Банку необходимо рассмотреть возможность внедрения системы внутреннего контроля в соответствии с международной методологией построения системы внутреннего контроля COSO. В соответствии с концепцией COSO процесс управления рисками и построения системы внутреннего контроля в организации (в том числе и в банке) состоит из пяти взаимосвязанных компонентов. Содержание данных компонентов определяется тем, как руководство управляет организацией. К этим компонентам относятся: контрольная (внутренняя) среда; выявление и оценка рисков; контрольные процедуры; информация и коммуникации; мониторинг и устранение недостатков

2.3.2. Подразделение внутреннего аудита12

В рамках функционирования подразделения внутреннего аудита оценены:

    внутренняя политика и процедуры Банка, регулирующие деятельность Службы внутреннего контроля (далее - СВК); определяющие полномочия СВК (обязанности, подотчетность и организационную структуру); роль СВК в деятельности Банка; принцип независимости СВК; разработки и утверждения стратегии СВК, бюджета, объема и плана работ; методологическая база деятельности СВК, в том числе по рискам, в части определения объектов и объема работ; процедура взаимодействия СВК с департаментами Банка (в том числе с Департаментом банковских рисков), внешними аудиторами и государственными структурами; на выборочной основе проанализированы отчеты, предоставляемые по результатам работ СВК; контрольные механизмы и критерии работы СВК руководством Банка.

Выявленные недостатки функционирования подразделения внутреннего аудита в АО “ОТП Банк”:

НЕ нашли? Не то? Что вы ищете?

1. Отсутствует четкое разделение понятий внутреннего контроля и внутреннего аудита (как формально, так и на понятийном уровне) в соответствии с лучшей мировой практикой. Функции внутреннего аудита в Банке выполняет Служба внутреннего контроля. В международной практике это структуры, выполняющие функцию независимого внутреннего аудита, подразделения внутреннего аудита. В связи с этим наблюдается ряд недостатков в рамках внутреннего аудита, в частности, формальное делегирование функции обеспечения внутреннего контроля в Банке подразделению, выполняющему функции внутреннего аудита. Следует отметить, что в рамках российского законодательства до конца не разделены понятия "внутренний контроль" и "внутренний аудит", что порождает путаницу и в теории, и на практике. В связи с этим, помимо отсутствия четкого разделения внутреннего аудита и внутреннего контроля в Банке, существует также несоответствие между положениями внутренних документов Банка, положения одного из которых соответствует, а другого не соответствует передовой международной практике.

2. Не разделены и не формализованы функциональная подотчетность Совету директоров (далее - СД) (через Комитет по аудиту) Банка и организационное подчинение президенту. Оперативное руководство и координацию деятельности СВК осуществляет менеджмент Банка. Оперативное руководство и координацию деятельности СВК - президент банка. Президент Банка согласовывает перед рассмотрением СД Положение о СВК, кандидатуру руководителя СВК, периодические отчеты о работе СВК, заслушивает отчеты по результатам конкретных проверок, принимает меры по устранению выявленных в ходе проверок нарушений. Отчеты на оперативной основе предоставляются только менеджменту Банка (в том числе и по мерам исправления недостатков, выявленных в ходе проверки). Отсутствуют формализованные критерии существенности информации, которую СВК должен предоставлять СД, и периодичность ее предоставления. В соответствии с рекомендациями Института внутренних аудиторов, а также Базельского комитета подразделение внутреннего аудита должно действовать под непосредственным контролем либо главного исполнительного лица банка, либо Совета директоров (Комитета по аудиту). Относительно Банка механизм корпоративного управления предполагает совмещение функций владельца (контроля) и высшего исполнительного лица. Данный недостаток тесно связан с проблемой отсутствия разделения функций владения (контроля) и управления, а также может ограничивать возможность соблюдения прав акционеров.

3. Аудит контроля бизнес-процессов не является основной задачей СВК, которая в основном ориентирована на проверку соблюдения нормативных требований и проведение аудита в области финансовой отчетности. В целом основные усилия СВК были направлены на проверку соблюдения требований нормативных актов и в определенной степени на выполнение задач внутреннего аудита в области финансовой отчетности. Контрольные процедуры, бизнес-системы и операционное направление отнюдь не в центре внимания СВК. Такой характер приоритетов обусловлен сложившимися тенденциями и требованиями нормативных актов. В настоящее время указанные тенденции начинают меняться в соответствии с изменениями в развитии бизнеса и стратегических задач Банка. Передовая международная практика показывает, что службе внутреннего аудита следует уделять основное внимание рискам, контролю, системам, а также операционным вопросам, не выпуская из поля зрения задачи аудита финансовой отчетности.

4. Не формализовано и фактически отсутствует разделение функций СВК по аудиту и консультированию. СВК дает консультации в рабочем порядке сотрудникам и подразделениям Банка. Между тем во внутренних документах Банка, регламентирующих деятельность подразделения внутреннего аудита, не выделен функционал оказания консультационных услуг.

