- •Цілі аудиту
- •Узгодження умов завдання
- •План аудиту містить, серед іншого, таке:
- •Отримання знання бізнесу
- •Розробка загального плану аудиту
- •46. Оцінюючи суттєвість, крім міркувань, наведених у мса 320 «Суттєвість при плануванні та проведенні аудиту» аудитор розглядає такі чинники:
- •Ідентифікація, документування і тестування процедур контролю
- •Розробляючи план аудиту для оцінки ефективності заходів контролю банку щодо звірки, аудитор бере до уваги такі чинники:
- •Аудиторські процедури
- •Приклади ділянок, в яких аудитор може використовувати підтвердження:
- •Конкретні процедури стосовно певних статей у фінансовій звітності
План аудиту містить, серед іншого, таке:
отримання достатніх знань про бізнес та структуру управління суб'єкта господарювання й достатнього розуміння систем бухгалтерського обліку і внутрішнього контролю, включаючи управління ризиками та діяльність внутрішнього контролю;
р
АУДИТ
озгляд очікуваних оцінок властивого ризику та ризику контролю, тобто ризику того, що відбудуться суттєві викривлення (властивий ризик), і ризику того, що система внутрішнього контролю банку не попередить або не виявить і не виправить своєчасно такі викривлення (ризик контролю);
визначення характеру, розрахунку часу й обсягу аудиторських процедур, які слід виконати;
67
розгляд припущення про безперервність діяльності стосовно здатності суб'єкта господарювання продовжувати свою діяльність у передбачуваному майбутньому, яке буде періодом, застосованим управлінським персоналом при оцінюванні згідно з концептуальною основою фінансової звітності. Як правило, цей період буде періодом не менше від одного року після дати балансу.
Отримання знання бізнесу
Отримання знань про бізнес банку вимагає від аудитора розуміння:
структури корпоративного управління банку;
економічного й нормативного середовища, яке має переважну силу на території тих країн, де банк провадить свою основну діяльність;
ринкових умов, які існують у кожному значному секторі операцій банку.
Корпоративне управління відіграє особливо важливу роль у банках; багато регуляторних органів установлює вимоги стосовно того, що банки повинні мати ефективну структуру корпоративного управління. Відповідно аудитор отримує розуміння структури корпоративного управління банку і те, як особи, яким довірено управління, виконують свої обов'язки з нагляду, контролю й управління банком.
Так само аудитор отримує та поповнює практичні знання про продукти і послуги, пропоновані банком. Отримуючи й поповнюючи знання, аудитор стає обізнаним із значними змінами в основних послугах з розміщення депозитів, надання позик і казначейських операцій, що пропонуються і продовжують розвиватися банками відповідно до потреб ринку. Аудитор набуває розуміння щодо характеру послуг, які надаються за допомогою таких інструментів, як акредитив, акцептований вексель, відсоткові ф'ючерсні контракти, строкові контракти, контракти «своп», опціони та подібні інструменти для того, щоб розуміти властиві ризики та їх наслідки для аудиту, обліку й розкриття інформації.
Якщо банк використовує організації, що надають послуги, для надання основних послуг чи здійснення операцій, таких як розрахунки грошовими коштами та цінними паперами, обробка документації чи внутрішній аудит, відповідальність за дотримання правил і нормативних актів та раціональні заходи внутрішнього контролю несуть ті, кого наділено найвищими повноваженнями, і управлінський персонал залученого банку. Аудитор розглядає юридичні та нормативні обмеження і набуває розуміння того, як управлінський персонал і ті, кого наділено найвищими повноваженнями, здійснюють моніторинг ефективності функціонування системи внутрішнього контролю (включаючи внутрішній аудит). МСА402 «Аудиторські міркування стосовно суб'єкта господарювання.
68
який використовує організацію, що надає послуги» містить подальші рекомендації з цього питання.
