.
Запрещается использовать или копировать в любой форме в коммерческих целях Пособие и Практические рекомендации по внутреннему аудиту для российских коммерческих банков.
(c) European Commission-Tacis-Program 2001.
Том II
СОДЕРЖАНИЕ
РАЗДЕЛ № 1: НАЧАЛЬНЫЙ И ЗАВЕРШАЮЩИЙ ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА 11
МОДЕЛЬ ПРОХОЖДЕНИЯ ВНУТРЕННЕЙ АУДИТОРСКОЙ ПРОВЕРКИ 11
I. Общее описание процесса аудита 11
II. Планирование аудиторской проверки 30
III. Оценка аудиторских рисков 32
IV. Оценка систем внутреннего контроля 35
V. Выбор аудиторских процедур 41
VI. Тестирование в рамках проведения аудиторских процедур 41
VII. Аналитические методы и использование коэффициентов 48
VIII. Рабочие документы аудиторской проверки 48
IX. Результаты и заключения аудиторской проверки 53
X. Методика составления аудиторского заключения 56
XI. Аудит компьютерных систем 62
XII. Методика проведения аудита с использованием компьютерных программ 73
РАЗДЕЛ № 2: ДРУГИЕ ДОКУМЕНТЫ ПО ВНУТРЕННЕМУ АУДИТУ 73
XIII. План аудиторской проверки 73
XIV. Рекомендации по определению выборки (в том числе статистическими методами) при проведении аудита 73
XV. Вспомогательные средства проведения аудита - таблицы 79
XVI. Инструкция по подготовке блок-схем 79
РАЗДЕЛ № 3: АНКЕТЫ ПО СИСТЕМАМ ВНУТРЕННЕГО КОНТРОЛЯ 89
I. Анкеты по системам внутреннего контроля 89
II. Внутренний аудит казначейских и межбанковских операций 89
III. Операции с клиентами 96
IV. Операции с ценными бумагами 104
V. Долгосрочные инвестиции, основные средства и нематериальные активы 104
VI. Капитал банка 128
VII. Доходы и расходы 128
VIII. Управленческий учет 128
IX. Аудит внебалансовых счетов 128
X. Аудит компьютерных систем 128
XI. Аудит филиалов 128
Глоссарий терминов (Аудит и Менеджмент) 135
РАЗДЕЛ № 1: НАЧАЛЬНЫЙ И ЗАВЕРШАЮЩИЙ ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА
МОДЕЛЬ ПРОХОЖДЕНИЯ ВНУТРЕННЕЙ АУДИТОРСКОЙ ПРОВЕРКИ
В настоящей модели прохождения процесса внутреннего аудита использован системный подход к планированию и проведению отдельных проверок. Модель описывает пять этапов аудита (см. Раздел № 1, Глава II):
Этап 1. Планирование аудиторской проверки.
Этап 2. Сбор фактов и информации.
Этап 3. Оценка адекватности схемы процесса управления и контроля определенного вида деятельности и ее соответствие целям, поставленным руководителями банка и департамента.
Этап 4. Оценка работы системы. Путем проверки на соответствие и с помощью других процедур подтвердить, что система работает в плановом режиме, эффективным и продуктивным образом.
Этап 5. Итоговые заключения и рекомендации. Подготовка отчета о результатах аудиторской проверки и рекомендаций по усовершенствованию процедур контроля.
Данная модель иллюстрирует:
- стадии аудиторской проверки на каждом отдельном этапе;
- компоненты или методы, обычно применяемые на каждом этапе;
- ссылки на «Пособие по внутреннему аудиту», в котором описаны соответствующие методы.
Маршрут прохождения аудиторской проверки.
А - Е
Стандартный процесс аудита (процесс проверки включает все 5 этапов)
А-В-С
Аудит, при котором оценка средств контроля достаточна для написания отчета (процесс проверки включает 4 этапа)
A и B1
Аудит, при котором средства контроля отсутствуют, и другие аудиторские процедуры не принесут результата (процесс проверки включает 3 этапа)
Планирование проверки
Этапы проверки
Компоненты или вопросы
Ссылка на Пособие по внутреннему аудиту
ЭТАП 2- СБОР ФАКТОВ
Этапы проверки
Компоненты или вопросы
Ссылка на Пособие по внутреннему аудиту
ЭТАП 3-ОЦЕНКА
Этапы проверки
Компоненты или вопросы
Ссылка на Пособие по внутреннему аудиту
ЭТАП 4-ПРОВЕРКА
Этапы проверки
Компоненты или вопросы
Ссылка на Пособие по внутреннему аудиту
ЭТАП 5-ОТЧЕТЫ ОБ АУДИТОРСКИХ ПРОВЕРКАХ
Этапы проверки
Компоненты или вопросы
Ссылка на Пособие по внутреннему аудиту
I. Общее описание процесса аудита
a. Введение
Деятельность Службы внутреннего аудита (далее - СВА) включает разработку годового стратегического плана проведения аудиторских проверок, изучение и анализ имеющейся информации, предоставление информации о результатах аудита заинтересованным сторонам, контроль выполнения рекомендаций и исправление выявленных недостатков.
Существует несколько типов внутренних аудиторских проверок, которые могут быть классифицированы следующим образом:
? Финансовый аудит. Цель финансового аудита состоит в проверке надежности бухгалтерской системы и информации, а также сумм, отражаемых в годовой и квартальной бухгалтерской отчетности;
? Аудит соблюдения существующих нормативных актов. Цель этого аудита заключается в проверке соответствия отчетности требованиям существующего законодательства, нормативных актов, принятой политике и процедурам;
? Операционный аудит. Цель операционного аудита заключается в проверке качества и уместности существующих в банке систем и процедур, проведении критического анализа организационной структуры, а также оценке достаточности методологических материалов и финансовых средств для выполнения поставленных задач;
? Управленческий аудит. Цель управленческого аудита заключается в оценке качества управленческих функций в рамках задач, стоящих перед банком.
СВА проводит анализ и оценку деятельности банка по всем направлениям его работы. Поэтому сотрудники СВА не концентрируют свои усилия на работе только в одном направлении, а выполняют тот тип аудита, который, с их точки зрения, является наиболее приемлемым в решении поставленных аудиторских задач. Более того, СВА не ограничивается проведением аудиторских проверок различных подразделений банка. Сотрудники СВА особое внимание уделяют аудиту банковских операций посредством анализа деятельности всех подразделений, связанных с их проведением.
СВА разрабатывает и применяет на практике методику, обеспечивающую формализацию процесса:
? Оценки аудиторских рисков и планирования аудиторских проверок
? Применяемого аудиторского подхода
? Оценки систем внутреннего контроля
? Системы учета данных и оформления документации
Указанная методика должна быть полностью задокументирована и доведена до сведения руководства и сотрудников СВА.
b. Цель стратегического плана аудиторских проверок
Документально оформленный план аудиторских проверок служит достижению следующих целей:
? способствует облегчению анализа и помогает Председателю Правления банка утвердить приоритетные направления аудита;
? обеспечивает СВА эффективной методикой достижения лучшего понимания и планирования аудиторских подходов к анализу рисков, присущих проверяемой области банковской деятельности;
? облегчает процесс последующего планирования аудита;
? способствует объяснению, документированию и обоснованию изменений, вносимых в годовой план.
c. Процесс составления годового стратегического плана аудиторских проверок
Методика внутреннего аудита в банке должна быть основана на принципе оценки риска. Таким образом, СВА необходимо концентрировать свои усилия на проверке областей банковской деятельности, в которых:
? Существуют наибольшие внутренние (inherent) риски (по видам деятельности), и
? Подверженность рискам (вследствие низкого качества систем контроля) наиболее высока.
Банковская деятельность постоянно подвержена различным изменениям: появляются новые виды услуг, происходят перемены в корпоративной структуре банка, руководство банка издает новые распоряжения, появляются новые банковские технологии, ЦБ РФ издает различные нормативные акты. Все эти факторы должны учитываться в процессе разработки годового стратегического плана аудиторских проверок.
