Vnutrennii audit v tsentralʹnom banke

внутренний аудит в центральном банке Кристофер Скотт

Содержание Стр КРАТКИЙ ОБЗОР............................................................................

4

1 ОСНОВНЫЕ ПРИНЦИПЫ ВНУТРЕННЕГО АУДИТА ...............

6

ОПРЕДЕЛЕНИЕ ................................................................................ КЛЮЧЕВЫЕ ПОНЯТИЯ В ОПРЕДЕЛЕНИИ .............................................

6 7

Основные практические положения..................................... 6 2 УПРАВЛЕНИЕ РИСКАМИ ........................................................... РИСКИ ............................................................................................ МЕРЫ КОНТРОЛЯ.................................................................................... ....................................................................................................9 ВЕРОЯТНОСТЬ УБЫТКОВ И РЕАЛЬНЫЕ УБЫТКИ ..................................

8 8 14

3 ОБМЕН ИНФОРМАЦИЕЙ............................................................

15

ИНФОРМАЦИОННЫЕ МАТЕРИАЛЫ ..................................................... ЛИНИИ АУДИТОРСКОЙ ОТЧЁТНОСТИ ................................................. Независимость..................................................................... 17 Аудиторские комитеты .................................................... 18 ОБЪЕКТИВНОСТЬ ............................................................................ СВЯЗЬ СО СФЕРОЙ АУДИТА .............................................................. ВНЕШНИЕ АУДИТОРЫ ......................................................................

15 17

18 19 19

4 СТАНДАРТЫ ВНУТРЕННЕГО АУДИТА .................................... 20 НЕЗАВИСИМОСТЬ ............................................................................ ПРОФЕССИОНАЛЬНОЕ МАСТЕРСТВО ................................................. ОБЪЁМ РАБОТЫ .............................................................................. ВЫПОЛНЕНИЕ АУДИТОРСКОЙ РАБОТЫ .............................................. УПРАВЛЕНИЕ ДЕПАРТАМЕНТОМ ВНУТРЕННЕГО АУДИТА ...................... 5 РАЗЛИЧНЫЕ ВИДЫ АУДИТА.................................................... 23

1

20 21 22 22 23

ФИНАНСОВЫЕ АУДИТОРСКИЕ ПРОВЕРКИ ........................................... АУДИТОРСКИЕ ПРОВЕРКИ КОМПЬЮТЕРОВ ......................................... АУДИТОРСКАЯ ПРОВЕРКА ЭФФЕКТИВНОСТИ РАСХОДОВАНИЯ СРЕДСТВ ..................................................................................................24 САМОСТОЯТЕЛЬНЫЙ КОНТРОЛЬ .......................................................

2

23 23 24

6 ПРАКТИЧЕСКИЕ АСПЕКТЫ ВНУТРЕННЕГО АУДИТА ........... 25 РЕШЕНИЕ О ТОМ, ЧТО ПОДЛЕЖИТ АУДИТОРСКОЙ ПРОВЕРКЕ............... СОЗДАНИЕ ПРОГРАММЫ АУДИТА ...................................................... ПРОЦЕСС АУДИТА ........................................................................... ФАКТЫ, ВСКРЫТЫЕ ПРИ АУДИТОРСКОЙ ПРОВЕРКЕ И ОТЧЁТНОСТЬ ...... Изучение и оценка информации ........................................ 29 Информация о результатах ............................................. 29 Отчёт об аудиторской проверке .................................... 30 Последующие действия ..................................................... 31 КОНТРОЛЬ ЗА КАЧЕСТВОМ ...............................................................

25 26 27 29

31

7 ПОДБОР КАДРОВ И ИХ ПОДГОТОВКА.................................... 28 ЛИЧНЫЕ КАЧЕСТВА .......................................................................... ПОЛОЖЕНИЯ О ДОЛЖНОСТИ ............................................................ ЧИСЛЕННОСТЬ ОТДЕЛА .................................................................... ПОДБОР КАДРОВ ............................................................................. ПОДГОТОВКА КАДРОВ ......................................................................

34 34 34 35 36

8 ОЦЕНКА ЗНАЧИМОСТИ АУДИТА.............................................. 31 ПОЛУЧЕНИЕ СРЕДСТВ ...................................................................... ОТДАЧА АУДИТА .............................................................................. ЗАКЛЮЧЕНИЕ .................................................................................. ПРИЛОЖЕНИЯ................................................................................ 34

3

37 37 39

КРАТКИЙ ОБЗОР Внутренний аудит проводится в большинстве крупных организаций. Он ни в коей мере не является функцией только центральных банков. Однако при подготовке настоящего Справочника во главу угла ставилась работа сотрудников центральных банков. В нём излагаются основные понятия, практика и стандарты, которые могут быть использованы в деятельности центрального банка. Внутренний аудит должен быть независимым видом деятельности в рамках центрального банка, которой руководит непосредственно Управляющий или лицо, приравненное к нему по статусу. В задачи аудита входит выявление рисков, которым подвергается банк, как в материальном плане, так и в области репутации, предлагать соответствующие меры контроля и обеспечивать, чтобы система контроля работала эффективно. Частью обязанностей аудитора должна быть классификация рисков в зависимости от вероятности потери или банкротства и тяжести любой проистекающей финансовой потери или утраты репутации. Подобная классификация поможет аудитору распределить неизбежно ограниченные ресурсы наиболее эффективным способом. Эффективность внутреннего аудита зависит также от хорошей организации и соответствующего кадрового потенциала, а также от хорошего обмена информацией и отношений (хотя последние должны строиться на расстоянии «вытянутой руки») с другими управлениями банка. Хотя в настоящем Справочнике отражены профессиональные стандарты внутреннего аудита, применяемые в Соединённом Королевстве, настоящие стандарты в широком смысле должны быть приемлемы в любых частях света.

