Формирование подразделения внутреннего аудита в российском банке - Роман Лукашов
Шрифт:
Интервал:
Закладка:
«…Одним из последствий событий, описанных выше, стало принятие Закона Сарбейнса – Оксли в США в 2002 году. Аналогичные законы были приняты или готовятся к принятию и в других странах. Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая на руководство компаний обязанность предоставлять информацию об эффективности этих систем, а на независимого аудитора – удостоверять предоставленные сведения. Выдержавшие проверку временем «Концептуальные основы внутреннего контроля» выступают в качестве общепринятого стандарта при выполнении данных требований к предоставлению отчетности.
Каждый сотрудник организации несет определенную ответственность за управление рисками. Полную ответственность несет руководитель организации, который и является «владельцем» данного бизнес-процесса. Прочие менеджеры должны обеспечивать поддержку философии организации в области управления рисками, способствовать соблюдению показателей риск-аппетита, управлять рисками в рамках своих зон ответственности с учетом допустимых для них уровней риска. Ключевые обязанности по поддержке данного процесса обычно выполняют директор по управлению рисками, финансовый директор, директор по внутреннему аудиту и другие должностные лица. Остальные сотрудники отвечают за соблюдение установленных в организации процедур, норм и правил управления рисками. Совет директоров обеспечивает надзор за управлением рисками и анализирует риск-аппетит организации. Внешние контрагенты, т. е. клиенты, поставщики, партнеры по бизнесу, а также внешние аудиторы, регулирующие органы и финансовые аналитики часто предоставляют информацию, полезную при осуществлении процесса управления рисками организации, однако они не несут ответственности за его эффективность и не являются частью процесса управления рисками.
Внутренние аудиторы должны оценить, насколько глубоко они анализируют процесс управления рисками. Организационная структура организации создает основу для планирования, выполнения, контроля и мониторинга ее деятельности. Правильная организационная структура включает определение ключевых областей полномочий и ответственности, а также установление уровней подчинения.
Например, подразделение внутреннего аудита организуется таким образом, чтобы обеспечивались его объективность в оценке деятельности организации и неограниченный доступ к высшему руководству и аудиторскому комитету совета директоров, а уровень подчинения главного аудитора в рамках организации должен позволять подразделению внутреннего аудита эффективно выполнять свои функции.
Внутренние и внешние аудиторы и консультанты регулярно предоставляют рекомендации по улучшению процесса управления рисками. Аудиторы могут уделять значительное внимание ключевым рискам и соответствующим способам реагирования, а также построению средств контроля. Они могут определить потенциальные недостатки и рекомендовать руководству альтернативные действия, сопровождаемые информацией, полезной впринятии решенийпоанализу соотношения затрат-выгод. Внутренние аудиторы или персонал, выполняющий аналогичные функции, могут оказать неоценимую помощь в проведении мониторинга деятельности организации.
Внутренние аудиторы, как правило, осуществляют проверки в рамках своих обычных обязанностей либо по распоряжению высшего руководства, совета директоров, руководителя подразделения или дочернего предприятия. Кроме того, при оценке эффективности управления рисками руководство может использовать информацию, полученную от внешних аудиторов. По решению руководства для проведения любых проверок усилия внутренних и внешних аудиторов могут объединяться…
Одним из наилучших источников информации по недостаткам процесса управления рисками является сам процесс управления рисками. Непрерывный мониторинг деятельности организации, включая деятельность руководства и текущий контроль со стороны сотрудников, позволяет получить сведения от лиц, принимающих самое непосредственное участие в деятельности организации. Данные сведения поступают в режиме реального времени и также могут обеспечить оперативное определение недостатков. Такими источниками сведений о недостатках являются периодические проверки процесса управления рисками. Проверки, проводимые руководством, внутренними аудиторами или другими подразделениями, могут выявить области, требующие изменений.
Стороны, которые должны быть уведомлены о недостатках, иногда устанавливают специальные указания относительно того, какая информация должна быть предоставлена. Например, совет директоров или аудиторский комитет могут требовать от руководства или внутреннего или внешнего аудитора информирования только о недостатках, которые отвечают заданному уровню серьезности или важности.
Управление рисками организации осуществляется целым рядом сторон, каждая из которых выполняет важные обязанности. Совет директоров (непосредственно или через свои комитеты), руководство, внутренние аудиторы и прочий персонал – все вносят значительный вклад в управление рисками. Прочие стороны, такие как внешние аудиторы и регулирующие органы, иногда также ассоциируются с управлением рисками и внутренним контролем. В то же время существует различие между лицами, являющимися частью процесса управления рисками организации, и лицами, не являющимися его частью, действия которых, тем не менее, могут оказывать влияние на процесс управления рисками или иным образом содействовать организации в достижении ее целей. При этом прямое или косвенное содействие организации в достижении ее целей не делает соответствующую внешнюю сторону частью процесса управления рисками и не возлагает на нее ответственности за управление рисками организации.
Внутренние аудиторы играют одну из ведущих ролей в деле оценки эффективности управления рисками и в разработке рекомендаций по его оптимизации. Стандарты, установленные Институтом внутренних аудиторов, указывают, что в объем внутреннего аудита должен входить аудит систем управления рисками и систем контроля. Данные функции включают оценку достоверности финансовой отчетности, эффективности деятельности и соблюдения применимого законодательства и нормативных актов. При выполнении своих обязанностей внутренние аудиторы оказывают содействие руководству и совету директоров или аудиторскому комитету путем изучения, оценки, составления отчетов и предоставления рекомендаций по повышению адекватности и эффективности процесса управления рисками организации.
Стандарты Института внутренних аудиторов также определяют роль службы внутреннего аудита, четко указывая на то, что внутренние аудиторы должны быть объективны в отношении проверяемой ими деятельности. Такая объективность должна подтверждаться их положением и полномочиями в рамках организации и подбором кандидатов на должности внутренних аудиторов. Должное положение и полномочия в рамках организации подразумевают: подотчетность лицу, имеющему достаточные полномочия по обеспечению должного охвата аудитом, рассмотрения его результатов и реагирования; выбор и смещение с должности руководителя службы внутреннего аудита только по согласованию с советом директоров или аудиторским комитетом; доступ внутренних аудиторов к совету директоров или аудиторскому комитету и полномочия по отслеживанию устранения недостатков и выполнения рекомендаций.
Члены совета директоров должны по мере необходимости обсуждать с высшим руководством состояние управления рисками в организации и осуществлять соответствующий надзор. Совет директоров также должен создать условия, при которых механизмы управления рисками организации обеспечивают оценку наиболее значимых рисков в привязке к стратегии и к целям организации, включая оценку того, какие действия предпринимает руководство и каким образом оно участвует в мониторинге процесса управления рисками. Совет директоров должен стремиться к получению информации от внутренних аудиторов, внешних аудиторов и прочих сторон.
Менеджеры и прочий персонал должны проанализировать, каким образом они выполняют свои обязанности по управлению рисками в свете данной концепции, и обсудить с вышестоящими свои идеи по совершенствованию процесса управления рисками организации. Внутренние аудиторы должны проанализировать, насколько глубоко они рассматривают процесс управления рисками организации…»
1.3. Положение об организации внутреннего контроля в кредитных организациях и банковских группах, Банк России
Вот что полагает Банк России относительно подразделения внутреннего аудита.
