|
||||
1210 |
Профессионализм |
|
Внутренние аудиторы должны обладать знаниями, |
|||
|
|
|
|
|
|
навыками и другими компетенциями, необходимыми для |
|
|
|
|
|
|
выполнения своих должностных обязанностей. Для |
|
|
|
|
|
|
выполнения стоящих перед подразделением внутреннего |
|
|
|
|
|
|
аудита задач сотрудники подразделения должны |
|
|
|
|
|
|
коллективно обладать необходимыми знаниями, |
|
|
|
|
|
|
навыками идругими компетенциями или получать их. |
14 Текст приведен в соответствии с переводом, выполненным Некоммерческим партнерством «Институт внутренних аудиторов».
19
1220 |
Профессиональное |
Внутренние аудиторы должны быть добросовестны и |
||
|
отношение к работе |
применять свои навыки и умения, как это ожидается от |
||
|
|
|
|
здравомыслящего и компетентного внутреннего |
|
|
|
|
аудитора. Профессиональное отношение к работе не |
|
|
|
|
означает, что аудитор не имеет права на ошибку. |
1230 |
Непрерывное |
профес- |
Внутренние аудиторы должны совершенствовать свои |
|
|
сиональное развитие |
знания, навыки и другие компетенции путем непре- |
||
|
|
|
|
рывного профессионального развития. |
1300 |
Программа |
гарантии |
Руководитель внутреннего аудита должен разработать |
|
|
и повышения |
качества |
и поддерживать программу гарантии и повышения |
|
|
внутреннего аудита |
качества, охватывающую все виды деятельности внут- |
||
|
|
|
|
реннего аудита. |
1310 |
Требования программы |
Программа гарантии и повышения качества должна |
||
|
гарантии и повышения |
включать как внутренние, так и внешние оценки. |
||
|
качества |
|
|
|
1320 |
Отчетность |
по про- |
Руководитель внутреннего аудита должен информи- |
|
|
грамме |
гарантии |
ровать высшее исполнительное руководство и Совет о |
|
|
и повышения качества |
результатахпрограммыгарантии иповышениякачества. |
||
|
|
|
|
Стандарты деятельности |
2000 |
|
Управление |
|
Руководитель внутреннего аудита должен эффективно |
|
|
внутренним аудитом |
управлять подразделением внутреннего аудита таким об- |
|
|
|
|
|
разом, чтобыобеспечитьегополезностьдляорганизации. |
2010 |
|
Планирование |
Руководитель внутреннего аудита должен составить риск- |
|
|
|
|
|
ориентированный план, определяющий приоритеты |
|
|
|
|
внутреннегоаудитавсоответствиисцелямиорганизации. |
2020 |
|
Представление |
Руководитель внутреннего аудита должен представить |
|
|
|
и утверждение планов |
на рассмотрение и утверждение высшему исполни- |
|
|
|
|
|
тельному руководству и Совету план работы внутрен- |
|
|
|
|
него аудита с указанием ресурсов, необходимых для |
|
|
|
|
его выполнения, а также информацию о существенных |
|
|
|
|
изменениях планов в течение отчетного периода. |
|
|
|
|
Руководитель внутреннего аудита также должен |
|
|
|
|
сообщать о влиянии ограничений в ресурсах на |
|
|
|
|
деятельность внутреннего аудита. |
2030 |
|
Управление |
|
Руководитель внутреннего аудита должен обеспе- |
|
|
ресурсами |
|
чивать наличие соответствующих и достаточных |
|
|
|
|
ресурсов, а также их эффективное использование для |
|
|
|
|
выполнения утвержденного плана. |
2040 |
|
Политики |
и проце- |
Руководитель внутреннего аудита должен внедрять |
|
|
дуры |
|
внутренние политики и процедуры, регулирующие |
|
|
|
|
деятельность подразделения внутреннего аудита. |
2050 |
|
Координация |
В целях обеспечения надлежащего охвата и мини- |
|
|
|
деятельности |
мизации двойной работы руководителю внутреннего |
|
|
|
|
|
аудита следует обмениваться информацией и |
|
|
|
|
координировать деятельность с другими внутренними |
|
|
|
|
и внешними сторонами, оказывающими услуги по |
|
|
|
|
предоставлению гарантий и консультаций. |
20