Под прицелом: как оценить качество внутреннего аудита банков

В конце 2020 года Национальный банк Украины анонсировал, планы по проведению в текущем году инспекционных проверок в 43 банках, доля которых составляет 87% активов банковской системы. В то же время прошлый год закрыл «пятилетку», в течение которой финучреждения должны были провести оценивание эффективности своего внутреннего аудита. Что включает в себя прохождение данной процедуры и почему это является важным шагом на пути усовершенствования корпоративного управления в банках, рассказал Mind директор по аудиту аудиторской компании Kreston GCG Сергей Голуб.

Задача независимой внешней оценки – не просто выявить и указать на узкие места в работе внутреннего аудита и предложить возможные пути улучшения.

Результатом проведения подобной работы должна стать целостная картина, которая поможет всем заинтересованным сторонам ответить на вопрос: выполняет ли внутренний аудит должным образом возложенные на него функции с учетом той важной роли, которая отведена ему на сегодняшний день в системе корпоративного управления банков?

Все большую актуальность приобретает процесс независимой оценки внутреннего аудита с учетом недавнего внесения на рассмотрение Верховной Раде изменений в закон «О банках и банковской деятельности» в части усиления ответственности наблюдательного совета и правления банков, а также системы внутреннего контроля и управления рисками.

Цель таких изменений – усовершенствование системы корпоративного управления и внедрения ведущих мировых практик функционирования банков. А это значит, что требования к качеству и эффективности работы внутреннего аудита банков также будут расти естественным образом.

Что проверяют внешние специалисты при оценке работы департамента внутреннего аудита банка?

Задача внешнего аудитора – получить ответы на следующие вопросы:

1. Приносят ли процедуры трансформации во внутреннем аудите положительный эффект (к примеру, оптимизацию ресурсов или охват более рисковых сфер при имеющихся ресурсах)?
2. Достаточно ли компетентны внутренние аудиторы для эффективной проверки процессов компании в условиях постоянно меняющейся внешней среды и появления новых рисков?
3. Является ли коммуникация внутреннего аудита с Аудиторским комитетом и топ-менеджментом банка достаточной и эффективной для максимальной осведомленности не только о трансформации функции внутреннего аудита, но, прежде всего, о результатах его работы и необходимых мерах для улучшения качества процесса управления рисками и системы внутреннего контроля организации?

Что еще проверит эксперт во время оценки внутреннего аудита вашего банка? Без внимания однозначно не останутся следующие аспекты:

• годовой план аудита. Эксперт выяснит, базируется ли план на оценке карты рисков банка и пересматривается ли регулярно. Если ответ на эти вопросы отрицателен, существует риск, что аудиторы банка концентрируют внимание на неактуальных задачах и не успевают реагировать на динамические изменения;
• управление кибербезопасностью. Очень важная область для проведения проверок, поскольку от корректной работы кибербезопасности зависят жизненные функции банка, например, сохранение в тайне личных данных клиентов. Не менее важен вопрос наличия в штате специалиста по ИТ-аудиту. Если же такого нет, стоит рекомендовать руководству привлечение внешнего эксперта;
• подготовка отчетной документации. Нередки случаи, когда отчеты внутренних аудиторов не получают должного внимания со стороны высшего менеджмента и наблюдательного совета. Порой это свидетельствует о том, что отчетная документация слишком объемна и переполнена специальной терминологией, на ознакомление с которой у руководства просто нет времени.

После завершения всех процедур приглашенный эксперт составит план по улучшению качества работы департамента внутреннего аудита. Нужно помнить, что результаты независимой оценки внешнего специалиста должны увидеть члены Аудиторского комитета, наблюдательного совета и топ-менеджмент банка, а не только руководитель департамента внутреннего аудита.

Как выбрать идеального «ревизора»?

Хороший специалист должен иметь глубокую компетенцию в вопросах внутреннего аудита, владеть ведущими инструментами и уметь выбирать и применять наиболее подходящие методы оценки для каждого проекта. Не столько преимущество, сколько необходимость иметь опыт управления функциями внутреннего аудита.

Банку-клиенту же важно убедиться в том, что у участников приглашенной команды нет потенциального или фактического конфликта интересов, а именно, что никто из экспертов не связан с персоналом проверяемого банка.

Как внешняя оценка работает на практике

Детальный анализ матрицы оценки рисков, лежащей в основе риск-ориентированного планирования службы внутреннего аудита одного из банков, который мы провели в рамках независимой внешней оценки, выявил ряд аспектов, не учтенных при ее составлении, в числе которых:

• влияние внешних факторов, таких, как существенные изменения в законодательной и нормативно-правовой базе, макроэкономической среде, а также форс-мажорные обстоятельства;
• приоритеты высшего руководства банка (правления и наблюдательного совета) исходя из стратегии развития, а также оценки рисков и определения членами этих органов отдельных объектов или процессов в банке как высокорисковых, которые могут нести потенциальную угрозу существенных убытков;
• профессиональное суждение внутренних аудиторов.

Как следствие, нами были определены процессы с низким приоритетом согласно действующей методологии внутреннего аудита, которые не попадали в план проверок более 5 лет, несмотря на свойственный им высокий уровень естественного риска, включающий риск мошенничества (например, процесс закупок).

В результате пересмотра внутренним аудитом плана проверок и проведения аудита закупок был выявлен случай внутреннего мошенничества, связанный с арендой банком складских помещений у третьих лиц.

Исходя из изложенного, можно смело утверждать, что оценка внутреннего аудита определенно сыграет положительную роль в жизнедеятельности банка и будет полезна всем заинтересованным лицам, как членам правления, так и клиентам.

Сотрудничество с независимыми аудиторами предоставляет внутренним специалистам банка возможность перенять новые эффективные инструменты и методики, которыми пользуются эксперты авторитетных фирм.