Финансовая сфера

Банковское обозрение


  • Услуги внутреннего контроля и аудита
01.08.2007

Услуги внутреннего контроля и аудита

Организация работы службы внутреннего контроля и аудита — одна из самых активно обсуждаемых тем в российском банковском сообществе. Идея внутреннего банковского аудита для российского рынка еще довольно свежа, и потому банкиры иногда затрудняются как с определением функционала подобной службы, так и со своим отношением к ней. Внутренний контроль для регулятора? Для акционеров? Или для бизнеса? О практике организации работы внутренних контролерови аудиторов в российском банке американской финансовой корпорации GE Money «Банковскому обозрению» рассказывает Юлия Зайцева, директор службы внутреннего контроля ДжиИ Мани Банка.


— Юлия, каковы основные принципы организации внутреннего контроля и аудита в вашем банке?

Юлия Зайцева— Служба внутреннего контроля (СВК), или внутренний аудит, как мы называем ее в банке, в основном занимается последующим контролем, то есть выявлением фактов нарушений после того, как они имели место. С организационной точки зрения система внутреннего контроля включает в себя не только СВК — есть и другие подразделения, которые осуществляют превентивный и текущий контроль за различными бизнес-процессами банка. По большому счету, служба внутреннего контроля должна заниматься именно контролем последствий. Но мы не ограничиваемся выявлением уже допущенных ошибок, а стараемся также участвовать в предупреждении реализации рисков.

Если говорить о принципах организации процесса, то следует упомянуть о внедренной в ДжиИ Мани Банке глобальной системе PARS — planning and reporting system. Это программное обеспечение, которое корпорация GE приобрела для внутреннего аудита. В этой системе мы планируем свое время по трем основным видам деятельности: плановые аудиты, «приоритетные проверки» и консалтинг по рискам и контролям. Кстати, каждый сотрудник СВК ежедневно ведет график рабочего времени — timesheet, показывающий распределение времени, затраченного сотрудниками на каждый вид деятельности.

С плановым аудитом, полагаю, все понятно, а под определение «приоритетных проверок» попадают аудиторские проверки, которые не запланированы в годовом плане, не утверждены аудиторским комитетом при совете директоров, а инициированы бизнесом. В СВК может обратиться руководитель любого департамента банка и попросить проверить деятельность какого-либо процесса.

Третье направление деятельности СВК — это risk and advisory services (RAS), то есть консалтинг бизнеса на стадии разработки и внедрения новых проектов, консалтинг при выпуске новых внутренних регламентов, внутренних процедур и приказов. Причем RAS в нашем банке занимает большой удельный вес по сравнению с другими странами.

— Что же может заставить руководителя подразделения призвать на свою голову «приоритетную» аудиторскую проверку? Российские банковские форумы в Интернете пестрят сообщениями о том, как аудиторов не любят и стараются держаться от них подальше.

— Гипотетическим примером приоритетной проверки может быть следующая ситуация. Мы начали работу с новым поставщиком каких-либо товаров или услуг и вдруг замечаем, что за аналогичные услуги в других регионах банк платит меньше. СВК должна сделать независимое расследование и выяснить, связано ли это с тем, что тендер был проведен неграмотно, или был нарушен принцип «конфликта интересов» (представитель тендерной комиссии выбрал услуги компании, в которой работают родственники), либо имела место элементарная ошибка — сотрудники банка не знали перечня цен на эти услуги в данном регионе.

Другой пример: мы видим, что какое-то подразделение работает с большим объемом транзакций и имеет странную статистику в части показателей своей работы. Существуют какие-то среднестатистические нормы времени, которое необходимо на проверку документов, а мы сталкиваемся с тем, что сотрудники тратят на проверку документов либо слишком много времени, либо слишком мало. В первом случае возникает сомнение в профпригодности, во втором вопрос: а осуществляется ли проверка документов на практике?

В некоторых случаях мы хотим убедиться в том, что допущенная однажды ошибка не повторится в похожих условиях в других региональных подразделениях банка. Приведу реальный пример приоритетной проверки из практики банка. Мы выбирали поставщика услуг, в ходе предоставления которых происходил бы обмен конфиденциальной информацией. Перед тем как подписать контракт, специалисты банка провели проверку, составили план действий, которые должен выполнить поставщик, чтобы соответствовать высоким стандартам GE в части организации системы внутреннего контроля, физической, технической и информационной безопасности со стороны поставщика. Контрагент очень серьезно отнесся к нашим рекомендациям, и за два месяца 85% недочетов были устранены, а над 15% работа находится в стадии завершения.

Не нужно воспринимать службу внутреннего контроля как исключительно надзорный орган, мы оказываем банку услуги, которые помогают ему работать правильно.

— То есть приоритетные проверки отвечают на какие-то ситуативные запросы бизнеса. А как поставлена плановая работа? Какова сверхзадача внутреннего контроля и аудита в вашем банке? Какую информацию хотят получать от аудиторов топ-менеджеры и акционеры?

