Навіщо банкам оцінка внутрішнього аудиту
Навіщо банкам оцінка внутрішнього аудиту
У 2020 році завершується п'ятирічний етап, протягом якого українські банки зобов'язані пройти зовнішнє оцінювання функції внутрішнього аудиту. Наскільки банки готові до цього кроку і чому це важливо для українського банківського сектору, пише в колонці Сергій Касаткін, менеджер відділу управління ризиками KPMG в Україні
Постанова НБУ «Про затвердження Положення про організацію внутрішнього аудиту в банках України» № 311 від 10.05.2016 свого часу стала логічним продовженням зусиль регулятора з вдосконалення корпоративного управління в банках і наближення їх до європейських практик.
Незалежне зовнішнє оцінювання дозволяє всім стейкхолдерам – від регуляторних органів і акціонерів до співробітників і клієнтів банку – отримати гарантію того, що внутрішній аудит банку ефективний, йому можна довіряти, а це має зміцнювати репутацію банківської системи.
Для самих банків оцінка може стати гарним інструментом моніторингу вузьких місць у власному аудиті та підготовки пропозицій щодо їх вирішення. Зокрема, зовнішня оцінка дає можливість перевірити якість роботи внутрішнього аудиту за такими напрямками, як відповідність стандартам, кодексу етики, внутрішнім політикам і процедурам. Також вона виявляє якість інструментів і методик внутрішнього аудиту, кваліфікацію персоналу внутрішнього аудиту, результати роботи і якість звітності внутрішнього аудиту.
Зовнішній експерт може звернути увагу на те, що річний (а в окремих випадках і більш довгостроковий) план аудиту не переглядається на регулярній основі. В результаті внутрішній аудит концентрує свої зусилля на проектах, які втратили свою актуальність, і не встигає реагувати на динамічні зміни у зовнішньому або внутрішньому середовищі банку. Керівник внутрішнього аудиту безпосередньо не взаємодіє з членами наглядової ради, а тому не знає, управління якими ризиками знаходиться в пріоритеті у ради.
Зовнішня оцінка допоможе з'ясувати, чому в плані роботи внутрішнього аудиту відсутнє питання ефективності кібербезпеки банку і управління відповідними ризиками. Ймовірно, в штаті просто немає відповідного фахівця, а залучення зовнішньої експертизи не передбачено бюджетом підрозділу.
Оцінювач не обійде стороною безпосереднє проведення аудитів і підготовку звітів за результатами. Нерідко внутрішні аудитори скаржаться, що аудиторські звіти не отримують належної уваги з боку вищого менеджменту і наглядової ради. І в цьому випадку зовнішня оцінка допоможе встановити, що на багатосторінкові звіти внутрішнього аудиту, переповнені спеціальною термінологією, у ключових користувачів просто немає часу.
Оцінка зачіпає також моніторинг виконання рекомендацій внутрішнього аудиту. Причиною того, що внутрішній аудит з року в рік виявляє одні й ті самі недоліки в процесах, може виявитися відсутність належного обговорення та узгодження рекомендацій з менеджментом або подальшого моніторингу їх впровадження. Звичайно, завдання зовнішньої оцінки – не просто вказати на ті чи інші вузькі місця в роботі внутрішнього аудиту, а й запропонувати можливі поліпшення. В разі вищезазначених досить типових зауважень такими поліпшеннями можуть стати:
- Регулярні зустрічі керівника внутрішнього аудиту з наглядовою радою для обговорення ключових ризиків банку, змін, що відбуваються, ефективності тих чи інших процесів, що дасть можливість актуалізувати план роботи внутрішнього аудиту.
Перегляд підходів до формування штату внутрішнього аудиту (найм співробітників, які володіють необхідною експертизою для того, щоб внутрішній аудит міг оцінювати ефективність управління дійсно істотними ризиками для банку, в тому числі ризиками кібербезпеки) або виділення бюджету для залучення зовнішньої експертизи.
Підготовка коротких (одна-дві сторінки) резюме або службових записок за підсумками проведеного аудиту для вищого менеджменту та наглядової ради, на ознайомлення з якими у них напевно вистачить часу.
Узгодження рекомендацій з менеджментом (термінів впровадження, конкретних дій, відповідальних осіб) і подальший моніторинг з ескалацією результатів на правління або наглядову раду.
У підсумку результатом такого процесу має стати поява так званої дорожньої карти з поліпшення якості роботи підрозділу внутрішнього аудиту. При цьому дуже важливо, щоб результати оцінки враховувалися як наглядовою радою, так і топ-менеджментом банку, а не залишалися жити тільки на папері. Тому варто створити окрему робочу групу, яка буде проводити зміни і повідомляти наглядову раду про статус впровадження рекомендацій зовнішнього експерта.
Залучення вищого менеджменту і наглядової ради є важливим і на етапі проведення самої оцінки. Крім вивчення і аналізу документів, які регламентують діяльність внутрішнього аудиту, робочої та звітної документації щодо проведених аудитів, експерт зустрічається з керівниками підрозділів, які виступали в ролі об'єктів аудиту, керівниками функцій ризик-менеджменту і комплаенсу, членами правління і наглядової ради для обговорення різних аспектів роботи внутрішнього аудиту.
Подібний сторонній погляд дозволяє виявити як дрібні недоліки (наприклад, занадто стислі терміни виконання запитів на надання інформації в рамках аудиту), так і більш істотні (незадоволеність ключових «клієнтів» внутрішнього аудиту якістю рекомендацій).
Як вибрати зовнішнього експерта? Коли ми говоримо про аудит, принцип «що дешевше, то краще» не працює. Перш за все такий експерт або співробітники компанії повинні мати сертифікацію в області внутрішнього аудиту (наприклад, CIA), володіти провідними практиками, а також достатній досвід в управлінні функціями внутрішнього аудиту, мати глибокі практичні знання концептуальних основ внутрішнього аудиту (стандарти, керівництва тощо).
Додаткові вимоги до оцінювача можуть варіюватися в залежності від ситуації. Серед таких вимог можуть бути: додаткова експертиза в ризик-менеджменті, IT-аудит, а також досвід управління підрозділом внутрішнього аудиту у фінансовій організації тощо.
Слід також приділити увагу об'єктивності та незалежності зовнішнього експерта. В учасників команди не повинно бути потенційного або фактичного конфлікту інтересів. Загрозою об'єктивності й незалежності можуть бути колишні або теперішні зв'язки з банком, його персоналом, підрозділом внутрішнього аудиту. Зокрема, йдеться про особисті стосунки або надання банку раніше послуг в області корпоративного управління, ризик-менеджменту, внутрішнього контролю.
Сергій Касаткін, менеджер відділу управління ризиками KPMG в Україні
© 2024 KPMG означає ТОВ "КПМГ-Україна", ПрАТ "КПМГ Аудит" та АО "КПМГ ПРАВО", компанії, зареєстровані згідно із законодавством України; члени глобальної організації незалежних фірм KPMG, що входять до KPMG International Limited, приватної англійської компанії з відповідальністю, обмеженою гарантіями своїх учасників. Всі права захищені.
Щоб отримати докладнішу інформацію про структуру глобальної організації KPMG, відвідайте https://kpmg.com/governance.