Внутренний аудит

Эффективность внутреннего аудита во многом зависит от качества компьютерной обработки данных. Полноценное внедрение информационных технологий - основа для снижения аудиторского риска. В качестве примера рассмотрим аудит одного из ключевых процессов деятельности ЦБ РФ - регистрации и лицензирования банковской деятельности.

В соответствии с внутренними стандартами аудиторской деятельности каждое подразделение Банка России должно подвергаться комплексной аудиторской проверке не реже одного раза в три года. В течение года 30 территориальных учреждений ЦБ РФ потенциально могут быть проверены на предмет обеспечения безусловного соблюдения российского законодательства² и внутренних инструкций Банка России по:

• государственной регистрации новых и перерегистрации действующих кредитных организаций;

• лицензированию банковской деятельности;

• регистрации изменений в учредительных документах;

• регистрации внутренних и обособленных структурных подразделений - филиалов, операционных касс, дополнительных офисов, представительств;

• согласованию назначений на руководящие должности.

Согласно внутренним инструкциям и сложившейся практике на проведение комплексной проверки обычно отводится не более четырех недель, включая этапы сбора, верификации и анализа документальных свидетельств, а также оформления и согласования итогового заключения. За это время внутреннему аудитору (обычно это один человек) необходимо сделать значительный объем работы.

В частности, для формирования независимого суждения об адекватности внутреннего контроля за деятельностью по согласованию руководителей банков (филиалов) необходимо идентифицировать все подобные события за последние три года (в среднем от 50 до 100), сформировать их генеральную совокупность и определить параметры аудиторской выборки для проведения аудиторских процедур по существу.

Кроме того, при планировании временных ресурсов необходимо учитывать, что данный участок не является единственным объектом для проверки.

Планирование аудита

Для повышения качества планирования аудита используется централизованная база данных - "Электронный вариант Книги государственной регистрации кредитных организаций, реестров кредитных организаций (филиалов) и их подразделений" (КГР),³. В ней в онлайн режиме учитывается вся информация, связанная с регистрацией и лицензированием банковской деятельности. Это позволяет аудиторам на стадии планирования аудиторских процедур получить структурированный по видам оцениваемой деятельности список событий, произошедших за последние три года. Нужные сведения по запросу аудитора автоматически выгружаются из КГР с помощью специального программного модуля АРМ "Аудитор"⁴. Интранет-технологии позволяют получить доступ к данным с любого компьютера в Центробанке. Порядок их использования определен внутренними регламентами, которые, в свою очередь, разработаны с учетом положений Правил (стандартов) аудиторской деятельности "Аудит в условиях компьютерной обработки данных" и "Проведение аудита с помощью компьютеров".

При планировании аудита основной задачей является формирование выборки тех событий, анализ которых позволит распространить полученную оценку на всю совокупность. Для этого проводится ранжирование с учетом следующих параметров:

• размер и масштабы деятельности кредитной организации, а также количество и специфика инициированных ею событий, в том числе:

— вид лицензии;

— размер уставного капитала;

— количество филиалов;

— количество и структура событий, связанных с регистрацией и лицензированием.

Приоритет при ранжировании отдается кредитным организациям, имеющим генеральную или валютную лицензии, больший по отношению к другим банкам региона уставный капитал и разветвленную филиальную сеть;

• сложность и специфичность события для проверки (временные нормативы устанавливаются централизованно):

  — регистрация кредитной организации - 8 часов на проверку одного события;

  — преобразование - 8 часов;

  — изменение или выдача новых лицензий - 6 часов;

  — согласование новой редакции Устава - 4 часа;

  — изменение уставного капитала - 2 часа

  — изменение адреса - 2 часа;

  — изменение наименования - 2 часа;

  — изменение состава руководителей - 1 час.

  Таким образом, имея информацию о времени, отведенном на осуществление проверки, а также о количестве и структуре произошедших за анализируемый период событий, аудитор формирует ресурсо- и риск-ориентированный план проверки с применением средств АРМ "Аудитор".

Далее на основании информации из КГР составляется перечень конкретных событий по каждому из оцениваемых видов деятельности. Выборка производится с учетом предварительных расчетов и алгоритма отбора конкретных событий для проверки по существу.

В примере, приведенном в табл. 1, для проверки деятельности по согласованию кандидатов на должности руководителей банков отобрано 40 событий из 64 произошедших, при этом приоритет был отдан более высоким должностям и событиям последнего года.

Электронный опросник

После отбора событий для проверки создается электронный чек-лист, включающий от трех до десяти параметров для оценки каждого события - так называемые контрольные точки.

Например, для рассмотрения событий, связанных с согласованием кандидатов на руководящие должности, рассматриваются следующие параметры:

• стаж - соблюдение требований законодательства в части управленческого банковского стажа кандидата;

• образование - соблюдение требований законодательства в части наличия высшего экономического или юридического образования;

• срок рассмотрения - соблюдение установленных законом сроков согласования кандидата;

• деловая репутация - отсутствие фактов, свидетельствующих о негативной деловой репутации;

• оформление документов - соблюдение порядка оформления документов;

• прочее.