Таким образом, каждый год СВА должна обращать внимание на указанные вопросы и их влияние на деятельность органов внутреннего аудита. Соответственно, СВА необходимо определить:
? Какие направления банковской деятельности будут являться предметом аудита (планирование аудиторских проверок), и
? Каким образом будет проводиться аудит (методику аудита)
Процесс подготовки годового стратегического плана аудиторских проверок может быть разделен на четыре этапа:
? определение тех направлений банковской деятельности, которые будут являться предметом аудита в этом году;
? оценка рисков, присущих направлениям банковской деятельности, планируемым для проверки;
? изучение информации, которая есть в распоряжении Службы внутреннего аудита по конкретным направлениям деятельности банка, в частности, относительно качества систем внутреннего контроля. Внутренние риски поддаются управлению путем введения и работы надежной системы внутреннего контроля;
? предоставление заключения относительно объемов и периодичности аудита.
Такой подход применяется для сосредоточения работы аудиторов на тех звеньях, которые представляют для банка самый высокий риск, или тех, для которых аудит будет наиболее полезным. Направления деятельности, с которыми связаны самые малые риски, проверяются не так часто и/ или не столь основательно.
Информация, основанная на подобной оценке, затем может быть включена в годовой стратегический план аудиторских проверок. Пример подобного плана приводится ниже.
ПРИМЕР
СТРАТЕГИЧЕСКОГО ПЛАНА АУДИТОРСКИХ ПРОВЕРОК НА 200X ГОД
Подразделение банка
Категория бизнес риска
Дата проведения последнего аудита
Дата начала аудита
Общее количество человеко-часов, необходимое на проведение аудита
Дата окончания аудита
Комментарии
Руководитель СВА:
Председатель Правления банка:
Термины «бизнес-риск» и «предыдущий опыт», а также методы оценки описаны в других разделах данного пособия. После определения направлений проведения аудита и оценки уровня связанных с ними рисков Служба внутреннего аудита должна определить последовательность проверок и назначить аудиторов с необходимым уровнем опыта для их проведения.
Данная работа проводится на ежегодной основе.
Очень редко план работы внутренних аудиторов на год определяют исключительно на основе существующих рисков. Следует принимать во внимание и другие соображения, а именно:
* решение Совета директоров об аудите определенных направлений;
* запрос на проведение аудита, направленный ЦБ РФ и другими органами регулирования банковской деятельности;
* срочный аудит по фактам, привлекшим внимание высшего руководства банка.
Эти виды аудиторских проверок также необходимо включать в план. Однако такие специальные проверки не должны отвлекать внимания аудиторов от тех направлений деятельности банка, с которыми связаны самые высокие риски, или от тех, где системы контроля самые ненадежные.
После утверждения годового плана аудиторских проверок руководством банка можно составлять график проведения и определять продолжительность аудиторских проверок.
d. Аудит, основанный на оценке риска
Аудит, основанный на оценке рисков, нацелен на достижение максимальной эффективности работы СВА в условиях ограниченности ресурсов с максимальным упором на управление коммерческими и операционными рисками. Методология построена на 8-этапном процессе, который рассмотрен ниже.
Целью этого подхода является концентрация ресурсов Службы внутреннего аудита на областях, связанных с высоким риском, или тех участках, благодаря аудиту которых банк может получить наибольшую выгоду. Области, связанные с низким уровнем риска, проверяются реже и/или с меньшим уровнем детализации. Основные риски, которые следует принимать во внимание внутренним аудиторам, включают:
i. Риск необнаружения
Это риск того, что недостатки системы внутреннего контроля, ошибки и/или мошеннические действия персонала могут остаться невыявленным в ходе проверки систем внутреннего контроля банка. Иными словами, это означает, что цели внутреннего аудита не достигаются, и СВА попросту не знает об этом. Например, если какая-либо очень сложная компьютерная система обрабатывает большое число операций, то вероятность обнаружения ошибки или сбоя в системе внутреннего контроля может быть ниже, и поэтому следует уделить относительно больше времени и ресурсов на эту проблему.
ii. Общий аудиторский риск
Аудиторский риск также относится к вероятности недостижения целей внутреннего аудита и является основным фактором, определяющим, на каких областях следует сосредоточить аудит. В рамках этого риска существует несколько подкатегорий корпоративного риска, которые должны быть известны сотрудникам СВА для определения задач аудита в конкретной области. Вероятнее всего, снижение уровня этих рисков будет иметь большое значение для достижения корпоративных целей Банка и, следовательно, для целей внутреннего аудита.
iii. Внутренний риск
Под внутренним риском понимается степень подверженности хозяйственных операций и/или отчетности экономического субъекта существенным искажениям при условии отсутствия средств системы внутреннего контроля.
Процесс оценки рисков должен проводиться ежегодно. Как уже говорилось, результаты должны быть задокументированы и включены в стратегический план внутреннего аудита. После утверждения плана руководством Банка можно приступать к планированию конкретных проверок и подготовке годового или полугодового плана аудита.
Этап 1: Определение целей внутреннего аудита
Цели внутреннего аудита составляют основу процесса планирования, от которого зависит эффективность аудита. Цели должны быть четко определены и понятны тем, кто проводит аудит, и тем, кому будут предоставлены его результаты.
Все банки обычно имеют корпоративные цели (в письменной или устной форме), которые определяют сферу компетенции подразделения внутреннего аудита. Корпоративные цели, как правило, представляют собой некие количественные показатели, к которым должен стремиться Банк в своей деятельности. Цели можно классифицировать следующим образом:
Операционные цели:
Эти цели связаны с обеспечением эффективности организации, включая результаты ее деятельности, рентабельность и защищенность от убытков. Например, целью может быть обеспечение максимальной в региональном масштабе прибыльности филиальной сети. Другой пример цели - ограничение убытков из-за ошибок в операционной деятельности до определенной суммы в рублях. Установка лимитов по торговым операциям также относится к этой категории.
Цели, касающиеся финансовой отчетности:
Данные цели направлены на подготовку и публикацию достоверной финансовой информации. Например, может быть поставлена цель в течение 10 дней после окончания месяца получить достоверные значения прибылей и убытков.
Цели в области соблюдения и соответствия:
Эти цели связаны с соблюдением требований законодательства и нормативных актов Российской Федерации, ЦБ РФ и т.п. Так, например, банк может поставить перед собой цель поддерживать хорошие отношения с регулирующими органами.
Определение и документирование этих целей является необходимым условием для установления и оценки системы внутреннего контроля. И поскольку функции, выполняемые аудиторами, являются частью такой системы внутреннего контроля, то цели внутреннего аудита вытекают из общих целей и задач Банка. В сущности, целью СВА является достижение неких формальных показателей, установленных Советом Директоров Банка, которые и будут критерием оценки работы подразделения внутреннего аудита.
Примеры того, как цели подразделения внутреннего аудита связаны с корпоративными целями банка, приведены ниже:
ЦЕЛИ ПРЕДПРИЯТИЯ
СООТВЕТСТВУЮЩИЕ ЦЕЛИ ВНУТРЕННЕГО АУДИТА
? Соблюдение требований действующих нормативных актов ЦБ РФ и соответствие стандартам банковской практики.
? Обеспечивать осведомленность сотрудников о существующем законодательстве и нормативных актах, относящихся к их деятельности.
? Обсуждать с сотрудником, ответственным за контроль деятельности на финансовых рынках (комплаенс - контроль), все случаи отклонения от требований законодательства и прочих норм, которые были выявлены в ходе аудита.
? Подтверждать, при необходимости совместно с внешними аудиторами, что банк надлежащим образом следует принятой учетной политике.
? Развивать и совершенствовать управленческие навыки сотрудников.
? Удостовериться в наличии адекватной программы обучения для руководства.
? Достичь запланированного значения процентной маржи с помощью контроля над реализуемыми продуктами и над своевременностью реакции на рыночные изменения.
? Удостовериться, что сотрудники, отвечающие за управление риском процентной ставки, имеют систему управленческой информации, которая обеспечивает их достоверными данными.
? Иметь надлежащие методы контроля и процедур для предотвращения мошенничества.
? Разработать аудиторские процедуры, позволяющие убедиться в наличии эффективных систем контроля против мошеннических действий и отмывания денег.
? Обсуждать с руководством всех основных подразделений существующие системы контроля и давать рекомендации по их улучшению.
? Выявлять и информировать руководство о серьезных нарушениях и/или предпринимать меры для восстановления отсутствующих активов.
? Обеспечить высокий уровень обслуживания клиентов.
? Обеспечить отличное знание клиентского бизнеса с целью снижения возможностей отмывания денег.
? При наличии разветвленной банковской сети - удостовериться в соблюдении стандартов обслуживания клиентов, отраженных в корпоративной политике банка, во всех отделениях.
? Обсуждать с руководителями подразделений, работающих с клиентами, способы повышения качества обслуживания клиентов.
