Особенности законодательных требований к внутреннему аудиту/ функции внутреннего аудита для кредитных организаций банков России, Украины, Беларуси и Казахстана
Автор: Сухроб Курбонов, директор департамента внутреннего аудита ЗАО "Альфа-Банк" (Беларусь), член Ассоциации «Институт внутренних аудиторов»
За последние 5-10 лет внутренний аудит как функция становится важной и неотъемлемой частью системы внутреннего контроля и корпоративного управления как в России, так и в других странах постсоветского пространства, в частности, на Украине, Беларуси и в Казахстане. Это связано в основном со следующими факторами:
-
с введением норм об обязательности создания подразделений внутреннего аудита в кредитных организациях (банках), страховых организациях и т.д.;
-
с повышением уровня конкуренции и потерь от реализации рисков и, как следствие, с усилением внимания менеджмента к компонентам управления рисками, выстраиванию оптимальной контрольной среды/ системы, а также оптимизации процессов корпоративного управления;
-
с усилением осознания у менеджмента/ бенефициаров, что правильно выстроенная и многоуровневая система внутреннего контроля (компонентом которого является внутренний аудит) минимизирует вероятность потерь, становится источником закрепления получаемого результата, а в средне- и долгосрочной перспективе может стать дополнительным фактором роста;
-
с необходимостью выйти на зарубежные рынки капитала, с необходимостью проведения операций по слиянию и поглощению, в ходе которых, в том числе, анализируются/ запрашиваются информация о состоянии системы/ компонентах системы внутреннего контроля, корпоративного управления.
Кроме этого, возросло внимание к внутреннему аудиту со стороны бенефициарных владельцев/ акционеров как источника, который может предоставить им неангажированные/ объективные данные о ситуации в том или ином направлении бизнеса или в целом о деятельности компании.
В данной статье перечислены основные законодательные документы, регулирующие деятельность внутреннего аудита в кредитных организациях как функции, с раскрытием и сравнением определенных норм для понимания какие нормы/ требования установлены к внутреннему аудиту кредитных организаций в России, Украине, Беларуси и Казахстане.
Чем может быть полезна данная тема:
-
в настоящее время ряд российских и казахских банков имеют дочерние структуры в ряде перечисленных стран. Как следствие, агрегированная информация позволила бы видеть более целостную картину заинтересованным лицам;
-
понять особенности регулирования/ требования к функции внутреннего аудита в той или иной стране (по определенным компонентам регулирования);
-
позволит уточнить уровень законодательного внимания к функции внутреннего аудита в банках России, Украины, Беларуси и Казахстана;
-
позволит ознакомиться с перечнем основных документов, регулирующих деятельность внутренних аудиторов в кредитных организациях данных стран.
Для удобства восприятия и систематизации материал изложен в виде сравнительной таблицы. В ней указаны основные законодательные документы (список)1 и проанализированные критерии (анализ проведен по 29 критериям), в конце указываются некоторые выводы и дается информация по некоторым отличительным особенностям:
Норма/Требование |
Россия |
Беларусь |
Украина |
Казахстан |
1. Требование о наличии подразделения внутреннего аудита в банке |
Да (1а, Глава 4) |
Да (2 а., Глава 4. п.24) |
Да (3 а., Раздел 2. п.5) |
Да (4 а., Приложение №2. п.15.1) |
2. Требование о наличии утвержденного Положения о подразделении внутреннего аудита (с описанием целей, задач, ответственности и т.д.) |
Да (1а, Глава 4, п 4.2, 4.3) |
Да (2 а., Глава 4. п.25) |
Да (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.1) |
3. Наличие требования (прямого или косвенного) о создании Аудиторского комитета |
Да (1а, Глава 5, п. 5.3; 1б, раздел 8, пункт 8.1) |
Да (2 а., Глава 2. п.5, п.7) |
Да (3 а., Раздел 1. п.3, |
Нет про АК, при этом есть информация про СД (4а., Приложение №2 п. 15.1, 15.2) |
4. Наличие требования/ рекомендации о количестве членов Аудиторского комитета, в том числе какое количество независимых директоров должно быть в составе |
Да (1б, Приложение №2, раздел 3). |
В анализированных документах нет такой нормы. |
В анализированном документе нет |
В анализированном документе нет такой нормы. |
5. Наличие требования о вхождении Руководителя внутреннего аудита в состав комитета по аудиту |
Нет |
Да (2 а., Глава 4. п.24) |
Нет |
Нет |
6. Уровень утверждения Положения либо иного документа (какой орган утверждает) |
Да, СД (НС), если в уставе не указано иное (1а, п. 4.3) |