Існує низка ризиків, пов'язаних з банківськими операціями, які не є виключно банківськими, але досить важливі, оскільки вони визначають банківські операції. Аудитор отримує розуміння щодо характеру таких ризиків та того, як банк управляє ними. Це розуміння дає можливість аудитору оцінити рівні властивого ризику і ризику контролю, пов'язаного з різними аспектами банківської діяльності, та визначити характер, час і обсяг аудиторських процедур.
Розуміння характеру банківських ризиків
Ризики, пов'язані з банківською діяльністю, можна поділити на великі групи:
Валютний ризик: ризик збитку, що виникає внаслідок майбутніх змін курсу обміну валют, що застосовуються до активів, зобов'язань, прав і боргових зобов'язань в іноземній валюті.
Відсотковий ризик : ризик того, що зміна відсоткових ставок матиме негативний вплив на вартість активів та зобов'язань чи впливатиме на грошові потоки від відсотків.
Кредитний ридик: ризик того, що клієнт або контрагент не зможе повністю погасити зобов'язання, коли настане строк погашення чи у будь-який момент після цього. Кредитний ризик, особливо від надання комерційних кредитів, можна вважати важливим ризиком у банківських операціях. Кредитний ризик виникає внаслідок надання кредитів особам, компаніям, банкам та урядам. Він існує у разі інших активів, крім позик, наприклад інвестицій, залишків до сплати іншими банками та позабалансових зобов'язань. Кредитний ризик містить також «суверенний ризик» (ризик країни), трансфертний ризик, ризик заміни та ризик розрахунків.
АУДИТ
Нормативний ризик: ризик збитку, що виникає внаслідок недотримання нормативних чи юридичних вимог відповідної юрисдикції, в якій банк провадить свою діяльність. Він також охоплює будь-які збитки, що можуть виникати внаслідок змін нормативних вимог.
69
Операційний ризик: ризик прямого чи непрямого збитку внаслідок невідповідних чи невдалих внутрішніх процесів, працівників, систем або внаслідок зовнішніх подій.Ризик заміни (іноді його називають ризиком невиконання):ризик того, що клієнт або контрагент не виконає умов контракту. В результаті такого невиконання виникає потреба замінити невдалу операцію іншою операцією за поточною ринковою ціною. Результатом цього може бути збиток для банку, який дорівнює різниці між контрактною ціною і поточною ринковою ціною.
Ризик ліквідності: ризик збитку, що виникає внаслідок змін спроможності банку продати чи ліквідувати актив.
Ризик
платоспроможності: ризик збитку, що виникає внаслідок ймовірності того, який банк не матиме достатньо коштів для виконання своїх зобов'язань, чи внаслідок неможливості доступу до ринку капіталу для залучення необхідних коштів.
Ризик моделі: ризик, пов'язаний з недосконалістю та суб'єктивністю моделей оцінки, застосованих для визначення вартості активів чи зобов'язань.
Ризик репутації: ризик втрати діяльності внаслідок негативної громадської думки та непрямої шкоди репутації банку, що виникають внаслідок неналежного управління зазначеними вище ризиками або внаслідок участі банку чи тих, кого наділено найвищими повноваженнями, в неналежній чи протизаконній діяльності, наприклад відмиванні злочинно отриманих грошей чи спробах приховати збитки.
Ризик розрахунків: ризик того, що з однією зі сторін операції розрахуються без одержання відповідної суми від клієнта або контрагента. Результатом цього може бути, як правило, втрата банком всієї основної суми боргу.
70
«Суверенний ризик» ризик того, що іноземні клієнти та контрагенти не погасять свої
(ризик країни): зобов'язання через економічні, політичні чи соціальні чинники,
які є в їх країні і не залежать від клієнта або контрагента.
Трансфертний ризик: ризик збитку, що виникає в разі, якщо боргові зобов'язання контрагента не деноміновані у валюті країни контрагента. Контрагент може виявитися нездатним отримати валюту боргового зобов'язання незалежно від його конкретного фінансового стану.
Фідуціарний ризик: ризик збитку, що виникає внаслідок таких чинників, як незабезпечення зберігання активів чи недбалість в управлінні активами від імені інших сторін.
