Несколько слов о компании, на примере которой будут проведены исследования^[1]

Это активно развивающийся коммерческий банк с широкой сетью продаж в регионах Российской Федерации. Банк основан в начале 1990‑х годов. Международный аудит банка проводится с 1994 г. компаниями Big‑4.

Рейтинги, присужденные Fitch Rating (2008, февраль): долгосрочный кредитный рейтинг B (прогноз Стабильный); краткосрочный кредитный рейтинг B; национальный долгосрочный рейтинг BB (rus). Присужденные S&P rating (2008, май): долгосрочный кредитный рейтинг B (прогноз Стабильный); краткосрочный кредитный рейтинг В; национальный долгосрочный рейтинг BBB (rus).

ОАО «БАНК» является членом Системы страхования вкладов России. Количество сотрудников на 1 сентября 2008 г. составляет более 3,5 тыс. человек. Обширная сеть обслуживания включает в себя: 40 региональных и московских филиалов, 38 региональных точек продаж и представительств. Валюта баланса ОАО «БАНК» на 1 октября 2008 г. составила около 2,8 млрд евро.

На момент исследования (конец 2008 – начало 2009 г.) в ОАО «БАНК» уже более 1,5 лет функционирует Служба внутреннего контроля, которая создана в соответствии с требованиями российского регулятора кредитных организаций – Банка России. Однако задачи и цели, которые стоят перед Службой внутреннего контроля, не отвечают требованиям и рекомендациям внешних аудиторов и иностранных партнеров банка, которые они предъявляют к подразделению внутреннего аудита. Кроме этого, собственники в лице членов Совета директоров не довольны работой Службы внутреннего контроля в связи со значительно большими ожиданиями от решения поставленных перед подразделением задач.

И наконец вопросы, на которые мы дадим ответы

В данной книге мы проведем исследования, направленные на выяснение причин расхождений в российских и международных требованиях, предъявляемых к подразделению внутреннего аудита банка. Мы выясним, в чем состоят непосредственные проблемы создания подразделения внутреннего аудита (с учетом российских и международных требований) и насколько данные проблемы являются типовыми для российских банков. Кроме этого, мы проведем исследование положительного экономического эффекта от формирования подразделения внутреннего аудита. И конечно, дадим развернутый план действий и рекомендации, направленные на достижение этого положительного экономического эффекта. Все применяемые в книге методы исследования (в том числе, опросы, интервью) реализованы автором при участии сотрудников и менеджмента конкретного банка, за что им отдельное спасибо.

P. S. И большое спасибо за предоставленные на сайте Института внутренних аудиторов материалы, российское представительство Института внутренних аудиторов в США.

Отдельная благодарность тем, под чьим руководством посчастливилось работать:

Лолу Евгению Валерьевичу (заместителю председателя Правления ОАО КБ «Стройкредит»),

Судакову Кириллу Владиславовичу (руководителю Службы внутреннего контроля OTP Bank (Russia),

Сыромятникову Сергею Владимировичу.

Огромное спасибо всем.

Кстати, все возможные совпадения в данной книге абсолютно случайны.

Раздел 1
Обзор международных и российских требований к подразделению внутреннего аудита

Последовательно рассмотрим имеющиеся в настоящее время рекомендации и требования к подразделению внутреннего аудита банка со стороны международных организаций и национальных регуляторов. В конце раздела приведем таблицу с ключевыми отличиями.

Напомним, что в сфере внутреннего аудита в мире, как и во многих других областях интернациональных взаимоотношений, применяется в течение уже долгого времени единый принцип: «Соответствуй или объясняй». Данный принцип на практике означает только одно: нужно в точности выполнять рекомендации, формализованные пожелания, или документально подтвержденные «прихоти» международных саморегулируемых организаций, международных рейтинговых агентств или международных аудиторов. В противном случае совершенно невозможно будет объяснить исконным авторам данных рекомендаций, что, мол, у себя в компании мы придумали и реализуем какие-то процедуры, механизмы или формы внутреннего аудита, которые отличаются от их образца, да еще и лучше, эффективнее него.

1.1. Стандарты Института внутренних аудиторов (The Institute of Internal Auditors Inc.,USA)

Вот некоторые выдержки из перевода стандартов, осуществленного Институтом внутренних аудиторов (далее – ИВА) в Москве, который опубликован на сайте его российского отделения с разрешения The Institute of Internal Auditors Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701–4201, USA.

«…Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование хозяйственной деятельностиорганизации. Он помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и системы корпоративного управления.