При проведении проверки аудитор запрашивает исходные первичные материалы, хранящиеся в юридическом деле (архив бумажных документов), - автобиографии, копии дипломов и трудовых книжек, переписку - и анализирует, соблюдены ли требования (сопоставляет свидетельства аудита ⁵ с критериями аудита). Все выявленные нарушения он фиксирует в электронном чек-листе "галочкой" (табл. 2).

По окончании производится автоматическая обработка результатов, в рамках которой количество нарушений с учетом их весовых характеристик сопоставляется с общим количеством рассмотренных событий и параметров. Полученный процент отклонений сопоставляется с рекомендованной во внутрифирменном стандарте шкалой оценки, содержащей указание на уровни существенности.

Методика расчетов

Полученные результаты, в том числе выявленные отклонения, аудитор согласует с объектом аудита, при необходимости запрашивая разъяснения. После процедуры согласования информация из электронного чек-листа автоматически преобразуется в текст аудиторского заключения. Так, для рассматриваемого сценария на основе занесенных в АРМ "Аудитор" данных будет сгенерирован следующий текст заключения:

"В ходе аудиторской проверки было рассмотрено 40 случаев назначения руководителей кредитных организаций из 64 (число случаев за ревизионный период), что составило 62,5%. При проверке процесса согласования кандидатур руководителей было выявлено 6 отклонений от требований законодательства и/или нормативных актов Банка России, в том числе:

• по стажу - 1 отклонение;

• по образованию - 1;

• по срокам рассмотрения - 1;

• по оформлению документов - 1;

• по анализу деловой репутации - 1;

• прочие - 1.

Общее количество выявленных нарушений и их вес свидетельствует о том, что система внутреннего контроля на проверенном участке адекватна целям обеспечения соблюдения законодательных и нормативных требований при осуществлении надзорной деятельности.

Информация о нарушениях в разрезе кредитных организаций приведена в Приложении ___".

Таким образом, в условиях масштаба и специфики деятельности Банка России применение внутренними аудиторами современных средств автоматизации и наличие адекватной компьютерной обработки данных позволяет обеспечить:

• централизованное планирование аудиторских проверок и, как следствие, эффективное распределение ресурсов на ее проведение;

• снижение временных затрат на подготовку к аудиту;

• снижение аудиторских рисков, связанных с неверным определением размеров и качества выборки;

• повышение эффективности обработки результатов аудита как на стадии формирования итогового отчета, так и на стадии агрегации и обработки результатов серии аудитов в ЭБД "Аудит" для целей формирования сводного обзора для руководства Банка России.

Рассмотренная модель, естественно, не является типично банковским ноу-хау. Аналогичные схемы можно применять в любой другой отрасли при наличии структурированных и актуальных данных. Например, если в базе данных учтены все договоры со всеми параметрами, аудитор может избежать утомительного перелопачивания вороха бумаг, анализируя всю информацию в автоматизированной среде, что значительно облегчает его труд, повышает его производительность и качество проведенной работы.

Одна из основных специфических особенностей профессии аудитора заключается в необходимости поддерживать качество своей работы на максимально высоком уровне от проверки к проверке, так как у слишком большого круга лиц существует соблазн подвергнуть сомнениям результаты аудита. Кроме того, объемы оцениваемой информации постоянно увеличиваются. Все это стимулирует более активное использование в аудиторской практике современных средств автоматизации, позволяющих за единицу времени проанализировать многократно большие объемы информации, чем при ручной обработке данных.





---

¹В период с 1997 по 2003 год Федор Байновский руководил проектами по созданию и внедрению сложных территориально-распределительных IT-систем, автоматизирующих функции Банка России по надзору и лицензированию деятельности кредитных организаций. В 2004 году возглавил вновь созданное Управление аудита информационных систем Банка России. За три года под его руководством была сформирована система информационного аудита подразделений Банка России (более 80 подразделений).

²Речь идет о федеральных законах "О банках и банковской деятельности" и "О Центральном банке РФ".

³Этот информационный ресурс ведется в соответствии с требованиями Федеральных законов "О банках и банковской деятельности" и "О Центральном банке Российской Федерации". Количественные характеристики информации, хранящейся в КГР, можно проиллюстрировать общим объемом данных:около 5 гигабайт и более 1 млн единиц учета

⁴АРМ "Аудитор" - система, разработанная Банком России для автоматизации основных процессов внутреннего аудита: планирования ресурсов, определения выборки, учета результатов, оформления заключений. В основе технологического решения лежит использование трехзвенной архитектуры, обеспечивающей взаимосвязь всех пользователей с информационным хранилищем через веб-интерфейс.

⁵Свидетельства аудита - документарные свидетельства, подтверждающие соблюдение установленных законом норм при выполнении функций (операций). В данном примере источником свидетельств является юридическое дело кредитной организации, в котором хранятся первичные документы (копии), полученные или выданные при осуществлении взаимодействия между территориальным учреждением Банка России и кредитной организацией по вопросам регистрации и лицензирования (заявки, лицензии, письма, учредительные документы и др.).