4

5

ВНУТРЕННИЙ АУДИТ В ЦЕНТРАЛЬНОМ БАНКЕ 1 Основные принципы внутреннего аудита Определение Внутренний аудит является независимым видом деятельности в рамках организации. В его задачи входит изучение рисков, которым подвергается организация, пересмотр для защиты от данных рисков существующих мер контроля на предмет их достаточности и проверка соответствия работы механизмов контроля поставленным целям. Ключевые понятия в определении Настоящее определение выделяет три основных понятия в словаре внутреннего аудитора: • Независимость Независимость от всей остальной организации необходима. Это связано с тем, что иногда аудитор должен высказывать мнение о неудовлетворительных операциях, и, если он не обладает независимостью от проверяемой сферы, последняя может оказывать давление на аудитора, чтобы скрыть обнаруженные недостатки. • Риск Риск, связанный с организацией, является отправным пунктом для аудитора. Аудиторская деятельность связана с большими накладными расходами, поэтом важно, чтобы аудиторы сфокусировали имеющиеся ресурсы на областях, сопряжённых с максимальным риском. Для центрального банка это будут области, в которых риск финансовых потерь или подрыва репутации является наибольшим. 6

• Контроль Основной целью аудитора является обеспечение адекватности и эффективной работы систем внутреннего контроля. Подходящие механизмы контроля могут быть дорогостоящими, поэтому при оценке их адекватности аудитору следует проявлять внимание, чтобы не рекомендовать меры контроля, стоимость которых будет превышать получаемую выгоду. Основные практические положения Существует целый ряд основных практических положений, которые аудиторы должны учитывать в повседневной работе: • Аудиторы не должны действовать как часть собственно системы контроля. Например, проверка актива, проводимая аудитором, не должна заменять проверку, проводимую сотрудниками, отвечающими за управление данным активом. • Аудиторам следует соблюдать внутренний протокол в любом месте, где они проводят аудит. Внутренний аудит является услугой, оказываемой правлению; аудиторы должны беречь доброе имя аудита. Они должны осознавать, что характер их работы может приводить к некоторым изменениям в работе офисов. Аудиторы - не сотрудники полиции. Роль аудитора как ревизора быстро устаревает и рвение, проявленное не там, где следует, зачастую может нанести ущерб тем услугам, которые аудиторы способны оказать. • Аудиторам следует сообщать о любой личной заинтересованности, которая может помешать им проводить аудиторскую проверку данной области. Например, они могут оказаться в положении, связанном с проведением аудита работы близких друзей или родственников.

7

• Аудиторам следует быть осмотрительными и сдержанными. Вероятно, что в ходе аудиторской проверки, они могут натолкнуться на секретные документы. Некоторые из них, особенно в центральном банке, могут представлять политический секрет. • Аудиторам следует придерживаться строгого этического кодекса. Часть информации, с которой сталкиваются аудиторы, может быть использована для личной выгоды. Поэтому должны быть установлены правила, обязывающие аудиторов заблаговременно ставить в известность Главного Аудитора об их личных операциях с акциями или другими финансовыми инструментами. Также должны существовать правила, запрещающие принимать подарки от третьих лиц или соглашаться на встречное удовлетворение.

2 Управление рисками Как отмечалось в Разделе 1, внутренний аудит направлен на выявление рисков, которым подвергается организация, и обеспечение адекватного управления ими. Внутренний аудит не является дополнением или заменой контроля со стороны правления: последнее является обязанностью самого правления, которое должно управлять рисками, не полагаясь на службу аудита.

Риски Различные организации сталкиваются с разными исками, но большинство, по всей вероятности, ставят потерю денег и репутации на первое место. В особенности это справедливо в отношении центральный банков. Денежная потеря центрального банка в большинстве случаев будет означать потерю государственных денег, или, если это не так, государственные деньги должны будут использоваться для 8

компенсации потери. В свою очередь это будет подрывать репутацию банка. Репутация банка может также пострадать, если он плохо управляет такими чувствительными для общественности вопросами, как, например, выпуск банкнот, что может привести к тому, что в обращение будут вводиться банкноты низкого качества или те, которые легко подделать. Потеря денег или репутации относятся к рискам высокого уровня, но фактическая потеря может произойти в силу различных причин. Эти причины формируют уровень вторичных рисков, на которые аудиторам следует обратить особое внимание. В случае центрального банка эти риски включают следующие: • • • •

обман ошибку кражу ошибочное решение

• ошибочное стратегическое планирование • неэффективное обеспечение компьютерных систем

• • • •

нарушение закона потерю информации потерю недвижимости неплатёжеспособность противоположной стороны • недостаточная информированность правления • введение компьютерных вирусов

Примеры того, где подобные риски могут концентрироваться в центральном банке, приведены в Приложении 1. Ни один тип риска не является однозначно более важным чем любой другой. Всё зависит от деловой системы, в которой появляется риск. Например, риск кражи важен в системе хранение золота, но имеет меньшее значение в системе, работающей с мелкими суммами наличных денег. Вопрос измерения рисков в системе рассматривается далее в Разделе 6. Меры контроля 9

В Соединённом Королевстве аудиторов определяет внутренний образом:

10

Институт контроль

внутренних следующим

Внутренний контроль является частью процесса управления. К нему относятся действия правления, нацеленные на планирование, организацию и проведение мероприятий, достаточных для обеспечения разумных гарантий, что будут достигнуты следующие цели: • выполнение установленных задач и целей в области операций и программ; • экономичное и эффективное использование ресурсов; • надёжность и целостность информации • соблюдение положений экономической политики, планов, процедур, законов и постановлений. Существует множество различных мер контроля, которые необходимы внутреннему аудитору. Для управления рисками в центральном банке такие меры контроля включают следующие: Контроль за СОТРУДНИКАМИ • достаточный опыт • адекватная подготовка