? Удостовериться, что каждое такое подразделение разработало методику оценки удовлетворенности клиентов обслуживанием.
? Добиться, чтобы банк не осуществлял неавторизованные платежи и снизить риск мошенничества.
? Удостовериться в наличии платежных процедур и соответствующих систем контроля в таких областях, как денежные платежи, операции S.W.I.F.T и т.д.
? Удостовериться в наличии эффективного средства для предотвращения возможного дублирования платежей, ошибочных платежей, ошибок при перечислении средств или осуществления несанкционированных затрат.
? Снизить текучесть опытных кадров.
? Удостовериться в соблюдении кадровой политики банка, системы консультационной поддержки и аттестационных процедур.
Создав перечень целей внутреннего аудита, следует оценить относительную значимость каждой цели.
Ежегодно, или 2 раза в год, следует повторять этот процесс и, если необходимо, корректировать перечень и определять новые цели при изменении обстоятельств.
Этап 2: Корпоративная структура и области аудита
Деление Плана внутреннего аудита на части для лучшего понимания своей работы сотрудниками подразделения внутреннего аудита осуществляется исходя из организационной структура Банка. На этом начальном этапе важно, чтобы ВСЕ направления деятельности Банка оказались охвачены. Таким образом, План аудиторских проверок будет составлен по подразделениям кредитной организации:
1. Подразделение кредитования, включая управление кредитными рисками
2. Управление кредитными рисками
3. Управление по работе с филиалами
4. Казначейские операции и операции бэк-офиса
5. Бухгалтерский учет
6. Управление финансами
7. Информационные технологии (операции S.W.I.F.T, Управление автоматизации и защита электронных данных)
8. Административное и юридическое управление
9. Строительство и недвижимость
10. Безопасность и охрана
11. Отдел кадров
При подготовке Плана аудита может понадобиться включить аудиторские проверки, которые охватывали бы весь Банк. Сюда могут относиться вопросы, связанные с доступом к компьютерам и кодам, с физической безопасностью зданий, с анализом услуг, предоставляемых клиентам, с процедурами вскрытия и раздачи почты, с процедурами выхода из чрезвычайных ситуаций и т.д.
После определения областей, подлежащих аудиту, можно приступить к оценке важности каждой области с точки зрения задач, поставленных перед аудиторами, и определить те направления, которые должны быть охвачены аудитом в течение предстоящего периода.
Этап 3: Виды риска и его оценка
Задачей внутреннего аудита является концентрация ресурсов на тех областях деятельности Банка, которые связаны с наибольшим риском и которые осложняют достижение целей внутреннего аудита.
В этом контексте риски могут быть определены как те существующие или потенциальные системы, события, действия или характеристики, которые, по отдельности или вместе взятые, могут помешать достижению этих целей. По отношению к банку риски могут быть внутренними или внешними. Внутренние риски присущи какому-либо виду деятельности подразделения или связаны с неадекватностью внутреннего контроля. Эти риски могут состоять из нескольких компонентов, каждый из которых представляет собой меньший риск; эти компоненты необходимо учитывать при определении риска, присущего какой-либо области или подразделению.
Пример 1. Кредиты коммерческим предприятиям
Характер внутреннего риска
* кредитование предприятий, с которыми банк не имеет опыта предыдущей работы;
* принятие недостаточного залога в качестве покрытия кредита;
* кредитование в больших объемах связанных лиц.
Значимость:
* большие суммы по операциям;
* сфера стратегического развития банка.
Пример 2. Межбанковские кредиты
Характер внутреннего риска
* сосредоточение деятельности на ограниченном количестве контрагентов;
* предоставление кредитов по фиксированной процентной ставке;
* высокие лимиты по одному контрагенту.
Значимость:
* большие объемы и большие суммы по операциям;
* самый существенный источник доходов для банка.
Пример 3. Валютно-обменные операции
Характер внутреннего риска
* колебание обменных курсов;
* арбитраж с высоким уровнем риска;
* длительный процесс осуществления расчетов.
Значимость:
* большие объемы и суммы по операциям;
* значительные открытые позиции.
При оценке внутренних рисков необходимо также учитывать и ряд других факторов, например:
? Характер аудируемой деятельности:
- характер выполненных операций и деятельности;
- субъективность или сложность учетных процессов;
- значимость данной области для Банка в целом;
- однородность операций;
- масштаб операций со связанными сторонами;
- чувствительность к неучтенным операциям, к задержкам в учете операций и/или манипуляциям и/или нарушениям;
? Характер информационных систем и систем бухгалтерского учета:
- дизайн и эффективность систем;
- программное обеспечение, разработанное собственными силами, или приобретенное у коммерческих разработчиков;
- возможность охвата разных видов банковских операций;
- надежность банковских систем для ежедневных операций;
- характер, уровень и сложность компьютеризации основных приложений;
- влияние программного и аппаратного обеспечения и конфигурации обмена информацией на риски, связанные со следующими аспектами:
? доступ пользователя к функциям обработки и файлам данных;
? точность и полнота данных, вводимых для обработки;
? корректность обращения и выверка «отбракованных» данных;
? точность и полнота обработки операций и непосредственно связанной с ними информации, включая проводки, генерируемые системой;
? деятельность управления автоматизации;
? изменения прикладных программ;
? физическая безопасность активов.
? Характер контрольных систем
Для того, чтобы быть эффективной, контрольная система должна:
- быть направлена на снижение внутренних рисков (например, включать процедуры, непосредственно контролирующие операции подразделения, чтобы гарантировать точность, полноту, быстроту и эффективность обработки операций, без риска убытков);
- содержать надлежащее разделение несовместимых друг с другом обязанностей (например, обеспечить, чтобы никто из персонала не имел полный доступ ко всем стадиям обработки операции во избежание мошеннического действия, которое бы было невозможно обнаружить);
- достичь высокого уровня соответствия стандартам (например, внедрить стандарты в масштабах всей организации, не делая исключений, и в случае их нарушения применять дисциплинарные меры).
При анализе риска сотрудник подразделения внутреннего аудита должен также учитывать общие риски, которым может быть подвергнут Банк, а именно:
i. Кредитный риск
Кредитный риск является основным для любого банка и представляет собой риск нарушения третьей стороной условий и сроков кредита и, следовательно, невыполнения своих обязательств перед банком. Этот риск связан с кредитными и другими операциями, некоторые из которых могут быть не отражены в балансе; например, банк за определенное вознаграждение может гарантировать выполнение клиентом его обязательств по контракту.
К другим факторам, увеличивающим уровень риска, относятся следующие:
- концентрация кредита, т.е. средства, подлежащие погашению, приходятся на небольшое число заемщиков, отраслей, экономических секторов или стран;
- значительная сумма задолженности, приходящаяся на связанные стороны;
- кредитование недавно открывшихся предприятий, не имеющих кредитной истории.
Факторы, уменьшающие кредитный риск:
- консервативная политика управления;
- подробная и хорошо задокументированная процедура рассмотрения и оценки кредитных заявок до принятия решения о предоставлении кредита;
- получение от клиента всех необходимых документов до выдачи кредита;
- введение лимитов по контрагентам/заемщикам;
- регулярный мониторинг лимитов риска со стороны руководства Банка;
- при необходимости, действенная защита или страхование.
ii. Процентный риск (или риск финансирования)
Этот риск влияет на рентабельность банка в результате изменений рыночных процентных ставок. Например, банк предоставляет средства клиенту по фиксированной процентной ставке на 6 месяцев, а для финансирования этой операции привлекает трехмесячные средства. По истечении трехмесячного периода банк должен будет погасить депозит и выйти на рынок для повторного финансирования. Такая ситуация означает для банка риск возникновения неблагоприятных будущих рыночных условий, а также риск финансирования.
К факторам, увеличивающим уровень риска, относятся:
- колебание процентных ставок;
- несоответствие между датами пересмотра процентной ставки по предоставленным кредитам и по привлеченным депозитам.
К факторам, уменьшающим кредитный риск, относятся:
- установление четких лимитов по открытой позиции;
- мониторинг риска со стороны руководства (через Комитет по управлению активами и пассивами - далее КУАП);
- использование более совершенной техники хеджирования, финансовых фьючерсов или других доступных на рынке инструментов.
iii. Валютный риск
Валютный риск возникает в результате несоответствия между валютными активами и обязательствами. Проще говоря, валютный риск это риск убытка, связанного с неблагоприятным изменением курсов иностранных валют. Операции, влияющие на валютный риск, могут быть балансовыми (ссуды, депозиты и т.д.) и внебалансовыми (валютные форварды и т.д.).