5. Выполнение СВК функций, не свойственных подразделению внутреннего аудита, в соответствии с лучшими практиками. СВК осуществляет виды деятельности, которые не свойственны подразделениям внутреннего аудита крупнейших международных банков, за исключением российских банков и российских кредитных организаций международных банков: осуществление внутреннего контроля Банка как специализированного сторонника рынка ценных бумаг; взаимодействие с регулятором - Банком России по вопросам проверок, предусмотренных отчетами Банка России о проверке Банка; анализ соответствия деятельности Банка, внутренних регламентов и процедур требованиям законодательства; участие в разработке и согласовании внутренних документов Банка. Такое сочетание обязанностей в некоторой степени обусловлено нормативными требованиями российского законодательства и широко распространено на российском рынке. Вместе с тем подразделение внутреннего аудита и служба комплайенс-контроля (соответствия законодательству) в большинстве зарубежных банков разделены. Считается, что одно из основных преимуществ разделения внутреннего аудита и службы комплайенс-контроля заключается в том, что независимость и объективность внутреннего аудита не подвергается риску, поскольку сотрудники подразделения должны проверять работу своих коллег по департаменту.

6. Участие руководителя СВК в деятельности внутренних комитетов. Руководитель СВК участвует в заседаниях Правления (постоянный приглашенный, без участия в голосованиях) и Кредитного комитета. Факт участия руководителя СВК в заседаниях указанных органов Банка может повлиять на оценку соблюдения СВК принципа беспристрастности и объективности, даже если он не вовлекается в принятие решений по операционной деятельности Банка, внедрению процедур внутреннего контроля и т. д.

7. Миссия и стратегия подразделения внутреннего аудита не определены и не отражены во внутренних документах Банка. В Банке разработано Положение о Службе внутреннего контроля (СВК), в котором приводится описание видения развития подразделения, целей, задач, обязанностей, а также основных принципов работы. Однако в Банке отсутствует документально зафиксированная миссия и стратегия внутреннего аудита. У Банка нет стратегического плана аудита на 2 - 5 лет, что объясняется отсутствием эффективного стратегического плана развития. Процедуры разработки и пересмотра стратегии не формализованы. Отсутствует связь между стратегией развития и установленными акционерами ключевыми показателями эффективности (далее - KPI) Банка. Стратегический план внутреннего аудита должен быть составлен на основе стратегических задач и целей Банка. Стратегический план аудита должен также учитывать характерную для Банка структуру рисков и практику управления рисками. Стратегические планы в большинстве случаев составляются на 2 - 5 лет, в течение которых проводится аудиторская проверка всех основных систем и направлений деятельности. Отсутствует формализованная политика, регламентирующая внесение изменений в приоритеты и цели годового плана аудита. В настоящее время изменения вносятся по мере необходимости.

8. Неэффективное распределение информации в ключевых документах, регламентирующих деятельность внутреннего аудита в Банке. В целом документы частично покрывают содержание методологии в соответствии с международной практикой. Не определен единый подход к установлению приоритетности и сроков устранения недостатков, выявленных в результате проверок, проведенных СВК.

9. Отсутствует методология внутреннего аудита, основанная на оценке рисков. При разработке методик деятельности внутреннего аудита международные рекомендации (COSO, Институт внутренних аудиторов) и передовая международная практика не используются. В большинстве случаев СВК распределяет ресурсы внутреннего аудита на основе суждений руководства СВК и президента. При всей значимости этих суждений и необходимости их учитывать, оценка рисков, связанных с работой проверяемых подразделений, должна быть основным критерием, в соответствии с которым производится планирование и распределение ресурсов внутреннего аудита. Детальные бюджеты времени для выполнения аудиторских заданий не составляются (и, самое главное, нет процедуры контроля и ответственности за неисполнение бюджета - нет связи с компенсацией). Таким образом, бюджеты времени - свободные.

10. Процессы внутреннего аудита не автоматизированы. Отсутствует интегрированная в информационное поле Банка автоматизированная система управления деятельностью СВК, включающая процессы анализа рисков, процедур планирования на основании рисков процессов, процессы управления проведением проверок, формирования и хранения отчетов по результатам проведенных проверок и другой информации и т. д.

11. Отсутствует формализованный подход к оценке эффективности деятельности СВК: KPI на момент анализа не утверждены. В Банке разработаны и зафиксированы в документах принципы работы внутреннего аудита. Однако отсутствуют зафиксированные в документах внутренние стандарты и программы качества, связанные с ними политика и процедуры надлежащего мониторинга выполнения заданий аудиторами и их объективности. Хотя в банке не зафиксированы случаи проявления необъективности и ненадлежащего выполнения заданий, считаем, что разработка политики и процедур, обеспечивающих надлежащее выполнение заданий аудиторами, относится к наиболее важным задачам на данном этапе развития внутреннего аудита.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12