• достаточное количество кадров • ясные линии связи

Контроль за ОБРАБОТКОЙ ДОКУМЕНТОВ: • делегирование полномочий • лимиты времени

• необходимость двух подписей для перевода денежных средств • проверка итоговых показателей для подтверждения точности цифр

Контроль за совершением СДЕЛОК: • отделение совершения сделки от проведения расчетов

• проверка инструкций о расчете через систему СВИФТ

11

• лимиты сделок

• отдельная проверка ввода инструкций о расчете

• отчетность об исключительных случаях, при которых нарушаются данные лимиты • запись телефонных разговоров дилеров

Контроль за ЦЕННОСТЯМИ: • двойной контроль за • отделение хранения доступом в хранилище ценностей от их учёта ценностей, как правило, при помощи двух ключей, находящихся у разных людей • регулярный подсчет и • оборудование сверка хранилищ видеоаппаратурой Контроль за КОМПЬЮТЕРАМИ: • дублирование информации на случай утери информации, хранящейся в центральном компьютере • вспомогательное помещение, находящееся на удалении от основного, на случай пожара • обеспечение систем необходимой документацией с тем, чтобы техники могли легко обнаружить

• бесперебойная подача электроэнергии для критически важных систем • использование паролей для доступа в систему компьютеров • жесткий контроль за тем, как осуществляется доступ к программам, когда они подлежат замене 12

неполадки

13

• пользование сетей с шифрующими устройствами для сокращения риска проникновения в них «взломщиков»

• физический контроль за доступом в помещения, где размещены компьютеры

Хотя аудиторы могут предлагать меры контроля, последние являются обязанностью правления, проводящего конкретную операцию. Отношение правления к мерам контроля будет неизбежно находиться под влиянием членов совета директоров. Поэтому с самого верха организации должна ниспадать разветвленная система контрольных мер. В случае с центральным банком это означает Управляющего или лицо, приравненное к нему по статусу.

Вероятность убытков и реальные убытки Любая мера контроля, направленная на предотвращение убытков, имеет цену. Поэтому важно направлять наиболее мощные и дорогостоящие меры контроля на операции, связанные с максимальным риском. Это не обязательно будут операции, которые почти наверняка окажутся неудачными. Важен также размер вероятной потери. Например, вероятность того, что сотрудник предъявит требование о компенсации завышенных расходов может быть достаточно высокой, однако связанная с ней денежная потеря, видимо, будет невелика. С другой стороны, хотя вероятность того, что сообщение о платеже, направленное банком, будет перехвачено и изменено, по всей видимости, низкая, однако денежная потеря для банка в данном случае может быть очень большой. Так что решение о том, где осуществлять дорогостоящие меры контроля зависит как от вероятности риска, так и размеров потери, если таковая произойдёт. Можно ввести в таблицу две переменные величины, чтобы определить, степень риска для конкретной системы: 14

крупная реальная потеря высокая система вероятност высокого ь потери риска средняя система вероятност высокого ь потери риска низкая система вероятност среднего ь потери риска

средняя реальная потеря система высокого риска система среднего риска система среднего риска

небольшая реальная потеря система среднего риска система низкого риска система низкого риска

Средства, выделяемые для проведения аудита, необходимо направлять, в первую очередь, в системы с высокими и средними рисками.

3 Обмен информацией Как отмечалось в Разделе 1, внутренний аудит является независимым видом деятельности, который оценивает адекватность и эффективность управления рисками, стоящими перед организацией. Необходимо, чтобы все в организации знали что внутренний аудит существует и эффективно действует.

Информационные материалы Функции внутреннего аудита могут разъясняться через издание печатных материалов: • Положение об обязанностях

15

Это официальный документ о полномочиях аудита, который должен быть согласован исполнительным органом организации.

16

внутреннего с высшим

• Аудиторская листовка Это сокращённый вариант положения об обязанностях, который тоже кратко описывает, как на практике работает служба аудита и чего она ожидает от руководства. Эту листовку можно давать тем, кому предстоит пройти аудиторскую проверку. • Руководство по аудиту Это детальное описание того, как аудиторы должны работать. Оно содержит принципы и излагает ожидаемые стандарты. Руководство рассчитано для использования аудиторами.

Линии аудиторской отчётности Для того, чтобы эффективно доносить точку зрения внутреннего аудита, должны существовать четкие линии отчётности внутри службы аудита. Независимость Внутренние аудиторы должны быть независимы от руководства организации. Как отмечалось в Разделе 1, это обстоит так, потому что иногда аудитору приходится высказывать свою точку зрения об операциях с неудовлетворительным результатом, и, если аудитор не является независимым от проверяемой сферы, последняя может оказывать на него давления с тем, чтобы скрыть обнаруженные нежелательные факты. Следовательно, внутренние аудиторы должны подчиняться непосредственно руководству организации. В случае с центральным банком это означает, что Главный Внутренний Аудитор должен подчиняться Управляющему или лицу, равному с ним по статусу.