Факторы, увеличивающие валютный риск:
- колебание валютных курсов;
- существенные открытые валютные позиции.
Факторы, снижающие валютные риски:
- четко задокументированные лимиты валютных позиций;
- мониторинг риска со стороны руководства;
- использование техники хеджирования в соответствии с возможностями рынка.
iv. Операционный риск
Операционный риск связан с объемом и сложностью совершаемых операций. Некоторые инструменты торгуются в огромных объемах (например, валютные контракты), в то время как другие требуют сложной обработки и имеют особенности в учете (как например, оценка опционов). Во многих случаях операционный риск возрастает под влиянием сложившейся отраслевой практики как, например, заключение дилерами устных сделок на большие суммы, или в силу характера расчетных процедур, которые часто предусматривают получение и выплату средств в различных валютах.
v. Риск потери ликвидности
Этот риск связан с недостаточностью у Банка свободных денежных средств для своевременного выполнения своих обязательств. Определенные виды деятельности подвергают банк более высокому риску ликвидности, чем другие.
Некоторые факторы, увеличивающие риск ликвидности:
- снижение доверия к банку на рынке из-за уменьшения размера прибыли или по другим причинам;
- зависимость банка от одного рынка или от небольшого количества источников привлечения депозитов;
- нестабильность финансовых рынков;
- интенсивное привлечение краткосрочных депозитов и предоставление долгосрочных ссуд.
Некоторые факторы, уменьшающие риск ликвидности:
- возможность привлечения средств от связанных сторон;
- поддержание высокой доли ликвидных активов;
- страхование депозитов государством (если подобная возможность существует);
- стремление к максимальному соответствию сроков погашения активов и обязательств.
vi. Рыночный риск
Рыночный риск возникает как зависимость от изменений рыночных цен. Степень риска зависит от того, используется ли данный инструмент для спекуляций, хеджирования или инвестиций. Рыночный риск обычно очень важен для спекулятивных операций, когда банк имеет открытую позицию и намеревается получить прибыль за счет благоприятного изменения цен. Использование банком финансовых инструментов для хеджирования означает попытку уменьшить рыночный риск.
vii. Транзакционный риск
Этот риск возникает при заключении сделки такого размера, что это подвергает банк опасности и может привести к банкротству банка в случае, если сделка не осуществится так, как это было задумано. Примерами подобных сделок могут быть, один крупный безнадежный кредит, одна крупная валютная сделка или сделка с ценными бумагами.
viii. Правовой риск
Этот риск возникает из-за вероятности того, что договоры, которые не могут быть реализованы в принудительном порядке, судебные споры или неблагоприятные судебные решения могут подорвать или иным отрицательным образом повлиять на операции банка или на его положение.
ix. Риск потери репутации
Вероятность того, что негативное мнение общественности о деятельности банка, вне зависимости, имеет ли оно под собой основания, приведет к уменьшению клиентской базы, дорогостоящим судебным процессам или снижению доходов.
x. Страновой риск и риск неперевода средств
Это целая группа рисков, возникающих в результате таких экономических, социальных и политических событий в иностранном государстве, которые могут повлиять на его задолженность иностранных предприятий и инвестиции в акционерный капитал в этом государстве. Риск неперевода связан со способностью заемщика получить нужное количество иностранной валюты для обслуживания своей задолженности перед иностранным кредитором.
На практике деятельности банка присущи различные комбинации вышеназванных рисков, в зависимости от характера и масштаба его операций.
При оценке конкретного риска банку необходимо принимать во внимание существенность влияния этого риска на его деятельность. Например, может ли принятый банком риск существенно изменить финансовые показатели подразделения или филиала, или может ли указанный риск привести к нарушению банком требований ЦБ РФ и т.д.
После того, как вышеперечисленные факторы были изучены и задокументированы, можно приступить к оценке бизнес-риска.
Все риски можно разделить на следующие категории:
Высокий уровень
Средний уровень
Низкий уровень
Классификация риска по соответствующим категориям требует профессиональных суждений и, что еще более важно, применения последовательного подхода к оценке в масштабах всего Банка.
Этап 4: Оценка прошлого опыта
Прошлый опыт - это оценка состояния системы контроля аудируемой области на основании результатов предыдущего аудита (как внутреннего, так и ЦБ РФ).
Такая профессиональная оценка строится на основе анализа прошлого аудиторского отчета по аудируемой области с учетом следующих факторов:
Этап 5: Документирование результатов оценки
Очень важно документировать результаты анализа бизнес-риска и предыдущий опыт аудита. Процесс документирования необходим по следующим причинам:
? сопоставление результатов оценок позволяет определить, насколько часто необходимо проводить аудит данной области или какой объем аудиторской работы требуется;
? упрощает анализ и согласование, и обеспечивает записями для подтверждения логики суждений и принятых решений;
? обеспечивает аудиторов необходимой базовой информацией (подоплекой);
? упрощает процедуру планирования в будущем;
? позволяет выявить тенденции в методологии внутреннего контроля и банковских операций, а также позволяет идентифицировать процессы «ослабления».
Процесс документирования результатов оценки несложен (пример приведен на следующей странице).
Пример 1: Документирование внутренних рисков и заключений предыдущих аудиторских проверок по трем направлениям деятельности банка
БАНК:
НАЗВАНИЕ БАНКА
ОТДЕЛЕНИЕ:
ГЛАВНЫЙ ОФИС
ДЕПАРТАМЕНТ:
КРЕДИТОВАНИЕ ЮРИДИЧЕСКИХ ЛИЦ
ПЕРИОД:
ГОД: ДО 31 ДЕКАБРЯ 2000 Г.
1. ОЦЕНКА УРОВНЯ БИЗНЕС-РИСКОВ
ФАКТОРЫ, КОТОРЫЕ УВЕЛИЧИВАЮТ РИСК
ФАКТОРЫ, КОТОРЫЕ УМЕНЬШАЮТ РИСК
ОБЩИЕ ФАКТОРЫ
Страны СНГ переживают общий экономический кризис.
Кредитование коммерческих предприятий имеет относительно меньшее значение в деятельности банка.
КРЕДИТНЫЙ РИСК
Значительная часть операций со связанными сторонами. Не установлены официальные лимиты по операциям с одним контрагентом, в одной отрасли экономики или географическом регионе.
Относительно низкие лимиты, по которым нужно получать разрешение. Значительную роль играет кредитный комитет.
ПРОЦЕНТНЫЙ РИСК
Льготные процентные ставки по кредитам, предоставленным связанным сторонам.
Разные ставки по кредитам, которые предоставляются клиентам на общих основаниях. Отсутствуют значительные разрывы между сроками погашения (пересмотра ставок) кредитов и привлеченных средств.
ВАЛЮТНЫЙ РИСК
Определенная часть кредитов деноминирована в иностранной валюте.
Доля кредитов, предоставленных в иностранной валюте, относительно небольшая. Как правило, установлены лимиты по валютным кредитам для контрагентов.
ОЦЕНКА БИЗНЕС-РИСКА
ВЫСОКИЙ
2. НАЛИЧИЕ ОПЫТА ПРЕДЫДУЩИХ АУДИТОРСКИХ ПРОВЕРОК
ОЦЕНКА
НИЗКИЙ
ЗАМЕЧАНИЯ
1. Это направление аудита является сферой повышенного риска, поскольку распространена практика предоставления кредитов связанным лицам на особых условиях.
2. Аудиторская проверка проводится впервые, поэтому уровень рисков остается высоким.
ДОКУМЕНТ ПРОВЕРИЛ:
Пример 2: Документирование внутренних рисков и заключений предыдущих аудиторских проверок по трем направлениям деятельности банка
БАНК:
НАЗВАНИЕ БАНКА
ОТДЕЛЕНИЕ:
ГЛАВНЫЙ ОФИС
ДЕПАРТАМЕНТ:
МЕЖБАНКОВСКИЕ КРЕДИТЫ
ПЕРИОД:
ГОД: ДО 31 ДЕКАБРЯ 2000 Г.
1. ОЦЕНКА УРОВНЯ БИЗНЕС-РИСКОВ
ФАКТОРЫ, КОТОРЫЕ УВЕЛИЧИВАЮТ РИСК
ФАКТОРЫ, КОТОРЫЕ УМЕНЬШАЮТ РИСК
ОБЩИЕ ФАКТОРЫ
В настоящее время этот вид деятельности является самым важным для банка, как с точки зрения денежных оборотов, так и с точки зрения количества операций.