Ціновий ризик: ризик збитку, який виникає внаслідок негативних
змін ринкових цін, включаючи відсоткові ставки, курси обміну валют, власний капітал та товарні ціни, а також внаслідок змін ринкових цін інвестицій.
Юридичний та
документальний
р
АУДИТ
изик Ризик того, що контракти неправильно оформлені документально або не мають юридичної сили у відповідній юрисдикції, в якій слід здійснювати контракти або в якій провадять свою діяльність контрагенти. Він може охоплювати ризик того, що активи коштуватимуть менше, а зобов'язання — більше, ніж очікувалося, внаслідок неадекватної чи неправильної юридичної поради чи оформлення документації. До того ж чинні закони можуть не містити юридичних проблем, пов'язаних із банком; судова справа стосовно конкретного банку може мати важливіші наслідки для банківської справи та бути пов'язаною з витратами для нього і для багатьох чи всіх інших банків; можуть змінитися закони, які впливають на банки або інші комерційні підприємства. Банки особливо вразливі до юридичних ризиків, коли здійснюють нові типи операцій і коли не встановлено юридичне право контрагента здійснювати операцію.
71
Банківські ризики зростають із зростанням ступеня концентрації операцій банку на одному клієнті, галузі, географічному регіоні чи країні. Наприклад, позиковий портфель банку може мати високу концентрацію позик чи зобов'язань у певні галузі і деякі з них, наприклад, у випадках нерухомості, перевезень та природних ресурсів можуть бути дуже спеціалізованими. Оцінка відповідних ризиків, пов'язаних із позиками суб'єктам господарювання у цих галузях, може вимагати знання цих галузей, включаючи їх ділову, операційну та звітну практику.
Більшість операцій пов'язана з кількома ризиками, визначеними вище. Крім того, окремі зазначені вище ризики можуть бути взаємозалежними. Наприклад, кредитний ризик банку в операції з цінними паперами може зростати внаслідок збільшення ринкової ціни відповідних цінних паперів. Так само несплата чи неспроможність розрахуватися може мати наслідки для ліквідності банку. Тому аудитор розглядає взаємозалежності цих та інших ризиків при аналізі ризиків, яким доступний банк.
Банки можуть бути доступні ризикам, що виникають унаслідок характеру права володіння. Наприклад, власник чи група власників банку можуть спробувати вплинути на розміщення кредитів. У банку закритого типу власники можуть мати значний вплив на управлінський персонал, що позначається на його незалежності та судженні. Аудитор враховує такі ризики.
Крім розуміння зовнішніх чинників, які можуть свідчити про зростання ризику, аудитор розглядає характер ризиків, що виникають внаслідок операцій банку. Чинники, які суттєво сприяють операційному ризику, такі:
а) потреба точно обробляти великі обсяги операцій у короткі строки.