— В нашей работе мы в целом стараемся применять концепцию add value — принеси пользу. Как это реализуется на практике? Годовой план проверок СВК составляется на основании регулярной ежегодной оценки рисков в бизнес-процессах. В течение одного месяца в четвертом квартале каждого года мы идентифицируем основные бизнес-процессы, выделяем в них наиболее рисковые области, учитываем мнение «собственников» процесса. Например, если мы оцениваем выпуск пластиковых карт, то «собственником» процесса является управление пластиковых карт. Мы обязательно проводим встречу с сотрудниками и руководителем управления, чтобы понять, насколько наши суждения относительно рискованности этапов этого процесса верны, и что необходимо добавить/подкорректировать в нашей оценке рискованности этого бизнеса банка. Рассмотрев мнение всех сторон, мы приходим к единой оценке рисков.

Причем с точки зрения документирования оценка рисков тоже достаточно формализована и заводится в автоматизированную систему PARS. В системе, помимо учета времени аудиторов СВК и данных по годовому плану проверок, есть раздел для документирования результатов процесса оценки рисков.

Далее мы оцениваем риски, во-первых, с точки зрения, операционной сложности, во-вторых, с точки зрения стабильности состава сотрудников. Наличие постоянного персонала является важным фактором при оценке риска. Ведь если в каком-то подразделении велик приток нового персонала, который нужно постоянно обучать, развивать, значит, на первых этапах есть риск человеческой ошибки, а это является одним из элементов операционного риска.

После того как все риски оценены, президент банка дает свое независимое суждение, какие с его точки зрения риски наиболее высоки и приоритетны для проверки СВК.

Результатом этой масштабной процедуры становится рейтинг рисков с выставленными баллами. В зависимости от наличия ресурсов мы выбираем для проверки процессы и риски с наибольшими баллами. Таким образом формируется аудиторский план. При его формировании мы учитываем и необходимость ротации: если СВК проверяла какой-то процесс в прошлом году, то с учетом трехлетней ротации можно вернуться к этому процессу через год или через два года. Однако мы не применяем принцип ротации в случае, если прошлогодняя проверка выявила много нарушений. Наиболее проблемные процессы и риски будут проверяться каждый год.

Вообще, в процессе планирования проверок много тонкостей. Например, риск в каком-либо бизнесе высок, но мы знаем, что в этом процессе у нас настолько сильные контроли, что вероятность реализации риска невелика. Тогда мы лучше сконцентрируемся на том процессе, который может быть средним по нашей балльной шкале оценки рисков, но контроли в нем либо не очень сильны, либо осуществляются вручную — мануальные, а не системные, и есть риск человеческой ошибки. Нюансов много, но все перечисленные процедуры: планирование аудиторских проверок с учетом оценки и рейтингования рисков по баллам, с учетом экспертного суждения всех участников процесса, независимого мнения СВК и руководства кредитной организации, — все это приводит к выполнению нашей сверхзадачи: выполению принципа add value — принеси пользу.

В службу внутреннего контроля может обратиться руководитель любого департамента банка и попросить проверить деятельность какого-либо процесса.

— И что происходит дальше, после формирования приоритетов и плана проверок? Как происходит взаимодействие службы внутреннего контроля и бизнес-подразделений?

— Прежде чем делать аудиторскую проверку, СВК направляет аудируемым лицам и прочим подразделениям банка аудиторскую программу и план проверки (scope). Мы запрашиваем у аудируемых лиц, что они считают необходимым добавить, на что, по их мнению, мы должны обратить внимание. Тот же подход практикуется и при выпуске отчета по результатам проверки. Мы сначала выпускаем проект отчета, обсуждаем его со всеми заинтересованными лицами и по каждой выявленной проблеме даем рекомендации.

Вся информация по результатам проверки — выявленная проблема, соответствующая рекомендация, сроки ее выполнения, ответственное лицо и его руководитель — заносится в глобальную систему AIMS (audit issue management system). Представители банка, представители совета директоров так же, как и глобальный лидер (руководитель) по аудиту GE Money, могут в любой момент в режиме реального времени посмотреть, какие проблемы и рекомендации занесены в систему, кто вовремя закрывает рекомендации, а где образуется просрочка с решением выявленных СВК проблем. Причем система сама генерирует сообщения по электронной почте, напоминающие о сроке, отведенном на выполнение рекомендаций, за месяц до его истечения. Все возникающие просрочки ежемесячно обсуждаются с ответственным лицом лично президентом банка и руководителем СВК. Такие встречи мы называем днем AIMS (AIMS day). В рамках таких дней мы оцениваем статус выполнения рекомендаций СВК, анализируем причины несвоевременного закрытия рекомендаций и устанавливаем сроки для устранения просрочек.

— Юлия, вы уже дважды упомянули президента банка. СВК подчиняется напрямую президенту? Каков статус службы внутреннего контроля в ДжиИ Мани Банке?