Да (2 а., Глава 2. п.6) |
Да (3 а., Раздел 2. п.7) |
Да, СД (4а Приложение№2 п 15.1, 15.2) |
7. Требования к Руководителю функции |
Да (1а. п. 4.9 отсылка на 3223-У, 4662-У) |
Косвенно, (2 а., Глава 4. п.26) |
Да (3 а., Раздел 2. п.8) |
Да, есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3) |
8. Требования к сотрудникам (опыту, квалификации, наличию профессиональных сертификатов) |
Есть норма о проф. переподготовке. (1а, п. 4.9) |
Косвенно, (2 а., Глава 4. п.26) |
Есть норма о проф. компетентности |
Есть норма об установлении требования в т.ч. банком (4 а., Приложение №2 п.15.2, 15.3) |
9. Требования о необходимости по осуществлению внешней независимой оценки внутреннего аудита со стороны третьих сторон (внешняя оценка/НС и т.д.) |
Да (1а, п. 4.7.1) |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 7. п.32) |
Да (4 а., Приложение №2. п.15.12) |
10. Требование о не участии сотрудников в проверке деятельности/функций за которые они несли ответственность (могут не ранее 12 месяцев) |
Да (1а, п. 4.8.2), |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 2. п.12) |
Да (4 а., Приложение №2. п.15.2) |
11. Порядок назначения Руководителя функции по внутреннему аудиту и уровень его утверждения |
Да (1а. п. 4.9 отсылка на 3223-У) |
В анализированных документах нет такой нормы |
Да (3 а., Раздел 2. п.7, 11 |
В анализированнном документе нет такой нормы |
12. Наличие прямой нормы о количестве/рекомендуемом количестве сотрудников внутреннего аудита к общей численности банка/кредитной организации (прямая норма с указанием % к примеру, к общей численности) |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированном документе нет |
Нет, В анализированном документе нет такой нормы |
13. Наличие требования о составлении годового плана внутреннего аудита |
Да (1а, п.4.7.2, в т.ч. отсылка на иные нормы) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 2. п.13) |
Да (4 а., Приложение №2. п.15.4) |
14. Требование о более гибком планировании (flexible audit plan) |
В анализированных документах нет такой нормы. |
В анализированных документах нет такой нормы. |
Да (3 а., Раздел 2. п.13) |
Нет |
15. Наличие Требования об уровне подчиненности/ подотчетности/под контрольности внутреннего аудита |
Да (1а, п.4.2, 4.7.1), |
Да, (2а, Глава 4, п.24, 25) |
Да (3 а., Раздел 2. п.5,6) |
Да (4 а., Приложение №2. п.15.3) |
16. Необходимость осуществления оценки эффективности систем внутреннего контроля (в проверенном процессе, либо в целом) |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п.15.1, 15.3, 15.9) |
17. Необходимость осуществления оценки эффективности системы управления рисками(в проверенном процессе, либо в целом) |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п. 15.1, 15.3, 15.6) |
18. Необходимость осуществления оценки эффективности системы управления банком/корпоративного управления (в проверенном процессе, либо в целом) |
Нет, прямой нормы нет, есть косвенные нормы/фрагментарные (1а, 4.1, Приложение №3, п. 1; 2а Приложение №2, п.2.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п. 15.1, 15.3) |
19. Необходимость осуществления оценки надежности системы бухгалтерского учета и информации и составленных на их основе финансовой и регуляторной отчетности |
Да (1а, п. 4.1) |
Да (2а, Глава 4, п.27) |
Да (3 а., Раздел 3. п.16) |
Да (4 а., Приложение №2. п.15.7) |
20. Требования о составлении Плана проверок по принципу «риск ориентированный подход» |
В анализированных документах данная норма не указана |
Да, (2а, Глава 4, п.27), |
Да (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.2, 15.4) |
21. Требования о цикличности проведения проверок и охвата всех процессов, вопросов; |
Да (1а, п. 4.10.1, 5.3) |
Да, (2а, Глава 4, п.26), при этом не указан период. |
Нет, при этом (3 а., Глава 2. п.13) |
Нет, т.е. нет нормы в котором четко и однозначно было бы указано |
22. Основные способы (методы)/направления осуществления проверок службой внутреннего аудита |
Да (1а, Приложение №3, п.1) |
Да, (2а, Глава 4, п.24, 27) |
Да (3 а., Раздел 3. п.16; |
Да (4 а., Приложение №2. п.15.6) |
23. Требования о предоставлении обязательной отчетности о деятельности внутреннего аудита заинтересованным лицам (Наблюдательный совет, Правление и т.д.); |
Да (1а, п. 4.2) |
Да, (2а, Глава 4, п.27) |
Да (3 а., Раздел 5. п.27) |
Да (4 а., Приложение №2. п.15.10, 15.12) |
24. Требование о необходимости осуществления мониторинга рекомендаций/мероприятий |
Да (1а, п. 4.11) |
Да, (2а, Глава 4, п.27) |
Да (3 а., Раздел 5. п.26) |
Да (4 а., Приложение №2. п.15.11) |