Ця потреба майже завжди задовольняється за допомогою широкого
використання ІТ, що призводить до таких ризиків:
і)відсутності обліку виконаних операцій протягом потрібного часу, через що банк не може одержати (або не може виконати) платежі за цими операціями;
іі)відсутності належного обліку складних операцій;
ііі)значних викривлень, що виникають унаслідок порушень у системі внутрішнього контролю;
іv) втрати даних у результаті збою систем;
v) порушення цілісності даних унаслідок несанкціонованого втручання в системи;
vі) доступності ринковому ризику, яка виникає внаслідок відсутності достовірної та своєчасної інформації;
б) необхідність використовувати електронний переказ коштів (ЕПК) чи
інші телекомунікаційні системи для передачі права власності на
72
великі суми грошей, що призводить до ризику збитків, спричинених платежами невідповід клієнтам через шахрайство або помилку;
в) здійснення операцій у багатьох місцях, що спричинює географічну роздробленість обробки операцій і заходів внутрішнього контролю. В результаті:
i) виникає ризик того, що ступінь залежності за категоріями клієнтів чи продуктів, що знаходяться в усьому світі, не буде належно узагальнено й проконтрольовано;
ii) можуть траплятися збої в системі контролю, які залишаться невиявленими чи невиправленими через фізичну відокремленість управлінського персоналу та осіб, які обробляють операції;
г) необхідність здійснювати моніторинг і управляти значними ризиками, які можуть виникнути протягом короткого періоду. Процес клірингових операцій може спричиняти значне накопичення дебіторської та кредиторської заборгованості протягом дня, за більшу частину якої розраховуються в кінці дня. Як правило, це називається ризиком неплатежу протягом операційного дня. Такі ризики виникають унаслідок операцій з клієнтами та контрагентами і можуть включати відсотковий, валютний та ринковий ризики;
ґ) обробка великих обсягів монетарних статей, включаючи грошові кошти, обігові інструменти й оборотні залишки на рахунках клієнтів, що спричиняє ризик збитків від шахрайства чи крадіжок, скоєних працівниками або іншими сторонами;
д) властивої складності й мінливості середовища, в якому банки здійснюють свої операції, що спричиняє ризик неправильної стратегії управління ризиками або невідповідних облікових підходів до таких питань, як розробка нових видів продуктів і послуг;
е) операційні обмеження можуть застосовувати внаслідок недотримання вимог законодавчих і нормативних актів. Закордонні господарські одиниці мають виконувати закони і нормативні акти країн, в яких вони розташовані, а також закони та нормативні акти країни, в якій знаходиться головний офіс материнської компанії. Це може призвести до необхідності виконувати різні вимоги, а також ризику того, що операційні процедури, які відповідають нормативним актам у деяких юрисдикціях, не відповідають вимогам в інших.
2
АУДИТ
6. Шахрайство може відбуватися в банку внаслідок навмисної участі управлінського персоналу чи працівників банку. Такі випадки шахрайства можуть включати неправдиву фінансову звітність без мотиву особистого збагачення (наприклад, для приховування збитків від операцій) або незаконне привласнення активів банку для особистого збагачення, яке може чи не може бути пов'язаним із фальсифікуванням записів. І навпаки,73
шахрайство може бути здійснено в банку без відома чи співучасті працівників банку. МСА 240 «Відповідальність аудитора, що стосується шахрайства, при аудиті фінансової звітності»1 надає більше рекомендацій з характеру відповідальності аудитора стосовно шахрайства. Хоча багато видів операцій банку піддаються шахрайству, найтиповіші з них відбуваються у таких видах діяльності, як кредитування, депозитні та дилерські операції. Методи, які зазвичай застосовують для скоєння шахрайства, та вибір чинників ризику шахрайства, що свідчать про можливість шахрайства, наведені в додатку 1.
27. За характером своєї діяльності банки —- це готова мішень для тих, хто займається відмиванням злочинно отриманих грошей, процесом, внаслідок якого надходження від злочинів перетворюються на гроші, що здаються отриманими з легального джерела. За останні роки, зокрема торговці наркотиками, значно збільшили масштаб відмивання злочинно отриманих грошей, що відбувається у банківський галузі. В багатьох юрисдикціях законодавство вимагає від банків установлювати політики, процедури та заходи контролю для попередження діяльності з відмивання злочинно отриманих грошей, її розпізнавання та повідомлення про неї. Ці політики, процедури та заходи контролю, як правило, містять таке:
вимогу встановлювати особу клієнта («знати свою клієнтуру»);
перевірку персоналу;
вимогу знати мету використання рахунку;
ведення обліку операцій;
подання звітів органам влади про підозрілі операції або про всі операції певного типу, наприклад операції з грошовими коштами, що перевищують певну суму;
навчання персоналу для надання допомоги з ідентифікації підозрілих операцій.
У деяких юрисдикціях аудитори можуть мати прямий обов'язок надавати звіт органам влади про певні типи операцій, які привернули їхню увагу. Навіть якщо такого обов'язку не існує, аудитор, який виявив можливий випадок недотримання вимог законодавчих або нормативних актів, розглядає його наслідки для фінансової звітності та аудиторської думки про неї. МСА 250 «Розгляд законодавчих та нормативних актів при аудиті фінансової звітності» дає подальші рекомендації з цього питання.