17

Для того, чтобы сохранять независимость, аудиторы не должны выполнять никаких операционных обязанностей. Например, когда аудитор проверяет сертификат по сделке в Департаменте по операциям с иностранными валютами, это не следует рассматривать в качестве замены процедуры верификации, проводимой непосредственно в Департаменте. Аудиторские комитеты Полезной практикой совета директоров организации является создание подкомитета по вопросам аудита. Настоящий Комитет по вопросам аудита, по возможности, должен состоять из лиц, не являющихся исполнительными директорами. Это повышает независимость аудиторской службы. Для обеспечения хорошей связи и независимости Положение о Департаменте аудита должно предусматривать неограниченное право доступа к Председателю Комитете по вопросам аудита для Главного внутреннего аудитора. Положение должно также обязывать Главного внутреннего аудитора представлять в Комитет по вопросам аудита регулярные отчёты о состоянии механизмов контроля в организации. Объективность Аудиторы должны быть объективными, им не следует позволять, чтобы внешнее влияние или мнения третьих лиц оказывали влияние на их независимое суждение. Угроза объективности может возникать по нескольким направлениям: • Лицо, подвергающееся аудиторской проверке, может занимать значительно старшее положение в организации нежели аудитор, так что последнего это не должно пугать. • Аудитору могут поручить проверку работы близкого друга или родственника. В таких случаях аудитору следует взять самоотвод и предложить другому аудитору выполнить данное поручение. 18

• Аудиторы могут полагать, что перспективы их карьеры будут поставлены под угрозу в силу того, что они проверяют работу одного из менеджеров, в подразделении которого они собираются работать в ближайшем будущем, когда покинут Департамент аудита. И вновь аудитору следует взять самоотвод и предложить другому аудитору выполнить это поручение. Аудиторы не должны проверять те направления, за которые отвечали во время своей предыдущей деятельности. Для избежания подобных ситуаций Департаменту аудита следует установить правило, согласно которому аудиторы не должны проверять работу своего бывшего управления, по крайней мере, в течение шести месяцев после ухода. Связь со сферой аудита Один из ключей к успеху аудиторской службы поддержание хороших связей со сферой, подлежащей аудиту. Этот вопрос подробно рассматривается в Разделе 6, особенно, в подразделе «Факты, вскрытые в ходе аудиторской проверки и отчётность».

Внешние аудиторы Важно, чтобы внешние и внутренние аудиторы поддерживали близкие отношение и свободно обменивались информацией. Происходит это , потому что: • внешние аудиторы смогут привнести в организацию их опыт работы с управлениями внутреннего аудита, которые работают у их других клиентов, обеспечивая тем самым, что организация возьмёт на вооружение лучший опыт внутреннего аудита.

19

• внешние аудиторы смогут оценить качество работы службы внутреннего аудита. • внешний аудит сможет использовать результаты деятельности службы внутреннего аудита для удовлетворения некоторых своих целей, сокращая тем самым стоимость внешнего аудита. Важно, чтобы службы внешнего и внутреннего аудита четко понимали свои обязанности. Официальная памятная записка, согласованная двумя сторонами часто является полезным способом, обеспечивающим, что функции и обязанности правильно поняты и что отсутствует ненужное их дублирование.

4 Стандарты внутреннего аудита Каждое управление аудита должно выработать свой собственный набор стандартов. Они включают стандарты высокого уровня, приведённые ниже, и стандарты нижнего уровня, такие как подготовка документации об аудиторских проверках. Полезно включить конкретные стандарты в пособие, которое Департамент аудита выдаёт каждому аудитору. Например, Институт внутренних аудиторов в Соединённом Королевстве имеет пять стандартов высокого уровня, касающихся внутреннего аудита. Они включают следующие: Независимость «Внутренние аудиторы должны быть независимы от тех видов деятельности, которые проверяют». Независимость достигается благодаря: • Месту службы аудита в организации • её объективности. 20

Профессиональное мастерство «Внутренние аудиторские проверки должны проводиться на высоком профессиональном уровне и с соответствующим профессиональным вниманием».

21

Высокий профессиональный уровень достигается благодаря: • правильному подбору кадров • необходимой квалификации • хорошему надзору за аудиторской работой • хорошей связи с теми, кто подвергается аудиторским проверкам • соответствующему образовательному уровню профессиональной заботе. Объём работы «Внутренний аудит должен включать в себя изучение и оценку адекватности и эффективности системы внутреннего контроля в организации, а также качества работы по выполнению установленных обязанностей». Соответствующий объём аудиторской работы достигается благодаря: • обеспечению надёжности информации • обеспечению соблюдения установленных процедур • обеспечению надёжного хранения ценностей • обеспечению эффективного использования ресурсов. Выполнение аудиторской работы «Работа службы аудита должна включать планирование аудиторских проверок, изучение и оценку информации, информирование о результатах и последующие действия». Успешное выполнение аудиторской работы достигается благодаря: • внимательному планированию • соответствующему анализу • хорошей информации о результатах • регулярному проведению последующих мероприятий.

22

Управление департаментом внутреннего аудита «Главный внутренний аудитор обязан должным образом руководить Департаментом внутреннего аудита». Квалифицированное управление достигается благодаря: • ясным правам и целям • тщательному планированию • обеспечению ясности процедур • внимательному подбору кадров • хорошей связи с внешними аудиторами • регулярному подтверждению высокого качества.

5 Различные виды аудита В различных организациях виды аудита могут классифицироваться по-разному, также по-разному могут расставляться акценты. Для центрального банка может подойти следующая классификация: Финансовые аудиторские проверки Они предполагают, что для управления рисками, связанными с финансовыми операциями или другими процедурами, создаются адекватные механизмы контроля и что они работают. При определении адекватности механизмов контроля аудитор проводит аудит системы. При проверке механизма контроля аудитор осуществляет аудит выполнения. Если аудитору необходимо проверить существование физических финансовых активов, он проводит аудит хранения. Аудиторские проверки компьютеров Они обеспечивают, что компьютеры банка находятся под надлежащим контролем. Например, является ли достаточными меры физического контроля за помещениями, где расположены 23

компьютеры? Регулярно ли пополняются вспомогательные банки данных? Часто ли меняются пароли? Осуществляя эту работу, аудитор проводит операционный аудит. Вопросы использования компьютеров и контроль за ними, как правило, являются обязанностью финансовых аудиторов, так как использование компьютеров является частью производственного процесса. Также важно, чтобы аудиторы участвовали в создании любой новой компьютерной системы на стадии разработки, чтобы обеспечить включение в них необходимых элементов контроля. Это называется аудитом разработки. Аудиторская средств

проверка

эффективности

расходования

Эти аудиторские проверки дают правлению представление о том, какие результаты с учетом сделанных затрат организация получает от конкретного процесса. Это не обзор вопросов управления рисками в системе, и в этой связи некоторые внутренние аудиторы считают, что аудиторские проверки эффективности должны проводиться собственными или приглашенными консультантами по вопросам управления.