КРЕДИТНЫЙ РИСК
Не установлены официальные лимиты по операциям с одним контрагентом. Отсутствуют стандартные процедуры финансового анализа.
Отсутствует чрезмерная концентрация остатков.
ПРОЦЕНТНЫЙ РИСК
Значительное колебание процентных ставок на рынке.
Положения договора предусматривают изменение процентной ставки.
РИСК ЛИКВИДНОСТИ
Кредитный риск может не позволить реализовать активы.
Отсутствуют значительные разрывы между сроками погашения (пересмотра ставок) кредитов и привлеченных средств.
ОЦЕНКА БИЗНЕС- РИСКА
СРЕДНИЙ/ ВЫСОКИЙ
2. НАЛИЧИЕ ОПЫТА ПРЕДЫДУЩИХ АУДИТОРСКИХ ПРОВЕРОК
ОЦЕНКА
НИЗКИЙ
ЗАМЕЧАНИЯ
1. Присущи риски: кредитный, процентный и риск ликвидности, хотя и в несколько смягченном виде.
2. Это направление деятельности имеет большое значение для деятельности банка в целом.
ДОКУМЕНТ ПРОВЕРИЛ:
Пример 3: Документирование внутренних рисков и заключений предыдущих аудиторских проверок по трем направлениям деятельности банка
БАНК:
НАЗВАНИЕ БАНКА
ОТДЕЛЕНИЕ:
ГЛАВНЫЙ ОФИС
ДЕПАРТАМЕНТ:
ОТДЕЛ ВАЛЮТНЫХ СДЕЛОК
ПЕРИОД:
ГОД: ДО 31 ДЕКАБРЯ 2000
1. ОЦЕНКА УРОВНЯ БИЗНЕС-РИСКОВ
ФАКТОРЫ, КОТОРЫЕ УВЕЛИЧИВАЮТ РИСК
ФАКТОРЫ, КОТОРЫЕ УМЕНЬШАЮТ РИСК
ОБЩИЕ ФАКТОРЫ
Новый департамент, недавно укомплектованный молодыми специалистами. Простые бухгалтерские процедуры. Обязанности подтверждения не отделены от обязанностей дилеров.
Сравнительно небольшие денежные обороты и количество операций. Несложные операции.
КРЕДИТНЫЙ РИСК
Не установлены официальные лимиты по операциям с одним контрагентом.
Несколько клиентов имеют корреспондентские счета в банке.
ВАЛЮТНЫЙ РИСК
Не установлены официальные лимиты по открытым позициям. Часто платежи в рублях производятся слишком долго.
Историческая предсказуемость колебания валютного курса. Высокий уровень оборота в обменных пунктах по курсу, который значительно превышает межбанковский. Торговля проводится почти полностью в долларах США.
ОЦЕНКА БИЗНЕС-РИСКА
СРЕДНИЙ
2. НАЛИЧИЕ ОПЫТА ПРЕДЫДУЩИХ АУДИТОРСКИХ ПРОВЕРОК
ОЦЕНКА
НИЗКИЙ
ЗАМЕЧАНИЯ
1. Это направление аудита является сферой среднего риска, благодаря небольшим денежным оборотам и количеству операций, которые, с другой стороны, проводятся в среде со слабым уровнем контроля.
2. Аудиторская проверка проводится впервые.
ДОКУМЕНТ ПРОВЕРИЛ:
Этап 6: Определение регулярности проведения аудиторских проверок
После того, как СВА закончит вышеописанный процесс оценки и определит факторы риска, полученный в результате рейтинг позволит установить частоту проверок каждой области деятельности банка. Частота проведения аудита может быть рассчитана с помощью нижеприведенной таблицы:
«Таблица определения частоты внутренних проверок»
ПРОШЛЫЙ ОПЫТ
УРОВЕНЬ РИСКА
ВЫСОКИЙ
СРЕДНИЙ
НИЗКИЙ
ПЛОХОЕ СОСТОЯНИЕ
? ГОДА
1 ГОД
1 - 2 ГОДА
УДОВЛЕТВОРИ-ТЕЛЬНОЕ СОСТОЯНИЕ
1 ГОД
1 - 2 ГОДА
2 ГОДА
ХОРОШЕЕ СОСТОЯНИЕ
1 - 2 ГОДА
2 ГОДА
2 - 3 ГОДА
На приведенном ранее примере Кредитного отдела мы оценили уровень риска как «Высокий», а прошлый опыт как «Плохой». В этом случае таблица предлагает интервал ? года; то есть данная область должна проверяться каждые 6 месяцев.
Вышеприведенная таблица должна использоваться только как пример. Чтобы установить необходимую частоту проверок, подразделение внутреннего аудита должно использовать свой прошлый опыт, применять свои профессиональные суждения и учитывать другие факторы. Изменение частоты проведения аудита должно отражаться документально.
Другими факторами, от которых зависит частота проведения аудита, являются наличие штата квалифицированных сотрудников, ограниченность ресурсов и удаленность. Также важно изменять даты и сроки проведения аудита с целью использования фактора неожиданности и поддержания активной работы проверяемых областей деятельности банка.
Этап 7: Выбор аудируемых областей
Как только интервалы определены, следует перейти к следующему:
Подразделение внутреннего аудита, или назначенный для этого сотрудник, должны определить все проверки, которые следует провести в данном году (так называемые «необходимые проверки»), включая:
- все проверки с планируемым интервалом в один год и менее;
- все проверки в случае добавления планируемого аудита к дате предыдущего, которые необходимо планировать к проведению в этом году.
«Необходимые проверки»
Для проведения подобных проверок требуется:
Добавить планируемые ресурсы подразделения внутреннего аудита (человеко- недели), требуемые для проведения «необходимых проверок», и сопоставить их с доступными ресурсами.
- Если требуемые ресурсы доступны, то все «необходимые проверки» должны быть проведены в течение года. Их следует включать в так называемый «циклический» план.
- Если после завершения вышеуказанных этапов подразделение внутреннего аудита еще располагает ресурсами, следует решить, какие другие проверки проводить в течение данного года («дополнительные проверки»). При этом нужно принимать в расчет следующие факторы:
? будет ли необходимо проводить эти проверки в следующем году? Если да, то проведение аудита в этом году обеспечит большую гибкость при планировании проверок в следующем году;
? где и когда профессиональные ресурсы подразделения внутреннего аудита будут наиболее доступны? Следует принимать во внимание такие соображения, как необходимость поездок, уровень навыков аудиторов, наличие запросов руководства и т.д.
Если после выполнения первых этапов будет обнаружена недостаточность ресурсов подразделения внутреннего аудита, то возникает выбор:
? получить у руководства разрешение на привлечение дополнительных сотрудников;
или
? направить квалифицированных сотрудников из других подразделений для участия в проверках.
В некоторых обстоятельствах может возникнуть необходимость сократить план аудита. Чтобы это сделать, необходимо:
? исключить те проверки, которые не являются «абсолютно необходимыми», основными и жизненно важными для Банка;
? проанализировать бюджет запланированных проверок и исключить наименее важные тесты и связанные с ними затраты времени.
Если подразделение внутреннего аудита по-прежнему не может привести в соответствие имеющиеся ресурсы и запланированные проверки, то необходимо пересмотреть частоту проведения проверок.
После того, как будет принято окончательное решение о проводимых проверках, необходимо составить график их проведения.
Этап 8: Определение объема работ для каждой аудиторской проверки
Заключительным этапом процесса является принятие решения о предстоящем объеме работ. Полученный в результате рейтинг будет отражать относительный объем работ (см. таблицу ниже):
Таблица для определения относительного объема аудиторской работы при проверке определенной области деятельности.
«Таблица объема аудиторской работы»
ПРОШЛЫЙ ОПЫТ
РЕЙТИНГ БИЗНЕС-РИСКА
ВЫСОКИЙ УРОВЕНЬ
СРЕДНИЙ УРОВЕНЬ
НИЗКИЙ УРОВЕНЬ
ПЛОХОЕ СОСТОЯНИЕ
С
С
У
УДОВЛЕТВОРИТЕЛЬНОЕ СОСТОЯНИЕ
С/У
У
У
ХОРОШЕЕ СОСТОЯНИЕ
У
О
О
Ключи:
С - Существенный (значительный объем аудиторской работы);
У - Умеренный;
О - Ограниченный (минимальный объем аудиторской работы)
Эту таблицу и информацию, полученную на ее основе, следует использовать при разработке программ аудита.