____________
МСА 240 «Відповідальність аудитора за розгляд шахрайства та помилок під час аудиторської перевірки фінансових звітів» було анульовано в грудні 2004 р. після набуття чинності МСА 240 «Відповідальність аудитора, що стосується шахрайства, при аудиті фінансової звітності»».
74
Розуміння процесу управління ризиками
28. Управлінський персонал розробляє заходи контролю та застосовує показники діяльності, що допомагають управляти основними бізнес-ризиками і фінансовими ризиками. Ефективна система управління ризиками у банку потребує, як правило, наведеного далі.
Нагляд та участь тих, кого наділено найвищими повноваженнями, в процесі контролю
Ті, кого наділено найвищими повноваженнями, мають затверджувати у письмовій формі політики управління ризиками. Потрібно, щоб такі політики узгоджувалися зі стратегіями бізнесу банку, потенціалом капіталу, досвідом управлінського персоналу, нормативними вимогами, а також типами і величинами ризику, які вважаються прийнятними. Ті, кого наділено найвищими повноваженнями, несуть відповідальність також за встановлення такої культури в банку, яка надає особливого значення обов'язкам щодо дотримання заходів внутрішнього контролю та високих етичних стандартів; вони часто створюють спеціальні комітети для допомоги у виконанні їх функцій. Управлінський персонал несе відповідальність за впровадження стратегій і політик, установлених тими, кого наділено найвищими повноваженнями, і забезпечує встановлення й підтримання відповідної та ефективної системи внутрішнього контролю.
Ідентифікація, оцінка та моніторинг ризиків
Ризики, які можуть суттєво впливати на досягнення цілей банку, слід ідентифікувати, оцінювати та здійснювати їх моніторинг за попередньо визначеними обмеженнями та критеріями. Цю функцію може виконувати незалежний підрозділ управління ризиками, який також несе відповідальність за обгрунтування та тестування моделей ціноутворення, які застосовують відділ операцій з клієнтами і операційний відділ банку. Як правило, у банках є підрозділ управління ризиками, що здійснює моніторинг управління ризиками та оцінює ефективність застосованих моделей управління ризиками, методологій і припущень. У таких ситуаціях аудитор розглядає, чи використовувати і як використовувати роботу такого підрозділу.
Заходи контролю
Б
АУДИТ
анку слід мати відповідні заходи контролю для управління ризиками, включаючи ефективний розподіл обов'язків (зокрема, між відділом операцій з клієнтами і операційним відділом), точну оцінку та надання звітів про позиції, перевірку й затвердження операцій, звірку позицій і результатів, встановлення обмежень, надання звітів і затвердження винятків до обмежень, фізичну збереженість та планування на випадок непередбачених подій.75
Діяльність з моніторингу
Моделі управління ризиками, методології та припущення, застосовані для оцінки й управління ризиком, слід регулярно оцінювати та оновлювати. Цю діяльність може виконувати незалежний підрозділ управління ризиками. Підрозділ внутрішнього аудиту має періодично перевіряти процес управління ризиками, щоб визначити, чи дотримані політики і процедури управління та чи ефективні заходи операційного контролю. Потрібно, щоб обидва підрозділи — управління ризиками і внутрішнього аудиту — надавали звіти тим, кого наділено найвищими повноваженнями, та управлінському персоналу, який не залежить від тих, про кого вони надають звіти;
Надійні інформаційні системи
Банкам потрібні надійні інформаційні системи, які надають адекватну фінансову, операційну інформацію та відомості про відповідність своєчасно і послідовно. Тим, кого наділено найвищими повноваженнями, та управлінському персоналу потрібна така інформація про управління ризиками, яку можна легко розуміти та яка дає їм змогу оцінити змінюваний характер структури ризиків банку.