Минулий рік закрив «п’ятирічку», протягом якої банки повинні були провести оцінювання ефективності свого внутрішнього аудиту. Що включає в себе проходження даної процедури і чому це є важливим кроком на шляху удосконалення корпоративного управління в банках? Про це в нашій статті.
Завдання незалежного зовнішнього оцінювання – не просто виявити та вказати на вузькі місця в роботі внутрішнього аудиту й запропонувати можливі шляхи поліпшення. Результатом проведення подібної роботи повинна стати цілісна картина, яка допоможе всім зацікавленим сторонам відповісти на запитання: чи виконує внутрішній аудит належним чином покладені на нього функції з урахуванням тієї важливої ролі, яка відведена йому на сьогодні в системі корпоративного управління банків?
Все більшої актуальності набуває процес незалежної оцінки внутрішнього аудиту з урахуванням недавнього внесення на розгляд Верховної Ради змін до закону «Про банки і банківську діяльність» у частині посилення відповідальності наглядової ради і правління банків, а також системи внутрішнього контролю й управління ризиками. Мета таких змін – вдосконалення системи корпоративного управління і впровадження провідних світових практик функціонування банків. А це означає, що вимоги до якості й ефективності роботи внутрішнього аудиту банків також зростатимуть у природний спосіб.
Що перевіряють зовнішні фахівці при оцінці роботи департаменту внутрішнього аудиту банку?
Завдання зовнішнього аудитора – отримати відповіді на такі питання:
- Чи приносять процедури трансформації у внутрішньому аудиті позитивний ефект (наприклад, оптимізацію ресурсів або охоплення більш ризикових сфер при наявних ресурсах)?
- Чи досить компетентні внутрішні аудитори для ефективної перевірки процесів компанії в умовах постійно мінливого зовнішнього середовища й появи нових ризиків?
- Чи є комунікація внутрішнього аудиту з Аудиторським комітетом і топменеджментом банку достатньою й ефективною для максимальної поінформованості не тільки про трансформацію функції внутрішнього аудиту, а й передусім про результати його роботи та необхідні заходи для поліпшення якості процесу управління ризиками й системи внутрішнього контролю організації ?
Що ще перевірить експерт під час оцінки внутрішнього аудиту вашого банку? Без уваги не залишаться такі аспекти:
– річний план аудиту. Експерт з’ясує, чи базується план на оцінці карти ризиків банку та чи переглядається регулярно. Якщо відповідь на ці питання негативна, є ризик, що аудитори банку концентрують увагу на неактуальних завданнях і не встигають реагувати на динамічні зміни;
– управління кібербезпекою. Дуже важлива сфера для проведення перевірок, оскільки від коректної роботи кібербезпеки залежать життєві функції банку, наприклад, збереження в таємниці особистих даних клієнтів. Не менш важливим є питання наявності в штаті фахівця з ІТ-аудиту. Якщо ж такого немає, варто рекомендувати керівництву залучити зовнішнього експерта;
– підготовка звітної документації. Нерідко бувають випадки, коли звіти внутрішніх аудиторів не отримують належної уваги з боку вищого менеджменту й наглядової ради. Часом це свідчить про те, що звітна документація занадто об’ємна й переповнена спеціальною термінологією, на ознайомлення з якою у керівництва просто немає часу.
Після завершення всіх процедур запрошений експерт складе план щодо поліпшення якості роботи департаменту внутрішнього аудиту. Потрібно пам’ятати, що результати незалежної оцінки зовнішнього фахівця повинні побачити члени Аудиторського комітету, наглядової ради й топменеджмент банку, а не тільки керівник департаменту внутрішнього аудиту.
Як вибрати ідеального «ревізора»?
Хороший спеціаліст повинен мати глибоку компетенцію в питаннях внутрішнього аудиту, володіти провідними інструментами та вміти вибирати й застосовувати найбільш відповідні методи оцінки для кожного проєкту. Не стільки перевага, скільки необхідність мати досвід управління функціями внутрішнього аудиту.
Банку-клієнту зі свого боку важливо переконатися в тому, що в учасників запрошеної команди немає потенційного або фактичного конфлікту інтересів, а саме, що ніхто з експертів не пов’язаний із персоналом банку, який перевіряється.
Як зовнішня оцінка працює на практиці: досвід Kreston
Детальний аналіз матриці оцінки ризиків, яка лежить в основі ризик-орієнтованого планування служби внутрішнього аудиту одного з банків, проведений нами в рамках незалежного зовнішнього оцінювання, виявив ряд аспектів, які не були враховані при її складанні, в числі яких:
- вплив зовнішніх факторів, таких, як істотні зміни в законодавчій і нормативно-правовій базі, макроекономічному середовищі, а також форс-мажорні обставини;
- пріоритети вищого керівництва банку (правління і наглядової ради) виходячи зі стратегії розвитку, а також оцінки ризиків та визначення членами цих органів окремих об’єктів або процесів в банку як високоризикових, які можуть нести потенційну загрозу істотних збитків;
- професійне судження внутрішніх аудиторів.
Як наслідок, нами були визначені процеси з низьким пріоритетом відповідно до чинної методології внутрішнього аудиту, які не потрапляли в план перевірок більше 5 років, не дивлячись на властивий їм високий рівень природного ризику, що включає ризик шахрайства (наприклад, процес закупівель).
В результаті перегляду внутрішнім аудитом плану перевірок і проведення аудиту закупівель, був виявлений випадок внутрішнього шахрайства, пов’язаний з орендою банком складських приміщень у третіх осіб.
Виходячи з викладеного в статті, можна сміливо стверджувати, що оцінка внутрішнього аудиту безумовно зіграє позитивну роль в життєдіяльності банку та буде корисна всім зацікавленим особам, від членів правління до клієнтів. Співпраця з незалежними аудиторами надає внутрішнім фахівцям банку можливість перейняти нові ефективні інструменти і методики, якими користуються експерти авторитетних фірм.