Окончательный план работы Службы внутреннего аудита на год
После завершения составления плана и его подписания начальником СВА данный план подается на рассмотрение и утверждение Председателя Правления банка. В указанный план включена информация по следующим вопросам:
* техническое задание СВА (в этом разделе подводится итог общих обязанностей и объема работы СВА);
* подтверждение концепции чередования аудиторских проверок;
* оценка бизнес-рисков и опыт предыдущих проверок всех направлений деятельности банка;
* план чередования аудиторских проверок филиалов Банка;
* относительные объемы работы аудиторов по каждому направлению проверки филиалов;
* краткое описание аудиторских задач по каждой из запланированных проверок;
* административные вопросы (адреса офиса Службы внутреннего аудита, список аудиторов и т. п.);
* другие вопросы, такие, как специальные аудиторские проверки по поручению руководства банка, мероприятия по сотрудничеству с внешними аудиторами, требования ЦБ РФ относительно проведения аудита и т.п.;
* завершающие процедуры аудиторской проверки и одобрение начальника Службы внутреннего аудита.
II. Планирование аудиторской проверки
a. Введение
Как указывалось ранее, основное внимание в данном пособии уделено развитию техники проведения внутреннего аудита на основании методики оценки рисков. В существующих нормативных актах ЦБ РФ нет четкого указания на виды аудита, которые необходимо проводить в банковских подразделениях. Однако, текущая практика указывает на то, что основным типом аудита является аудит операционной деятельности банка. Поскольку российские предприятия и банки постепенно начинают переходить на использование международных стандартов финансовой отчетности (МСФО), то надзорным органам и подразделениям внутреннего аудита банков необходимо также переходить и/или применять принципы международных стандартов аудита (МСА).
Исходя из предположения, что в недалеком будущем МСА будут широко внедрены в практику работы российской банковской системы, в следующем разделе дается более подробная информация об аудиторской деятельности, основанной на рекомендациях по МСА.
b. Процесс планирования аудиторских задач
СВА необходимо поставить перед своими сотрудниками индивидуальные аудиторские задачи, которые включают следующие аспекты:
1. оценка отдельных систем банка по управлению рисками;
2. анализ и оценка:
? адекватности систем внутреннего контроля и соответствующих процедур;
? соблюдения банком положений нормативных актов ЦБ РФ и других законодательных и нормативных актов;
? наличия и эффективности работы систем бухгалтерского учета и учетных процедур;
? наличия в системе управленческой информации банка подсистем, которые контролируют обнаружение и исправление возможных ошибок, а также позволяют представить Председателю Правления банка информацию по результатам аудита и рекомендациям в области улучшения систем внутреннего контроля.
Для достижения указанной цели необходимо внедрение пятиэтапного подхода к аудиту систем внутреннего контроля, установленных в банке:
Этап 1. Планирование аудиторской проверки.
Этап 2. Сбор фактов и информации.
Этап 3. Оценка адекватности схемы процесса управления и контроля определенного вида деятельности и ее соответствие целям, поставленным руководителями банка и департамента.
Этап 4. Оценка работы системы. Путем проверки на соответствие и с помощью других процедур подтвердить, что система работает в плановом режиме, эффективным и продуктивным образом.
Этап 5. Итоговые заключения и рекомендации. Подготовка отчета о результатах аудиторской проверки и рекомендаций по усовершенствованию процедур контроля.
Важное примечание:
Подобный аудит не может быть выполнен исключительно посредством проверки банковских операций!
Этап 1. Планирование аудиторской проверки
Фаза 1. Собрать информацию о направлении деятельности банка, который станет предметом аудиторской проверки.
Аудиторские мероприятия:
* собрать общую информацию о департаменте;
* определить положения действующего законодательства и нормативных актов ЦБ РФ, которые регулируют данный вид деятельности;
* оценить риски, естественно присущие данному виду деятельности (например, кредитная деятельность);
* ознакомиться с результатами предыдущих аудиторских проверок.
Фаза 2. Выбрать конкретные направления деятельности департамента, которые будут проверяться.
Аудиторские мероприятия:
* оценить степень существенности;
* определить, какие звенья являются особенно важными с точки зрения руководства Банка;
* выяснить, какие изменения были внесены в систему внутреннего контроля в последнее время;
* ознакомиться с уже известными недостатками системы.
Фаза 3. Выбор способа аудиторской проверки.
Аудиторские мероприятия:
* выбрать наиболее приемлемый подход к проведению аудита: например, на основе проверки системы или проверки данных.
Фаза 4. Определить потребность в привлечении ресурсов.
Аудиторские мероприятия:
* определить состав группы аудиторов с учетом требований к уровню квалификации и рабочей нагрузке;
* определить, существует ли необходимость привлечения служащих с узкой специализацией;
* определить уровень необходимого контроля работы персонала;
* подготовить график проведения аудиторских мероприятий.
Этап 2. Сбор фактов и информации
Фаза 1. Организационная встреча с руководителями департамента, в котором проводится аудит
Аудиторские мероприятия:
* обсуждение заданий и объемов аудиторской проверки и сроков предоставления отчета.
Фаза 2. Сбор информации
Аудиторские мероприятия:
* ознакомление с имеющимися документами;
* проведение собеседований с руководителями и работниками департамента;
* наблюдение за деятельностью департамента;
* анализ собранных данных и отчетных документов.
Фаза 3. Документирование системы контроля
Аудиторские мероприятия:
* составление блок-схем процессов;
* подготовка или использование существующих анкетных форм.
Фаза 4. Выборочная контрольная проверка документов
Аудиторские мероприятия:
* сквозная проверка;
* наблюдения;
* финансовый и другие виды анализа.
Фаза 5. Проверка и документирование других видов контроля по принципу целесообразности
Аудиторские мероприятия:
* определить значение других видов контроля для общей системы внутреннего контроля.
Этап 3. Оценка адекватности схемы процесса управления и контроля определенного вида деятельности
Фаза 1. Оценить адекватность системы контроля
Аудиторские мероприятия:
* выяснить конфигурацию системы контроля посредством применения анкетных форм или анкет.
Фаза 2. Определить области недостаточного и отсутствующего контроля
Аудиторские мероприятия:
* проверка имеющихся средств контроля;
* определение компенсирующих средств контроля;
* документирование всех выявленных недостатков и отсутствующих видов (звеньев) контроля.
Этап 4. Оценка работы системы и выводы относительно ее эффективности
Фаза 1. Проверка на соответствие
Аудиторские мероприятия:
* определение выборки и тестирование операций;
* подтверждение ранее полученных данных;
* техника компьютерного аудита;
* финансовый анализ.
Фаза 2. Проверка и подтверждение работы ключевых видов контроля
Аудиторские мероприятия:
* определение выборки и тестирование операций;
* подтверждение ранее полученных данных;
* техника аудита ИТ;
* финансовый анализ;
* анализ на существенность;
* определение результатов проделанных шагов.
Фаза 3. Подтверждение наличия существенных недостатков
Аудиторские мероприятия:
* определить причину недостаточности или отсутствия определенных видов контроля;
* определить последствия или влияние выявленных недостатков;
* сделать предварительное заключение.
Этап 5. Итоговые заключения и рекомендации
Фаза 1. Обсуждение аудиторских заключений с руководителями департамента
Аудиторские мероприятия:
* подтверждение выявленных фактов;
* ознакомление с мнением департамента, в котором проводится аудит;
* устный отчет о незначительных отклонениях.
Фаза 2. Окончательное заключение и предложенные рекомендации
Аудиторские мероприятия:
* написание и согласование отчета;
* определение окончательных рекомендаций.
III. Оценка аудиторских рисков
a. Модель оценки аудиторских рисков
Модель оценки аудиторских рисков используется для эффективного применения имеющихся ресурсов СВА путем анализа рисков, связанных со всеми потенциально возможными аудиторскими проверками.
На основе Модели оценки аудиторских рисков определяется степень (рейтинг) рисков, связанных с аудитом всех направлений деятельности банка. На основе рейтинга рисков определяют приоритетность аудиторских проверок и составляют график их проведения. Такой подход несколько отличается от практики, распространенной в прошлом, когда последовательность и периодичность аудиторских проверок в большинстве своем определялись на основе субъективного суждения об имеющихся рисках и даты предыдущей проверки.
