Зачем банкам оценка внутреннего аудита

Зачем банкам оценка внутреннего аудита

В 2020 году завершается пятилетний этап, в течение которого украинские банки обязаны пройти внешнюю оценку функции внутреннего аудита. Насколько банки готовы к этому шагу и почему это важно для украинского банковского сектора, пишет в колонке менеджер по консультированию по управлению рисками форензик-компании KPMG Сергей Касаткин.

Постановление НБУ «Об утверждении Положения об организации внутреннего аудита в банках Украины» № 311 от 10.05.2016 в свое время стало логичным продолжением усилий регулятора по усовершенствованию корпоративного управления в банках и приближению их к европейским практикам.

Независимая внешняя оценка позволяет всем стейкхолдерам – от регуляторных органов и акционеров до сотрудников и клиентов банка – получить гарантию того, что внутренний аудит банка эффективен, ему можно доверять, а это должно укреплять репутацию банковской системы.

Для самих банков оценка может стать хорошим инструментом мониторинга узких мест в собственном аудите и подготовки предложений по их решению. В частности, внешняя оценка дает возможность проверить качество работы внутреннего аудита по таким направлениям, как соответствие стандартам, кодексу этики, внутренним политикам и процедурам. Также она выявляет качество инструментов и методик внутреннего аудита, квалификацию персонала внутреннего аудита, результаты работы и качество отчетности внутреннего аудита.

Внешний эксперт может обратить внимание на то, что годовой (а в отдельных случаях и более долгосрочный) план аудитов не пересматривается на регулярной основе. В итоге внутренний аудит концентрирует свои усилия на проектах, которые утратили свою актуальность, и не успевает реагировать на динамичные изменения во внешней либо внутренней среде банка. Руководитель внутреннего аудита напрямую не взаимодействует с членами набсовета, а потому не знает, управление какими рисками находится в приоритете у совета.

Внешняя оценка поможет выяснить, почему в плане работы внутреннего аудита отсутствует вопрос эффективности кибербезопасности банка и управления соответствующими рисками. Вероятно, в штате просто нет соответствующего специалиста, а привлечение внешней экспертизы не предусмотрено бюджетом подразделения.

Оценщик не обойдет стороной непосредственное проведение аудитов и подготовку отчетов по результатам. Нередко внутренние аудиторы жалуются, что аудиторские отчеты не получают должного внимания со стороны высшего менеджмента и набсовета. И в этом случае внешняя оценка поможет установить, что на многостраничные отчеты внутреннего аудита, переполненные специальной терминологией, у ключевых пользователей попросту не хватает времени.

Оценка затрагивает и мониторинг выполнения рекомендаций внутреннего аудита. Причиной того, что внутренний аудит из года в год обнаруживает одни и те же недостатки в процессах, может оказаться отсутствие должного обсуждения и согласования рекомендаций с менеджментом либо последующего мониторинга их внедрения. Конечно же, задача внешней оценки – не просто указать на те или иные узкие места в работе внутреннего аудита, но и предложить возможные улучшения. В случае вышеупомянутых достаточно типичных замечаний такими улучшениями могут стать:

  • – Регулярные встречи руководителя внутреннего аудита с набсоветом для обсуждения ключевых рисков банка, происходящих изменений, эффективности тех или иных процессов, что даст возможность актуализировать план работы внутреннего аудита.

  • – Пересмотр подходов к формированию штата внутреннего аудита (найм сотрудников, обладающих необходимой экспертизой для того, чтобы внутренний аудит мог оценивать эффективность управления действительно существенными рисками для банка, в том числе рисками кибербезопасности) либо выделение бюджета для привлечения внешней экспертизы.

  • – Подготовка коротких (одна-две страницы) резюме или служебных записок по итогам проведенного аудита для высшего менеджмента и набсовета, на ознакомление с которыми у них наверняка хватит времени.

  • – Согласование рекомендаций с менеджментом (сроков внедрения, конкретных действий, ответственных лиц) и последующий мониторинг с эскалацией результатов на правление либо набсовет.

В итоге результатом такого процесса должно стать появление так называемой дорожной карты по улучшению качества работы подразделения внутреннего аудита. При этом очень важно, чтобы результаты оценки учитывались как набсоветом, так и топ-менеджментом банка, а не оставались жить только на бумаге. По этой причине стоит создать отдельную рабочую группу, которая будет проводить изменения и уведомлять набсовет о статусе внедрения рекомендаций внешнего эксперта.

Вовлеченность высшего менеджмента и набсовета важна и на этапе проведения самой оценки. Помимо изучения и анализа документов, которые регламентируют деятельность внутреннего аудита, рабочей и отчетной документации по проведенным аудитам, эксперт встречается с руководителями подразделений, которые выступали в роли объектов аудита, руководителями функций риск-менеджмента и комплаенса, членами правления и набсовета для обсуждения различных аспектов работы внутреннего аудита.

Подобный взгляд со стороны позволяет выявить как мелкие недостатки (например, слишком сжатые сроки выполнения запросов на предоставление информации в рамках аудита), так и более существенные (неудовлетворенность ключевых «клиентов» внутреннего аудита качеством рекомендаций).

Как выбрать внешнего эксперта? Когда мы говорим об аудите, принцип «чем дешевле, тем лучше» не работает. Прежде всего такой эксперт или сотрудники компании должны иметь сертификацию в области внутреннего аудита (например, CIA), владеть ведущими практиками, а также достаточным опытом в управлении функциями внутреннего аудита, иметь глубокие практические знания концептуальных основ внутреннего аудита (стандарты, руководства и т.д.).

Дополнительные требования к оценщику могут варьироваться в зависимости от ситуации. Среди таких требований могут быть: дополнительная экспертиза в риск-менеджменте, IT-аудите, а также опыт управления подразделением внутреннего аудита в финансовой организации и т.д.

Следует также уделить внимание объективности и независимости внешнего эксперта. У участников команды не должно быть потенциального либо фактического конфликта интересов. Угрозой объективности и независимости могут быть ранее существовавшие либо нынешние связи с банком, его персоналом, подразделением внутреннего аудита. В частности, речь идет о личных отношениях либо оказании банку ранее услуг в области корпоративного управления, риск-менеджмента, внутреннего контроля.

Подписывайтесь на новости FinClub в TelegramViberTwitterFacebook.

Теги #мнение #kpmg

Присоединяйтесь