Самостоятельный контроль «Самостоятельный контроль» является формой аудита, но такой, которую проводят сами операционисты, часто с помощью внутренних аудиторов. Цель самостоятельного контроля заключается в том, чтобы правление организации могло «контролировать своё здоровье», оценивая: • • • •

основные риски в своей области финансовые последствия каждого риска меры, предпринятые для управления рисками меры, обеспечивающие работу механизмов контроля.

24

Самостоятельный контроль не следует рассматривать в качестве замены независимого аудита в организации. Он должен означать, что когда аудиторы приступают к своей работе, то находят состояние вещей значительно лучшим благодаря самостоятельному контролю, осуществляемому местным руководством. Самостоятельный преимущества:

контроль

имеет

следующие

• руководство определённой области начинает уделять большее внимание рискам и контролю за ними • обзор мер контроля будет делаться чаще, чем в случае, если он поручен только службе внутреннего аудита • руководство данной сферы сможет легче обнаружить недостаточность или избыточность мер контроля • сотрудники, работающие в данной области, уделяют больше внимания вопросам контроля К недостаткам самостоятельного контроля относятся следующие: • руководство данной сферы может быть неоткровенным при освещении недостатков • может возникнуть дублирование работы службы внутреннего аудита • руководство данной сферы может счесть его бюрократически навязываемой мерой • у руководства данной сферы может не оказаться времени для него.

6 Практические аспекты внутреннего аудита Решение о том, что подлежит аудиторской проверке 25

Задача внутренних аудиторов заключается в том, чтобы обеспечить, что управление рисками осуществляется надёжно. Поэтому ресурсы, выделяемые для внутреннего аудита, следует направлять в области, сопряжённые с наибольшим риском. Измерение рисков - сложный вопрос. Он не носит научный характер, так как использует много субъективных оценок. Поэтому для оценки рисков могут использоваться только общие подходы. Такие подходы могут быть выработаны различными способами, но здесь предлагается следующее. Применительно к каждому направлению в банке (расчёты в иностранной валюте, хранение золота, выдача заработной платы и т.д.) рассмотрите следующие вопросы: • • • • • • • •

Является ли этот вид деятельности основным для банка? Нанесёт ли ошибка/потеря вред для репутации банка? Будет ли ошибка/потеря означать нарушение закона? Повлияет ли ошибка/потеря на счета банка в материальном отношении? Насколько надёжны механизмы контроля в данной системе? Насколько зрелой является система? Случались ли ранее ошибки/потери? Насколько профессиональны управленческое и исполнительское звенья в данной системе?

Каждый вопрос следует взвесить в соответствии с его значимостью. Затем каждый вопрос можно оценить по шкале от одного до трёх. Полученная оценка умножается на значимость, после чего результаты складывают. Полученный итог является «оценкой рисков», присущих системе. Сравнение оценок для различных систем поможет аудиторам эффективно использовать их ресурсы: при других прочих равных, системы, сопряжённые с наибольшим риском, должны получать наибольшее внимание. Примеры приводятся в Приложении 2. Создание программы аудита 26

Используя классификацию в соответствии с рисками в качестве основы для определения, что подлежит аудиторской проверке и как часто, можно подготовить годичную программу. После этого необходимо определить, какие ресурсы потребуются для выполнения всей программы. Необходимо помнить, что стоимость аудиторской работы следует сопоставлять с представлением о риске. Важно привлечь к процессу планирования начальников департаментов, подлежащих аудиторской проверке. Они подтвердят предположения аудиторов о сферах, сопряжённых с риском. Итоговая программа должна быть одобрена высшим исполнительным органом организации. Это будет гарантировать, что когда наступит время аудиторской проверки, аудиторы будут иметь необходимые полномочия. Процесс аудита Ключом к успешному аудиту является следующее: • тщательной планирование • понимание системы, в которой проводится аудиторская проверка • аккуратная оценка рисков и механизма управления • хорошая связь • подробная документация Тщательное планирование • аудиторам следует избегать досконального изучения всей сферы • они должны предупреждать об аудиторской проверке, однако в случае аудита хранения последний проводится неожиданно, так как предупреждение ликвидирует объект аудита • сотрудники аудиторской службы должны быть проинструктированы соответствующим образом 27

• они также должны знать, следует ли заявлять о конфликте интересов в той области, где они проводят аудиторскую проверку Понимание системы, в которой проводится аудиторская проверка • аудиторы должны понимать, как работает система и чего они пытаются достичь Аккуратная оценка рисков и механизма управления

• аудиторы должны оценивать риски • они должны аккуратно документировать свои оценки • руководители службы аудита должны быть готовы поставить под сомнение оценки своих сотрудников Хорошая связь • департамент, в котором проводится аудиторская проверка, должен знать о её целях • аудиторы должны достичь согласие о рисках с теми, кого проверяют • аудиторы должны достичь согласие относительно любых недостатков в механизме управления с теми, кого проверяют • отчёты об аудиторской проверке должны быть краткими и ни на одном из этапов не должны содержать принципиально новой информации для тех, кого проверяют Подробная документация • следует использовать установленный порядок документации фактов, вскрытых в ходе аудиторской проверки • руководители службы аудита должны внимательно изучать документы, составленные по итогам аудиторских проверок • документация должна быть доступной для ознакомления внешних аудиторов • следует согласовать период хранения документов аудиторской службы 28