Модель рисков основывается на шести факторах:
1. Результаты предыдущей аудиторской проверки.
2. Чувствительность к естественным рискам.
3. Контрольная среда.
4. Степень уверенности в эффективности руководства департаментом.
5. Изменения в штатном расписании и составе подразделения, а также конфигурации систем, которые ими используются.
6. Сложность аудиторской проверки.
Каждое аудируемое подразделение получает по указанным 6 факторам рейтинг в баллах от 1 до 3, где: 1 = «возможно, проблемы отсутствуют», 2 = «возможно, проблемы существуют», 3 = «проблемы несомненно есть». Все выставленные по факторам баллы суммируют и умножают на фактор коэффициент давности. Коэффициенты давности:
* 100%, если аудиторская проверка проводилась в течение последних 24 мес.
* 125%, если аудиторская проверка проводилась от 24 до 36 месяцев назад.
* 150%, если аудиторская проверка проводилась от 36 до 60 месяцев назад.
* 200%, если последняя аудиторская проверка проводилась более 60 месяцев назад.
Таким образом, рейтинг риска каждой из аудиторских проверок будет составлять от 6 до 36 баллов. Далее в соответствии с рейтингом риска все аудиторские проверки делятся соответственно на 4 группы.
Первые 10% проверок, которые имеют самый высокий рейтинг, представляют самый высокий риск. Следующие 30% представляют повышенный риск. Третья группа охватывает следующие 40% возможных аудиторских проверок, которым присущ умеренный риск. Последняя группа из 20%, которая имеет самый низкий рейтинг, считается группой низкого риска. При составлении стратегического плана аудиторских проверок на год в него включают выборку из каждой из четырех групп на основе нижеследующих критериев.
Аудиторские проверки департаментов, риски которых оценены как высокие, осуществляются на 100%. Группа повышенного риска проверяется на 50%. Группа умеренного риска, представлена в плане работы на год на 25%, группа низкого риска - в виде выборки 10%. Выборка из группы низкого риска включается в план аудиторских проверок на год для того, чтобы подтвердить адекватность критериев рейтинга и правильное определение группы риска.
Хотя составление модели оценки рисков требует определенного субъективного подхода, процесс определения рисков для каждого конкретного аудита тщательно документируется и подлежит основательной оценке и анализу. Применение модели обеспечивает соблюдение единства подхода при определении рисков по каждому из отдельных сегментов аудита. Например, предлагает субъективный подход при оценке аналогичных направлений аудита в различных филиалах/ отделениях банка и географических регионах, в которых банк осуществляет свою деятельность.
b. Совокупность объектов аудита
Определение совокупности объектов аудита является первым шагом на пути рейтинга рисков. Совокупность аудиторских проверок, риски которых будут оцениваться и войдут в модель рисков, определяется руководителями и начальником Службы внутреннего аудита.
Определение совокупности аудиторских проверок будет основываться на стратегических планах развития банка, особенностях деятельности и структурной организации банка, круге обязанностей каждого из департаментов, беседах с руководителями всех служб.
Критерии рейтинга рисков трактуются следующим образом:
Результаты предыдущей аудиторской проверки
Результаты предыдущей аудиторской проверки являются одним из показателей дисциплины внутреннего контроля организации. Наличие проблем обычно характеризуется значительными недостатками системы контроля, большим числом аудиторских поправок, большим, чем обычно, количеством выявленных нарушений, неисправлением указанных аудиторами нарушений. И наоборот, отсутствие нарушений или своевременное их исправление свидетельствует о высокой дисциплине в соблюдении требований внутреннего контроля.
Чувствительность
Этот критерий характеризует внутренний риск, присущий подразделению, по которому определяется рейтинг. Данный показатель представляет собой оценку возможных отклонений от нормы и соответствующих последствий этих отклонений. Речь идет о таких рисках, как риск потерь или ухудшения состояния активов; риск необнаружения ошибки; риск, который возникает из-за непризнания или неправильной количественной оценки обязательств; риск, связанный с неблагоприятными отзывами в прессе, юридической ответственностью и т.п. Рейтинг по показателю «Чувствительность» должен также принимать во внимание размер объекта аудита для банка, потенциальные размеры возможных потерь и вероятность реализации риска.
Контрольная среда
Показатель «Контрольная среда» охватывает внутреннюю политику, процедуры, порядок выполнения должностных обязанностей, физическую сохранность активов и профессиональную компетентность работников. Удовлетворительное состояние контроля характеризуется гармоничным руководством, соблюдением положений внутренних документов (политики и процедур), надежностью систем внутреннего контроля, быстрым обнаружением и исправлением ошибок, адекватным уровнем профессиональной подготовки персонала и контролируемой текучестью кадров. И наоборот, отсутствие надлежащего контроля, высокий процент ошибок, отсутствие внутренней документации, регламентирующей порядок работы, неуправляемые задержки в работе, высокая текучесть кадров, операции, осуществляемые в обход установленного порядка, свидетельствуют о неудовлетворительном состоянии управления.
Степень уверенности в эффективности управления департаментом
Данный критерий отображает степень доверия руководителей Службы внутреннего аудита к должностным лицам, непосредственно ответственным за деятельность департамента и обеспечение адекватного уровня систем внутреннего контроля. Степень уверенности можно охарактеризовать такими показателями, как сотрудничество в ходе предыдущих аудиторских проверок, опыт руководящей работы, мнение аудиторов об уровне компетенции работников и укомплектованность штата.
Изменения в штатном расписании и составе департамента, а также в конфигурации систем, которые им используются
По опыту известно, что изменения могут повлиять на уровень внутреннего контроля и финансовую отчетность. Изменения в большинстве своем вносятся с целью достижения положительных результатов в долгосрочной перспективе, однако, в краткосрочной перспективе они могут стать причиной определенных негативных явлений, которые требуют более глубокой проверки со стороны внутренних аудиторов. Примерами изменений могут быть организационная реструктуризация, цикличность бизнеса, быстрое развитие организации, внедрение новых систем, приобретение компаний и выделение структурных подразделений в отдельные компании, новые положения и требования нормативных и законодательных актов, текучесть персонала. Аудиторская проверка департаментов, в которых не наблюдались подобные изменения, требует проведения меньшего количества аудиторских процедур.
Сложность аудиторской проверки
Этот фактор риска оценивает потенциальную возможность необнаружения ошибок и злоупотреблений, возникших по причине повышенной сложности определенного направления деятельности. Рейтинг по сложности зависит от многих составляющих. Уровень автоматизации процессов, сложность расчетов, взаимосвязанность и взаимозависимость отдельных видов деятельности, количество продуктов и услуг, временной диапазон прогнозов, зависимость от третьих сторон, требования клиентов, время, необходимое для обработки операций, сложность положений действующих законодательных и нормативных актов и многие другие факторы (возможно, нераспознанные) влияют на оценку сложности конкретной аудиторской проверки.
IV. Оценка систем внутреннего контроля
a. Системный подход
Если для целей внутреннего аудита выбран данный метод, то цель аудиторов - оценить адекватность конфигурации и правильность эксплуатации бухгалтерской и других систем. На этапе подготовки к аудиту систем Службы внутреннего аудита должна:
* предварительно ознакомиться с конфигурацией и возможностями системы;
* определить адекватные процедуры, которые обеспечивают эффективную эксплуатацию системы;
* оценить, существуют ли в системе необходимые виды контроля, и дисциплину их соблюдения.
Указанные мероприятия описаны как этапы 2-4 Главы 2, Раздела 1 «Практических рекомендаций по проведению аудита».
b. Описание систем
Системы представляют собой процедуры, с помощью которых осуществляется обработка информации и операций банка. Системы могут быть двух видов:
* Ручные; например, ведение в «бумажном» формате кассовой книги или реестра вкладов клиентов в филиалах; или
* Автоматизированные; например, клиенты снимают денежную наличность в банкоматах, а учет кассовых сделок и обновление информации по вкладу проводится автоматически.
Независимо от того, определена ли система как преимущественно ручная или преимущественно автоматизированная, при подготовке к аудиту было бы целесообразно определиться по таким вопросам:
* Как осуществляется передача информации от одной системы к другой: вручную (например, итоговую строку реестра операций за день оператор вносит в систему бухгалтерского учета вручную) или автоматически через интерфейс;
* Как часто осуществляется обработка операций;
* Какие отчеты готовит департамент, в том числе определить полный перечень отчетов, которые готовятся системой автоматически;
* Как осуществляется контроль - полностью вручную, полностью автоматически или вручную, но на основе информации, полученной с компьютерной системы;
* Процесс полностью автоматизирован или осуществляется вручную.