25. Возможность передачи функции внутреннего аудита в аутсорсинг (в случае если кредитная организация не входит в банковскую группу) |
Нет (1а, п. 4.6.2) |
Да (2а, Глава 4, п.25) |
В анализированных документах нет |
В анализированных документах нет такой нормы. |
26. Норма о возможности привлечения внутренних сотрудников иных подразделений банка для участия в проведении аудита |
Нет, В анализированных документах нет такой нормы |
Нет, В анализированных документах нет такой нормы |
Нет, при этом |
Да (4 а., Приложение №2. п.15.3) |
27. Наличие упоминания о термине Гарантия или Консультация (для максимизации связей с МОПП) |
Нет |
Да (2а, Глава 4, п.25) |
Да, (3 а., Раздел 2. п.7) |
Да (4 а., Приложение №2. п.15.1) |
28. Требования или рекомендации о необходимости автоматизации/полу автоматизации деятельности внутреннего аудита |
Нет |
В анализированных документах нет такой нормы |
Нет, при этом |
Нет |
29. Имеется ли норма о необходимости установления аудиторов ключевых показателей эффективности (KPI) |
Нет |
В анализированных документах нет такой нормы |
Нет |
Нет |
Опираясь на результаты анализа, можно сделать несколько выводов и указать некоторые отличительные особенности:
-
Законодательные требования к внутреннему аудиту/ функции внутреннего аудита для кредитных организаций (банков) России, Украины, Беларуси и Казахстана концептуально близки по сущности, а также имеют существенную смысловую схожесть/ идентичность с Международными основами профессиональной практики внутреннего аудита (в определенных требованиях имеются прямые ссылки, указывающие, что требования разработаны на основании МОПП (как в случае с Положением НБУ), или использованы менее прямые формулировки, как в случае с требованиями НБ РК (некоторые отличия и особенности будут раскрыты ниже).
-
Проведенный анализ показывает, что определенные компоненты/ требования к функции внутреннего аудита более полным образом раскрыты в одной стране, другие компоненты/ требования – в другой, например: Национальным банком Украины формализован и детализирован отчет о работе подразделения внутреннего аудита для НБУ (с четкими критериями/вопросами); НБ Республики Беларусь более подробно описывает области/ вопросы, которые должны быть охвачены внутренними аудиторами в ходе их деятельности; Банк России детально описал деятельность аудиторского комитета. Возможно, детализация и акцент на определенных компонентах связаны с определенными особенностями, к примеру, уровнем зрелости функций внутреннего аудита в кредитных учреждениях, желанием регуляторного органа делать акцент на одном компоненте, с целью дальнейшего совершенствования данного компонента и т.д.
-
В целом (как указывалось выше), установленные требования концептуально близки по сущности, как следствие их внедрение (при прочих равных условиях) во всех странах может быть осуществлено в идентичные сроки с идентичным количеством ресурсов/трудозатрат, при этом важным моментом, связанным с внедрением и применением, является уровень профессионализма команды/ лица, осуществляющих их внедрение в практическую плоскость. Существуют и некоторые особенности: к примеру, Банк России указывает, что внутренний аудит должен охватывать все процессы с периодичностью 1 раз в 3 года (т.е. принцип цикличности и всеобъемлющего охвата), в то время как Национальный банк Казахстана не формулирует такую норму напрямую. Другой пример: в нормах, установленных Национальным банком Республики Казахстан, имеется целый раздел, который посвящен аудиту системы управления комплаенс-рисками. В нем подробно описано, что должно проверяться, какие компоненты должны быть подвергнуты оценке, указано, что на ежегодной основе должны проверяться вопросы ПОД/ФТ и т.д. В то время как в иных изученных нормативных документах такого уровня детализации и такой периодичности к данному компоненту не установлено. Как следствие, объем ресурсов для выполнения требований по этому разделу в указанных странах будет разным.
-
В изученных законодательных нормах не отражены данные о необходимости, либо отсутствии необходимости в установлении ключевых показателей эффективности (КПЭ) для внутреннего аудита (к примеру, в части вознаграждений внутренних аудиторов в требованиях НБ РК и НБУ указано, что вознаграждение работников внутреннего аудита не должно быть связано с финансовыми показателями банка/ структурного подразделения). Отсутствие нормы по КПЭ концептуально не усложняет и не упрощает деятельность внутренних аудиторов, однако указание в нормативных документах целесообразности их введения/ невведения позволило бы находиться всем сторонам (внутренний аудит, менеджмент, акционер, регулятор) в единой системе координат.