Факты, вскрытые при аудиторской проверке и отчётность Департамент аудита любой организации должен иметь ясные письменные инструкции относительно фиксации фактов, вскрытых в ходе аудиторской проверки, и информации о выводах и рекомендациях. Изучение и оценка информации Аудиторы должны анализировать рабочий процесс, риски для банка, оценивать адекватность и использование существующих мер контроля. В частности: • Фиксируемая информация должны быть достаточной, полной, значимой и полезной для создания надёжной основы при описания вскрытых фактов и подготовке рекомендаций аудиторской проверки. • Процедуры аудита, включая методику выборки и тестирования, должны выбираться заблаговременно, когда это возможно. • Необходимо обеспечивать объективность аудиторов и выполнение целей аудита. • Рабочие документы должны фиксировать информацию и результаты анализа, поддерживать вскрытые факты и рекомендации, включаемые в отчёт. Информация о результатах Факты, вскрытые в ходе аудиторской проверки, должны докладываться чётко и в конструктивной манере. Аудиторам следует заручиться согласием и сотрудничеством сферы, прошедшей аудиторскую проверку, в укреплении механизмов контроля там, где это сочтено необходимым. 29

В практическом отношении это означает следующее: • Проводимые мероприятия и сделанные заключения следует обсудить с руководителями подразделений. • Когда факты согласованы, руководителям управления следует оставить информацию с перечислением проведённых мероприятий и сделанных заключений. • Письменные объяснения по поводу вскрытых фактов со стороны руководителей проверяемой сферы следует поощрять. Они должны знать, что их комментарии будут включены в итоговый отчёт. Может оказаться необходимым провести встречу с руководством. • После этого следует подготовить письменный отчёт об аудиторской проверке. Отчёт об аудиторской проверке Отчет об аудиторской проверке должен четко описывать цели, глубину проверки, проведённые мероприятия, сделанные заключения и любые рекомендации. Как правило, отчёт направляются начальнику департамента, в котором была проведена аудиторская проверка. Краткое изложение отчета может быть также направлено курирующему члену Совета директоров. Отчеты об аудиторских проверках следует классифицировать в какой-либо форме. Это позволит начальнику департамента быстро получить представление о состоянии механизмов контроля в его области. Такая классификация только должна быть очень простой, такой как «хорошо», «удовлетворительно» или «неудовлетворительно». Классификация должна опираться на определения. В данном случае определения могут быть следующими: 30

«Хорошо»: Меры контроля в сфере, подвергшейся аудиторской проверке, и в сопряжённых с ней областях полностью удовлетворительны и, как показывают факты, работают надёжно. «Удовлетворительно»: Состояние мер контроля в проверяемой сфере и сопряжённых областях адекватно для защиты организации от неприемлемых рисков и, как показывают факты, данные механизмы действуют без крупных ошибок. «Неудовлетворительно»: Структура или работа контрольных механизмов проверяемой сферы или сопряжённых с ней областей имеет серьёзные недостатки, что подвергает организацию неприемлемым рискам. Последующие действия Аудиторы должны быть уверены в том, что необходимо проверять выполнение сделанных рекомендаций. Представление о службе аудита пострадает, если в департаменте забудут отреагировать на рекомендации, а служба аудита забудет проконтролировать данный вопрос. В департаменте задумаются, во первых, о том, насколько в действительности важными были эти рекомендации. Контроль за качеством Важно поддерживать высокое качество аудита. Это гарантирует, что организация получает максимум от своей службы аудита. Контроль за качеством можно осуществлять через: • руководство службы аудита • группы равных внутри аудиторской службы • внешний аудит.

31

Вопросы, которые экзаменаторы должны будут задать себе, будут включать следующие: Стандарты планирования • Каково качество сводки аудита? • Аннотировал ли руководитель аудиторской проверки плановые задания, чтобы выделить области, требующие специального внимания? • Задавались ли проверяемым вопросы о наиболее важных изменениях в рабочем процессе или о недавних трудностях? • Существует ли свидетельство тому, что вопросы, выделенные в ходе предыдущей аудиторской проверки, были поставлены на первый план до начала текущей проверки? Стандарты исполнения • Выполнены ли цели аудиторской проверки? • Насколько весома информация? Поддерживает ли она сделанные выводы? • Все ли задания в рамках аудиторской проверки были выполнены? • Оценивали ли аудиторы состояние контрольных механизмов в целом в каждой проверяемой области? • Были ли первичные результаты аудиторской проверки направлены проверяемым в приемлемый период времени? • Прореагировала ли проверяемая сфера в приемлемое время? • Был ли этот ответ адекватным? Стандарты завершающей стадии • Знакомилось ли руководство службы аудита с рабочими документами до того, как был выпущен официальный отчет? • Вошли ли в отчёт все важные вопросы, отраженные в первичных документах? • Все ли важные вопросы в отчете были предвидены в первичных документах? 32

• Был ли отчёт подготовлен за приемлемой время? • Если отчет предполагает получение ответа, то получил ли кто-либо из сотрудников задание проконтролировать его поступление? • Была ли аудиторская проверка проведена в рамках отведённого бюджета? • Четко ли определены вопросы для контроля при проведении следующей аудиторской проверки? • Каково качество подготовки аудиторских документов?