Внутренний аудит может проводиться в обстоятельствах, отличающихся характером традиций в области культуры и права, в организациях, различающихся по своему назначению, размеру, сложности и структуре, как сотрудниками самой организации, так и внешними исполнителями. В то время как эти различия могут накладывать свои особенности на практику внутреннего аудита в той или иной ситуации, соблюдение Международных стандартов профессиональной практики внутреннего аудита является важнейшей предпосылкой выполнения подразделением внутреннего аудита и внутренними аудиторами своих обязанностей. Если законодательство не позволяет внутренним аудиторам соблюдать отдельные положения Стандартов, внутренние аудиторы должны соблюдать все остальные положения Стандартов, раскрывая соответствующую информацию.

Услуги по предоставлению гарантий включают объективную оценку аудиторских доказательств внутренним аудитором, который высказывает независимое мнение или дает заключение о процессе, системе или другом предмете. Характер и объем задания, выполнение которого обеспечивает гарантии, определяются внутренним аудитором. В общем случае три стороны вовлечены в процесс оказания услуг по предоставлению гарантий: (1) лицо или группа лиц, непосредственно ответственных за процесс, систему или другой предмет, – ответственный за процесс, (2) лицо или группа лиц, проводящих оценку, – внутренний аудитор и (3) лицо или группа лиц, использующих оценку для конкретных целей, – пользователь.

Услуги по консультированию в основном предоставляются по специальному запросу клиента. Характер и объем задания по консультированию являются предметом договорас клиентом. В общем случае две стороны вовлечены в процесс оказания услуги по консультированию: (1) лицо или группа лиц, предоставляющих консультации, – внутренний аудитор и (2) лицо или группа лиц, запрашивающих и получающих консультации, – клиент. Внутренний аудитор в процессе предоставления услуг по консультированию должен сохранять объективность и не принимать на себя менеджерские обязанности.

Назначение Стандартов:

а) установить основные принципы практики внутреннего аудита;

б) определить концептуальную базу, лежащую в основе широкого спектра услуг в области внутреннего аудита;

в) создать основу для оценки деятельности внутреннего аудита;

г) способствовать совершенствованию систем и процессов внутри организации.

Стандарты разделяются на стандарты качественных характеристик (Attribute Standards), стандарты деятельности (Performance Standards) и стандарты практического применения (Implementation Standards). В стандартах качественных характеристик рассматриваются характеристики организаций и сторон, занимающихся внутренним аудитом. Стандарты деятельности описывают сущность внутреннего аудита и дают качественные критерии оценки деятельности внутреннего аудита. В то время как стандарты качественных характеристик и стандарты деятельности относятся к услугам внутреннего аудита в целом, стандарты практического применения относятся к отдельным видам аудиторских заданий.

Стандарты качественных характеристик и стандарты деятельности существуют в едином варианте. Стандарты практического применения существуют в различных вариантах – отдельный вариант для каждого вида аудиторской деятельности. Стандарты практического применения были разработаны для деятельности по предоставлению аудиторских гарантий («А») и деятельности по консультированию («С»).

Стандарты являются частью Концептуальной базы профессиональной практики, которая включает «Определение внутреннего аудита», «Кодекс этики», стандарты и другие руководства. Руководства по применению Стандартов содержатся в «Практических рекомендациях» (Practice Advisories), которые выпускает Комитет по профессиональным вопросам.

В Стандартах используются специальные термины, толкование которых приводится в Словаре терминов.

Разработка и выпуск Стандартов идет на постоянной основе. Совет по стандартам внутреннего аудита проводит активные консультации и обсуждения перед выпуском Стандартов. Этот процесс включает предоставление проектов на общественное рассмотрение на международном уровне.

Все проекты размещаются на интернет-сайте международного Института внутренних аудиторов, а также рассылаются по его филиалам…»

1.2. Управление рисками организаций. Концептуальные основы. Комитет спонсорских организаций Комиссии Тредвея (The Committee of Sponsoring Organizations of the Treadway Commission, COSO)

Приведем выборку из русской версии документа, которая предоставлена компанией Deloitte совместно с Институтом внутренних аудиторов (Россия). Перевод был проверен Институтом внутренних аудиторов (Россия).

«…Одним из последствий событий, описанных выше, стало принятие Закона Сарбейнса – Оксли в США в 2002 году. Аналогичные законы были приняты или готовятся к принятию и в других странах. Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая на руководство компаний обязанность предоставлять информацию об эффективности этих систем, а на независимого аудитора – удостоверять предоставленные сведения. Выдержавшие проверку временем «Концептуальные основы внутреннего контроля» выступают в качестве общепринятого стандарта при выполнении данных требований к предоставлению отчетности.