-
Интересным моментом является то, что, по сути, кроме как НБ РБ никто из регуляторов не допускает передачу функции внутреннего аудита банка на аутсорсинг. Такой подход может быть связан со следующими факторами:
-
аутсорсинговые компании не всегда могут обладать тем багажом навыков и знаний, которые нужны для выполнения функции внутреннего аудита в банке (хотя МОПП указывает иное);
-
аутсорсинговые компании могут быть менее выгодными как по стоимости (дешевле нанять внутренних аудиторов в штат банка), так и по качеству работ;
-
банки не могут контролировать/ митигировать риски, связанные с деятельностью аутсорсинговых компаний (ухудшение их финансового состояния, отток кадров, изменение стоимости услуг для банка, качество осуществляемой работы и т.д.), которые впоследствии могут привести к несистемности в осуществлении внешнего аутсорсинга функции внутреннего аудита и/или его подорожанию;
-
также важным моментом (с учетом GDPR-требований) является вопрос передачи, хранения/ конфиденциальности и использования данных аутсорсерами. Сложившаяся практика показывает, что в настоящее время менее рискованно и более эффективно иметь собственное подразделение внутреннего аудита в банке. Такой принцип в целом соответствует интересам всех сторон (менеджмент, акционер, регулятор).
-
Важным аспектом также является вопрос, связанный с автоматизацией/ полуавтоматизацией функции внутреннего аудита. В требованиях/ рекомендациях регуляторов этот компонент не указывается (единственное упоминание об автоматизации есть в отчете о работе подразделения внутреннего аудита, который предоставляется в Национальный банк Украины (скорее всего, этот момент является одним из критериев оценки). При этом нужно понимать, что введение самой нормы и/или указания критерия для оценки не обозначает параллельное повышение эффективности функции внутреннего аудита, при этом в сторону автоматизации/ полуавтоматизации внутреннего аудита необходимо как минимум задумываться. Сейчас на рынке представлены несколько решений от разных компаний, и каждое решение имеет свои преимущества и недостатки (у одних решений высокая стоимость, другие – это пакетное решение, изменение и внедрение которого также обойдется в приличную сумму, при этом нет гарантии повышения эффективности и ценности внутреннего аудита после автоматизации), поэтому нужно очень грамотно подходить к этому процессу, применяя проектный подход с анализом экономической целесообразности и практической пользы/ ценности.
Подборка регулятивных документов из банковских сфер Беларуси и Казахстана, предоставленная автором статьи, удачно дополнила библиотеку Института (раздел «База знаний» https://www.iia-ru.ru/inner_auditor/legislation/). Тем не менее, мнение автора по поводу особенностей регулятивных требований к организации управления рисками и функции внутреннего аудита может не совпадать с официальной позицией Института.
Необходимо обратить внимание, что вопросы организации внутреннего аудита в тех российских банках, которые являются публичными акционерными обществами, также регулируются российским Кодексом корпоративного управления (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления"), который был одобрен Правительством РФ 13.02.2014 и Советом директоров ЦБ РФ 21.03.2014. Рекомендации по организации внутреннего аудита, ранее выработанные профессиональным сообществом с учетом передовой международной практики, приобрели характер законодательных требований в связи с внесением изменений в Федеральный закон № 208-ФЗ от 26.12.1995 (в ред. от 19.07.2018).
Вопросы развития научно-методологических подходов к организации внутреннего аудита в финансовых организациях являются ключевой темой для работы Экспертного совета по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях, созданного в Банке России (http://www.cbr.ru/today/audit/ ) и Консультативного совета по аудиторской деятельности центральных (национальных) банков http://www.cbr.ru/today/audit/konsul-tativnyy-sovet-po-auditorskoy-deyatel-nosti-central-nykh-nacional-nykh-bankov/ .
1 Россия: Положение ЦБ РФ № 242-П от 16.12.2003 (в ред. от 24.04.2014) (1А); Письмо Банка России от 15.09.2016 N ИН-015-52/66 (1B). Беларусь: Инструкция (Постановление Правления Национального банка Республики Беларусь 30.11.2012 №625 (2А); Постановление Правления НБ РБ 29 от 29.10.2012 №550 2 (B). Украина: Положение об организации внутреннего аудита в банках Украины (Постановление НБУ от 24.10.2017 – неофициальный перевод) (3А). Казахстан: Внутренний аудит в системе финансового контроля в государственных органах Казахстана 4 (а); Постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня (4B).