33

7 Подбор кадров и их подготовка Личные качества Аудиторы должны проявлять инициативу и скрупулёзность. Они должны быть способны доводить расследование до логического завершения, проявляя упорство. Необходимо быть тактичным и дипломатичным, чтобы завоевать уважение и сотрудничество со стороны проверяемых. Без этого служба аудита не сможет достичь многого. Аудиторы должны быть способны понимать, анализировать и информировать о выводах относительно деятельности систем и состоянии механизмов контроля. Они должны быть гибкими и легко адаптироваться, так как им, может быть, придётся одновременно работать над различными вопросами. Им следует развивать чувство локтя, так как им придётся ладить со своими коллегами по службе аудита как в рабочих, так и в социальных ситуациях. Положения о должности В идеале аудиторы должны иметь положения о своих должностях с тем, чтобы было ясно, что от них ожидают. Положения можно также использовать, чтобы объяснять соискателям должностей в Департаменте аудита, что предполагает данная работа. Численность отдела Вопрос о количестве аудиторов, которые требуются организации, - весьма субъективный. Он зависит от представления о рисках в данной организации. В качестве 34

ориентира ниже приводятся цифры за декабрь 1994 года, которые показывают позицию ряда центральных банков. Центральн ый банк

Количеств Всего Служба аудита как о сотруднико % от общего числа аудиторов в сотрудников 37 2 137 1,7 57 16 876 0,3 36 17 142 0,2 64 9 351 0,7 48 6 160 0,8 31 4 072 0,8

Канада Франция Германия Италия Япония Соединённо е Королевство США* 61 4 154 • Федеральный резервный банк Нью-Йорка

1,5

Подбор кадров Некоторые организации набирают внутренних аудиторов извне своих организаций. Другие подбирают сотрудников в своей организации, используя Департамент аудита в качестве тренировочной площадки для перспективных сотрудников. Каждый подход имеет преимущества и недостатки. Аудиторы, приглашенные со стороны, имеют то преимущество, что уже прошли аудиторскую подготовку, и принесут с собой наилучший опыт аудиторской практики, полученный во время работы на предыдущих должностях. Однако они не будут знать, как работает организация, им может потребоваться время, чтобы полностью включиться в работу. Аудиторы, приглашенные на работу из других подразделений организации, знают, как она работает и какие узкие места в этой работе имеются. Они сами и их индивидуальные навыки известны в организации, однако их необходимо будет подготовить для работы в качестве внутренних аудиторов. Вместе с этим они могут столкнуться с 35

конфликтом интересов в аудиторской работе, таким как обязанность выпустить критический отчет о том направлении, в котором им, вероятно, предстоит работать, когда они вернутся к работе в основных управлениях организации; или они могут оказаться в ситуации, когда будут проверять работу своих близких друзей, работающих в организации. Вероятно, потребуется пригласить на работу хотя бы несколько внутренних аудиторов со стороны в случаях, когда организация не обладает сотрудниками со специальной квалификацией. Это наиболее вероятно в случае с аудиторами компьютеров, которые должны обладать доскональным знанием конкретной операционной платформы. Подготовка кадров Если в службу внутреннего аудита новых сотрудников переводят из других управлений банка, то их необходимо подготовить для работы в качестве аудиторов. Основные принципы можно почерпнуть из пособий и учебников; подготовка по практическим аспектам аудита, таким как использование документации, будет осуществлена более опытными аудиторами из Департамента аудита. Там, где функция аудита является новой или где аудиторам требуется более обширная подготовка по теории аудита или о том, что делают в этой сфере другие организации, необходимо пригласить специалистов со стороны для подготовки кадров. Очевидно, что такую подготовку могут осуществить международные аудиторские фирмы, одна из которых, вероятно, будет внешним аудиторам банка, или же представители других центральных банков. В некоторых странах профессиональную квалификацию в области внутреннего аудита можно получить в соответствующем институте.

36

8 Оценка стоимости аудита Получение средств Служба внутреннего аудита в организации может сделать много или мало в зависимости от того, сколько средств готов выделить на эти цели Совет директоров. Но Главному аудитору следует ориентировать Совет директоров относительно возможной потребности ресурсов. Совет директоров необходимо убедить относительно значимости службы аудита. Поэтому Совет директоров должен утвердить Положение о круге обязанностей Департамента (см. Раздел 3). После чего Департаменту следует выполнять свои обязанности быстро, эффективно и на высоком профессиональном уровне, чего можно добиться , если придерживаться стандартов, изложенных в пособии. Однако быстроту, эффективность и профессионализм трудно измерить. Отдача аудита Основной отдачей службы внутреннего аудита является, что она заверяет Управляющего или лицо, эквивалентное ему по статусу в Банке, что все системы Банка построены разумно и в их работу включены механизмы контроля. Отдачу нельзя измерить точно. Однако ежегодно можно отслеживать определенные ориентиры, хотя большинство из них имеют те или иные недостатки. К возможным ориентирам относятся следующие: • количество сотрудников в Департаменте аудита Во-первых, до тех пор пока Департамент аудита располагает достаточным количеством сотрудников (см. сопоставительную таблицу о количестве сотрудников в 37

Разделе 7), возможно сокращать количественный состав, концентрируя внимание только на областях высокого риска, повышая тем самым продуктивность и эффективность. • Стоимость содержания Департамента аудита Неизбежно появляется желание постоянно оказывать давление на стоимость в сторону понижения, и Главному внутреннему аудитору следует всегда стремиться повысить эффективность службы, например через сокращение количественного состава (см. выше). Предположим, что Департамент покрывает в своей работе все основные риски в деятельности банка, в таком случае стоимость, конечно же, не должна расти, если не будут возрастать предположенные нами риски для банка. • Количество отчётов об аудиторских проверках Эта мера имеет недостатки, потому что для проведения аудиторской проверки различных систем требуется разные периоды времени. Так что в один год может состояться большое количество аудиторских проверок маленьких систем, по результатам которых будет подготовлено больше отчётов чем в другой год, когда будет проверено меньшее количество крупных систем. • Количество завершённых аудиторских проверок за один год по сравнению с планом Эту цифру всегда можно получить, но она имеет недостатки как показатель производительности, так как всегда будут внеплановые специальные аудиторские проверки или расследования, которые должны быть проведены в течение года, что означает, что страдать будут плановые аудиторские проверки. • Количество аудиторских рекомендаций Это не самый удачный критерий оценки, потому что если аудиторы будут знать, что мерой эффективности их работы 38