— СВК подчиняется не президенту банка, а аудиторскому комитету при совете директоров, то есть представителям акционеров. Это означает, что СВК не может принимать участие в операционной деятельности банка. Мы можем участвовать в запуске новых продуктов, реинжиниринге существующих процессов или создании новых, но только в виде консультирования бизнеса, советуя, как лучше его организовать, что нужно поменять для того, чтобы он работал эффективно. Такая схема внедрена в каждой структуре GE Money в любой стране присутствия компании.

После того как все риски оценены, президент банка дает свое независимое суждение, какие, с его точки зрения, риски наиболее высоки и приоритетны для проверки внутренними аудиторами.

— А есть ли какой-то контроль над контролерами? Или СВК в деле проверок — это последняя инстанция?

— У нас в банке внедрена иерархия с последовательными ступенями контроля. Каждую проверку осуществляет команда из сотрудников разного уровня. Самого младшего проверяет сотрудник, занимающий более высокую позицию, и так далее. Каждый отчет и все рабочие бумаги лично просматривает руководитель. У каждого сотрудника свои права пользователя в системе электронных бумаг, и в каждом документе должна быть дата и подпись. Таким образом, можно, например, убедиться, что рабочий документ был подписан сначала сотрудником, завершившим аудиторский тест, а затем его старшим коллегой. Руководитель пишет свои комментарии и потом должен убедиться, что все комментарии были проработаны, изучены его подчиненными. Фактор, существенно снижающий вероятность ошибки аудитора, — это наличие трех уровней контроля.

Кроме того, мы очень серьезно относимся к документированию наших проверок, потому что есть международные стандарты аудиторской деятельности и федеральные стандарты, принятые Постановлением Правительства № 696, которые предусматривают достаточно серьезные требования по документированию процесса аудита. Чтобы оптимизировать внутренний аудит, в банке были внедрены электронные рабочие бумаги, в которые заносится каждый аудиторский шаг при осуществлении проверки — с момента планирования до выпуска аудиторского заключения и проведения опроса клиента.

Стоит отдельно рассказать о том, что такое опрос клиента. После проведенной аудиторский проверки, мы спрашиваем сотрудников проверенного подразделения, насколько наша проверка была грамотно организована с точки зрения минимального отвлечения их от основной деятельности, а также насколько выводы по итогам проверки полезны для улучшения процесса. Это позволяет нам понять, что мы можем улучшить в процессе, где проявились недостатки — в поведенческой модели аудиторов или, может, недостаток каких-то специфических знаний. У нас работает профессиональная команда, но все знать невозможно. Такие опросы аудируемых лиц (в нашем случае — бизнес-подразделений банка) помогают нам постоянно улучшать качество услуг службы внутреннего контроля.

— Услуг?

— Да, именно услуг. Мы не боимся использовать такую маркетинговую терминологию, так как не нужно воспринимать СВК как исключительно надзорный орган, мы оказываем банку услуги, которые помогают ему работать правильно.

Мы опрашиваем сотрудников проверенного подразделения, насколько наша проверка была грамотно организована с точки зрения минимального отвлечения их от основной деятельности, а также насколько полезны выводы по итогам проверки.

— В свете такого «пафосного» понимания задач службы: каковы требования к сотрудникам СВК? Кто может претендовать на работу внутреннего аудитора в вашем банке?

— Квалификационные требования и требования к опыту сотрудника СВК зависят от того, на какую позицию мы берем сотрудника — специалиста, младшего аудитора, аудитора, старшего аудитора. Естественно, высшее экономическое или финансовое образование обязательно, а если это IT аудитор, то нужно и техническое образование.

Сотрудник, который достигает уровня аудитора и следующим шагом которого является позиция старшего аудитора, должен подумать о получении сертификации. Здесь есть три варианта: квалификационный аттестат аудитора (выдается Министерством финансов РФ), сертификат внутреннего аудита (CIA) или бухгалтерская сертификация — CPA или ACCA. Уровнем выше обязательного является и российская, и международная сертификация.

К руководителю службы предъявляются максимальные требования — у претендента должен быть квалификационный аттестат аудитора на осуществление аудиторской деятельности в области банковского аудита. Кроме того, для работы в дочернем банке американской корпорации, в котором составляется в том числе и финансовая отчетность по US GAAP, необходим сертификат ACCA или CPA. У меня, например, есть сертификат общественного бухгалтера США — CPA (certified public accountant).

— Есть ли какая-то российская специфика в организации работы службы внутреннего контроля GE Money Bank в России?

— Основное отличие российской СВК в том, что наша роль в консалтинге более важна, более весома, чем в других странах. Так сложилось по нескольким причинам. Во-первых, в России у GE Money новый бизнес, много новых проектов, новых продуктов, много реорганизационных процедур, что требует постоянных изменений в бизнес-процессах и знаний о том, как лучше внедрить эти изменения. Вторая причина связана с историческими факторами и ментальностью. Исторически в российских банках в функции СВК входил контроль над операционными рисками. В российском ДжиИ Мани Банке эта деятельность выведена в специальное подразделение СВК — управление рисками.

Именно эти две причины определяют больший удельный вес «неаудиторской работы» в деятельности СВК нашего банка по сравнению с бизнесом GE Money в других странах.






Новости Релизы