Каждый сотрудник организации несет определенную ответственность за управление рисками. Полную ответственность несет руководитель организации, который и является «владельцем» данного бизнес-процесса. Прочие менеджеры должны обеспечивать поддержку философии организации в области управления рисками, способствовать соблюдению показателей риск-аппетита, управлять рисками в рамках своих зон ответственности с учетом допустимых для них уровней риска. Ключевые обязанности по поддержке данного процесса обычно выполняют директор по управлению рисками, финансовый директор, директор по внутреннему аудиту и другие должностные лица. Остальные сотрудники отвечают за соблюдение установленных в организации процедур, норм и правил управления рисками. Совет директоров обеспечивает надзор за управлением рисками и анализирует риск-аппетит организации. Внешние контрагенты, т. е. клиенты, поставщики, партнеры по бизнесу, а также внешние аудиторы, регулирующие органы и финансовые аналитики часто предоставляют информацию, полезную при осуществлении процесса управления рисками организации, однако они не несут ответственности за его эффективность и не являются частью процесса управления рисками.

Внутренние аудиторы должны оценить, насколько глубоко они анализируют процесс управления рисками. Организационная структура организации создает основу для планирования, выполнения, контроля и мониторинга ее деятельности. Правильная организационная структура включает определение ключевых областей полномочий и ответственности, а также установление уровней подчинения.

Например, подразделение внутреннего аудита организуется таким образом, чтобы обеспечивались его объективность в оценке деятельности организации и неограниченный доступ к высшему руководству и аудиторскому комитету совета директоров, а уровень подчинения главного аудитора в рамках организации должен позволять подразделению внутреннего аудита эффективно выполнять свои функции.

Внутренние и внешние аудиторы и консультанты регулярно предоставляют рекомендации по улучшению процесса управления рисками. Аудиторы могут уделять значительное внимание ключевым рискам и соответствующим способам реагирования, а также построению средств контроля. Они могут определить потенциальные недостатки и рекомендовать руководству альтернативные действия, сопровождаемые информацией, полезной впринятии решенийпоанализу соотношения затрат-выгод. Внутренние аудиторы или персонал, выполняющий аналогичные функции, могут оказать неоценимую помощь в проведении мониторинга деятельности организации.

Внутренние аудиторы, как правило, осуществляют проверки в рамках своих обычных обязанностей либо по распоряжению высшего руководства, совета директоров, руководителя подразделения или дочернего предприятия. Кроме того, при оценке эффективности управления рисками руководство может использовать информацию, полученную от внешних аудиторов. По решению руководства для проведения любых проверок усилия внутренних и внешних аудиторов могут объединяться…

Одним из наилучших источников информации по недостаткам процесса управления рисками является сам процесс управления рисками. Непрерывный мониторинг деятельности организации, включая деятельность руководства и текущий контроль со стороны сотрудников, позволяет получить сведения от лиц, принимающих самое непосредственное участие в деятельности организации. Данные сведения поступают в режиме реального времени и также могут обеспечить оперативное определение недостатков. Такими источниками сведений о недостатках являются периодические проверки процесса управления рисками. Проверки, проводимые руководством, внутренними аудиторами или другими подразделениями, могут выявить области, требующие изменений.

Стороны, которые должны быть уведомлены о недостатках, иногда устанавливают специальные указания относительно того, какая информация должна быть предоставлена. Например, совет директоров или аудиторский комитет могут требовать от руководства или внутреннего или внешнего аудитора информирования только о недостатках, которые отвечают заданному уровню серьезности или важности.

Управление рисками организации осуществляется целым рядом сторон, каждая из которых выполняет важные обязанности. Совет директоров (непосредственно или через свои комитеты), руководство, внутренние аудиторы и прочий персонал – все вносят значительный вклад в управление рисками. Прочие стороны, такие как внешние аудиторы и регулирующие органы, иногда также ассоциируются с управлением рисками и внутренним контролем. В то же время существует различие между лицами, являющимися частью процесса управления рисками организации, и лицами, не являющимися его частью, действия которых, тем не менее, могут оказывать влияние на процесс управления рисками или иным образом содействовать организации в достижении ее целей. При этом прямое или косвенное содействие организации в достижении ее целей не делает соответствующую внешнюю сторону частью процесса управления рисками и не возлагает на нее ответственности за управление рисками организации.

Внутренние аудиторы играют одну из ведущих ролей в деле оценки эффективности управления рисками и в разработке рекомендаций по его оптимизации. Стандарты, установленные Институтом внутренних аудиторов, указывают, что в объем внутреннего аудита должен входить аудит систем управления рисками и систем контроля. Данные функции включают оценку достоверности финансовой отчетности, эффективности деятельности и соблюдения применимого законодательства и нормативных актов. При выполнении своих обязанностей внутренние аудиторы оказывают содействие руководству и совету директоров или аудиторскому комитету путем изучения, оценки, составления отчетов и предоставления рекомендаций по повышению адекватности и эффективности процесса управления рисками организации.