является количество рекомендаций, они могут делать плохо продуманные или неразумные рекомендации только для того, чтобы увеличить их количество. • Контроль за качеством Сотрудники, отвечающие за контроль качества рабочих документов аудиторской службы, могут разработать систему баллов (см. принципы контроля за качеством в Разделе 6). Чем больше количество баллов, тем выше качество произведённой работы. • Обзор отзывов об аудите Хорошим показателем эффективности является мнение о службе внутреннего аудита тех, кто проходил аудиторские проверки. Но вновь его трудно измерить, хотя проведение периодического опроса мнений клиентов представляется полезным. Заключение Ценность службы внутреннего аудита является субъективным понятием. Некоторые показатели можно контролировать, но в конечном итоге именно суждение Совета директоров о заключениях, профессионализме и здравом смысле аудитора будет определять его взгляд о ценности службы внутреннего аудита для организации.

39

Приложение 1 ПРИМЕРЫ ОШИБОК В МЕХАНИЗМЕ КОНТРОЛЯ И ИХ ВОЗДЕЙСТВИЯ НА РИСКИ, ВЛИЯЮЩИЕ НА ЦЕНТРАЛЬНЫЕ БАНКИ РИСК Обман

Кража

Нарушени е закона

Неэффект ивное обеспечен ие компьютер ных систем

ПРИМЕР ОШИБКИ МЕХАНИЗМА КОНТРОЛЯ Банку необходимо сделать платёж. Два разных сотрудника осуществляют ввод и проверку данных в компьютере. Каждый имеет свой пароль для входа в систему, который не имеет право разглашать. Но сотрудник, отвечающий за ввод данных, случайно заметил пароль проверяющего, когда он/она вводил его в компьютер. Несколько сотрудников отвечают за сортировку старых банкнот. Но контроль за мешками, доставляемыми в помещение, где производится сортировка, отсутствует. Отсутствует и внутренняя система телевизионного наблюдения. Банк отвечает за выдачу лицензий коммерческим банкам на привлечение депозитов. Закон гласит, что Банк обязан принять решение по истечении определённого времени после подачи заявления. Хотя существует формуляр, в котором должны фиксироваться стадии рассмотрения каждого заявления, никто не проверил, сколько осталось времени до истечения официального срока. Банк приобретает новую систему для организации выплаты заработной платы. Поставщики готовы обеспечивать работу системы в течение 24 часов в сутки за определённую плату. Проверка факта оплаты никому не поручена, и о ней забывают. Система даёт сбой накануне

40

ВЛИЯНИЕ Теперь сотрудник, отвечающий за ввод данных, сам может провести платеж и его проверку. Это классический пример мошенничества. Банк может потерять значительное количество денежных средств.

Сотруднику удаётся украсть банкноты, спрятав их в сумочке/бумажнике, и в результате банк теряет деньги.

Официальный срок нарушен, и заявитель может предъявит Банку иск. Это повлечет за собой отрицательную известность и, возможно, компенсацию ущерба.

Возможно, Банк не сможет выплатить заработную плату сотрудникам в назначенный день. Тот факт, что руководитель не дал поручения своим сотрудникам и/или не проконтролировал их выполнение, является серьёзным сбоем механизма контроля.

дня выплаты заработной платы. Помощь получить негде.

41

42

Приложение 2 ПРИМЕРЫ КЛАССИФИКАЦИИ РАЗЛИЧНЫХ СИСТЕМ, СОПРЯЖЕННЫХ С ВЫСОКИМ РИСКОМ, ДЛЯ ТОГО, ЧТОБЫ ОПРЕДЕЛИТЬ, КУДА СЛЕДУЕТ НАПРАВИТЬ РЕСУРСЫ ДЛЯ ПРОВЕДЕНИЯ АУДИТА Система выплаты заработной платы

Планы на случай непредвиденных сбоев в сети компьютеров

Управление иностранными резервами

Баллы начисляются по шкале от 0 до 3

Значени е

Количество баллов

Резул ьтат

Количество баллов

Результат

Количе ство баллов

Результа т

Является ли это основным видом деятельности банка? Если да, то поставьте 3 балла.

15

0

0

2

30

3

45

Повлечет ли ошибка или потеря ухудшение репутации банка? Если да, то поставьте 3 балла.

15

1

15

3

45

3

45

Будет ли ошибка или потеря означать нарушение закона? Если да, то поставьте 3 балла.

15

2

30

0

0

3

45

Окажет ли ошибка/потеря материальное воздействие на счета банка? Если да, то поставьте 3 балла.

15

0

0

3

45

3

45

Какое качество механизмов контроля в системе? Если плохое, то поставьте 3 балла.

10

1

10

1

10

0

0

Насколько зрелой является система? Если новая, то поставьте 3 балла.

5

3

15

3

15

1

5

Случались ли ранее ошибки/потери? Если да, то поставьте 3 балла.

10

1

10

1

10

0

0

Какая квалификация руководства и сотрудников, работающих в данной системе? Если низкая, то поставьте 3 балла.

10

1

10

1

10

1

10

43

Всего

90

165

195

Из данного примера очевидно, что управление иностранными резервами является системой, сопряжённой с наибольшими рисками, в непосредственной близости от неё находятся планы на случай непредвиденного сбоя в системе компьютеров. Ресурсы службы аудита следует направлять преимущественно в эти системы, а не использовать в системе выплаты заработной платы, чреватой меньшими рисками. Если данный процесс повторить для всех систем банка, то он предоставит основу для составления программы аудита на год.

44