Під прицілом: як оцінити якість внутрішнього аудиту банків

Наприкінці 2020 року Національний банк України анонсував, плани з проведення цього року інспекційних перевірок у 43 банках, частка яких становить 87% активів банківської системи. Водночас минулий рік закрив «п'ятирічку», протягом якої фінустанови повинні були провести оцінювання ефективності свого внутрішнього аудиту. Що передбачає проходження такої процедури й чому це є важливим кроком на шляху удосконалення корпоративного управління в банках, розповів Mind директор з аудиту аудиторської компанії Kreston GCG Сергій Голуб.

Завдання незалежного зовнішнього оцінювання – не просто виявити та вказати на вузькі місця в роботі внутрішнього аудиту й запропонувати можливі шляхи поліпшення.

Результатом проведення подібної роботи повинна стати цілісна картина, яка допоможе всім зацікавленим сторонам відповісти на запитання: чи виконує внутрішній аудит належним чином покладені на нього функції з урахуванням тієї важливої ​​ролі, яка відведена йому на сьогодні в системі корпоративного управління банків?

Все більшої актуальності набуває процес незалежної оцінки внутрішнього аудиту з урахуванням недавнього внесення на розгляд Верховної Ради змін до закону «Про банки і банківську діяльність» у частині посилення відповідальності наглядової ради і правління банків, а також системи внутрішнього контролю й управління ризиками.

Мета таких змін – вдосконалення системи корпоративного управління і впровадження провідних світових практик функціонування банків. А це означає, що вимоги до якості й ефективності роботи внутрішнього аудиту банків також зростатимуть у природний спосіб.

Що перевіряють зовнішні фахівці при оцінці роботи департаменту внутрішнього аудиту банку?

Завдання зовнішнього аудитора – отримати відповіді на такі питання:

1. Чи приносять процедури трансформації у внутрішньому аудиті позитивний ефект (наприклад, оптимізацію ресурсів або охоплення більш ризикових сфер при наявних ресурсах)?
2. Чи досить компетентні внутрішні аудитори для ефективної перевірки процесів компанії в умовах постійно мінливого зовнішнього середовища й появи нових ризиків?
3. Чи є комунікація внутрішнього аудиту з Аудиторським комітетом і топменеджментом банку достатньою й ефективною для максимальної поінформованості не тільки про трансформацію функції внутрішнього аудиту, а й передусім про результати його роботи та необхідні заходи для поліпшення якості процесу управління ризиками й системи внутрішнього контролю організації ?

Що ще перевірить експерт під час оцінки внутрішнього аудиту вашого банку?

Без уваги однозначно не залишаться такі аспекти:

1. Річний план аудиту. Експерт з'ясує, чи базується план на оцінці карти ризиків банку та чи переглядається регулярно. Якщо відповідь на ці питання негативна, є ризик, що аудитори банку концентрують увагу на неактуальних завданнях і не встигають реагувати на динамічні зміни;
2. Управління кібербезпекою. Дуже важлива сфера для проведення перевірок, оскільки від коректної роботи кібербезпеки залежать життєві функції банку, наприклад, збереження в таємниці особистих даних клієнтів. Не менш важливим є питання наявності в штаті фахівця з ІТ-аудиту. Якщо ж такого немає, варто рекомендувати керівництву залучити зовнішнього експерта;
3. Підготовка звітної документації. Нерідко бувають випадки, коли звіти внутрішніх аудиторів не отримують належної уваги з боку вищого менеджменту й наглядової ради. Часом це свідчить про те, що звітна документація занадто об'ємна й переповнена спеціальною термінологією, на ознайомлення з якою у керівництва просто немає часу.

Після завершення всіх процедур запрошений експерт складе план щодо поліпшення якості роботи департаменту внутрішнього аудиту. Потрібно пам'ятати, що результати незалежної оцінки зовнішнього фахівця повинні побачити члени Аудиторського комітету, наглядової ради й топменеджмент банку, а не тільки керівник департаменту внутрішнього аудиту.

Як вибрати ідеального «ревізора»?

Хороший спеціаліст повинен мати глибоку компетенцію в питаннях внутрішнього аудиту, володіти провідними інструментами та вміти вибирати й застосовувати найбільш відповідні методи оцінки для кожного проєкту. Не стільки перевага, скільки необхідність мати досвід управління функціями внутрішнього аудиту.

Банку-клієнту зі свого боку важливо переконатися в тому, що в учасників запрошеної команди немає потенційного або фактичного конфлікту інтересів, а саме, що ніхто з експертів не пов'язаний із персоналом банку, який перевіряється.

Як зовнішня оцінка працює на практиці

Детальний аналіз матриці оцінки ризиків, що лежить в основі ризик-орієнтованого планування служби внутрішнього аудиту одного з банків, проведений нами в межах незалежного зовнішнього оцінювання, виявив низку аспектів, які не були враховані при її складанні, серед яких:

• вплив зовнішніх факторів, як-от істотні зміни в законодавчій і нормативно-правовій базі, макроекономічному середовищі, а також форс-мажорні обставини;
• пріоритети вищого керівництва банку (правління й наглядової ради) з огляду на стратегію розвитку, а також оцінку ризиків і визначення членами цих органів окремих об'єктів або процесів у банку як високоризикових, що можуть нести потенційну загрозу істотних збитків;
• професійне судження внутрішніх аудиторів.

Як наслідок, ми визначили процеси з низьким пріоритетом відповідно до чинної методології внутрішнього аудиту, які не потрапляли в план перевірок понад 5 років, попри властивий їм високий рівень природного ризику, що містить ризик шахрайства (наприклад, процес закупівель).

Внаслідок перегляду внутрішнім аудитом плану перевірок і проведення аудиту закупівель було виявлено випадок внутрішнього шахрайства, пов'язаний з орендою банком складських приміщень у третіх осіб.

З огляду на викладене, можна сміливо стверджувати, що оцінка внутрішнього аудиту, безумовно, зіграє позитивну роль у життєдіяльності банку та буде корисною всім зацікавленим особам, від членів правління до клієнтів.

Співпраця з незалежними аудиторами надає внутрішнім фахівцям банку можливість запозичити нові ефективні інструменти й методики, якими користуються експерти авторитетних фірм.