Для документирования всех основных систем определенного направления деятельности банка следует применять стандартный формат. Стандартный формат включает блок-схемы и краткое описание процессов (см. примерную форму в Главе XVI) и анкету для систем внутреннего контроля (см. Раздел 3).
Эти формы разработаны таким образом, чтобы помочь в процессе выяснения наличия/ отсутствия систем внутреннего контроля и выявления возможных недостатков определенных звеньев системы. Далее приводится более подробное описание данного процесса:
c. Документирование систем
При документировании системы необходимо придерживаться следующих процедур:
1. Использовать блок-схему системы, в которой должны быть указаны потоки и направление операций и описаны процедуры их осуществления. (См. Главу XVI). Нужно стараться составлять как можно более простые блок-схемы, ведь их цель - показать работу системы в упрощенном виде.
2. Блок-схемы служат достижению нижеуказанных целей:
* Блок-схемы помогают аудиторам представить систему в целом и сделать вывод о том, какие средства контроля могут или должны быть составной частью данной системы (на основе информации, полученной на протяжении предыдущих аудиторских проверок, и собственном опыте). Перечень видов контроля, которые, по мнению аудиторов, должны быть встроены в систему, приводится в первой колонке.
* Блок-схемы представляют собой стандартный и логический способ документирования средств внутреннего контроля (в колонке «описание имеющихся средств контроля»).
* Блок-схемы дают аудиторам общую структуру для организации программы аудита таким образом, чтобы провести тестирование определенных средств контроля. Если тест на соответствие не запланирован, аудиторы должны обосновать причины, по которым тестирование определенных видов контроля не проводилось.
Блок-схемы используют вместе с анкетой внутреннего аудита. Соблюдение структуры анкеты помогает аудиторам держать в поле зрения все основные виды контроля, наличие которых они проверяют. Примеры см. в Разделе 3.
Использование анкет позволяет аудиторам суммировать выявленные недостатки и разработать тесты на соответствие.
Таким образом, системы документируются для того, чтобы зафиксировать понимание процесса обработки информации в банка. Документирование систем преследует три цели:
* основная цель - определение средств контроля в системе, работу которых можно проверить;
* получение информации, которая станет основой для рекомендаций руководителям подразделений/ служб относительно повышения эффективности и производительности работы систем департаментов;
* предоставление общей информации о подразделении новым сотрудникам Службы внутреннего аудита для ознакомления.
Рабочие документы аудиторов должны содержать достаточную информацию для понимания процесса обработки важных операций банка и сопутствующей информации. Документирование систем проводится в начале первой аудиторской проверки данного департамента; во время следующих проверок надлежит пользоваться схемами и документами с описанием систем, подготовленными в прошлом, при условии внесения всех необходимых поправок в соответствии с теми изменениями, которые произошли за прошедшее время.
d. Документирование компьютерных систем
Если аудит запланирован в департаменте с высоким уровнем автоматизации систем, возникает необходимость определить связанные с компьютерными системами риски и виды контроля, встроенные в программное обеспечение, которые помогают уменьшить существующие риски. Такая задача может оказаться достаточно сложной, поэтому данное Пособие рассматривает только общие вопросы.
Обычно внутренние средства контроля программного пакета позволяют контролировать четыре основных риска, связанных с автоматизированными информационными системами:
Доступ неуполномоченных лиц к операционной системе и системе учета данных с целью получения конфиденциальной информации или несанкционированного внесения изменений в данные, которые хранятся в системе. Аудиторы должны проверить, обеспечивает ли программный пакет следующие виды контроля:
* наличие индивидуальных паролей пользователя для доступа в систему, известных только соответствующему пользователю;
* наличие у паролей необходимого количества знаков; регулярное обновление паролей;
* ограничение доступа пользователей только к тем функциям системы, которыми они пользуются для выполнения своих служебных обязанностей;
* ежедневное генерирование системой отчета о попытках неуполномоченного доступа к системе, который проверяется соответствующими службами.
Операции и данные в режиме ожидания, которые вводятся в систему для дальнейшей обработки, могут быть неправильными, неполными или введенными несколько раз. Для уменьшения подобных рисков программный пакет должен обеспечивать следующие виды контроля:
* контроль на этапе редактирования экрана и проверки на правильность - под данным видом контроля обычно подразумевается контроль типа знаков, которые могут быть введены в определенном поле - например, только буквы или только цифры;
* контроль пакетного ввода - например, если счета фактуры вводят в систему пакетом, автоматизированная система может контролировать общую сумму по пакету в целом, которая должна совпадать с суммарной цифрой, полученной путем подсчета вручную;
* ключевой аспект системы контроля состоит в том, чтобы обеспечить возможность аудита по всей цепочке обработки операции таким образом, чтобы сделать возможным обнаружение и исправление ошибок.
Невозможность разделения, анализа и исправления операций, отклоненных системой, и сумм на счетах до выяснения. Для уменьшения подобных рисков правильно сконфигурированный прикладной пакет должен поддерживать следующие виды контроля:
* все операции, отклоненные системой, относятся на временный счет до выяснения и должны вовремя, например, на ежедневной основе, исправляться уполномоченным персоналом;
* ведется учет движения средств на счете до выяснения, а общий оборот по счету подлежит сверке;
* система регулярно выдает отчеты о невыясненных и незавершенных операциях.
Правильные операции, введенные в систему для обработки или генерированные системой, могут потеряться, пройти неполный цикл обработки, оказаться не включенными в отчет, выданный системой; могут быть неправильно обработаны системой; могут быть обработаны и включены в отчет за другой отчетный период. Наиболее распространенными видами контроля такого типа рисков являются следующие:
* нумерация исходных документов (ручная или автоматическая), которая предупредит исчезновение операций в процессе их обработки;
* контроль на уровне пакета, что позволит сверять баланс текущего дня (периода) с балансом предыдущего дня (баланс предыдущего дня/ периода плюс общая сумма по операциям, введенным на протяжении текущего дня/ периода);
* контроль на этапе передачи данных; такой вид контроля необходим в случае, когда информация сообщается от отдаленного пользователя средствами телефонной связи. Средства системного контроля должны обеспечить получение информации по операциям в полном объеме и в соответствующем формате учета. Как правило, контролируется общее количество и общая сумма по переданным из отдаленного отделения операциям. В случае обнаружения ошибок отправителю присылается запрос на повторную передачу информации;
* контроль на этапе закрытия отчетного периода, который должен обеспечить отнесение операций на соответствующий отчетный период; то есть, система не должна позволять пользователю вводить операции за тот отчетный период (например, месяц), который уже был закрыт.
e. Виды внутреннего контроля
При заполнении форм документирования существующих систем следует помнить об обязательных видах внутреннего контроля, которые, как ожидается, должны существовать в банке. Существует восемь основных видов контроля:
1. Организационный контроль: организационная структура банка должна точно определять ответственность и распределение полномочий между подразделениями.
2. Разграничение обязанностей: фундаментальной формой контроля является четкое разграничение обязанностей таким образом, чтобы одно лицо не могло осуществлять функции учета и обработки операции. Необходимо разграничить обязанности по предоставлению разрешения на осуществление операции, по учету операции в системе и по проверке правильности осуществления и учета операции.
3. Средства физического контроля: этот вид контроля ограничивает доступ к активам и учетным данным только кругом уполномоченного персонала.
4. Получение разрешения: осуществление любой операции требует разрешения или утверждения ответственным лицом. Лимиты на предоставление разрешений и право подписи предоставляться в письменном виде.
5. Пересчет: этот вид контроля предусматривает проверку правильности математических расчетов данных, отображенных на определенных счетах, например, суммы на контрольных счетах, счетах сверки.
6. Персонал: правильное функционирование системы в значительной мере зависит от уровня заинтересованности и профессиональной компетентности персонала, который должен обладать всеми необходимыми навыками для выполнения поставленных задач.
7. Соответствующий надзор: важным аспектом любой системы контроля является наличие процедур надзора со стороны руководителей служб.
8. Управленческий контроль: этот вид контроля осуществляется руководителями служб/ департаментов и отделен от ежедневной деятельности. Примером такого вида контроля является контроль выполнения бюджета службы/ департамента.
V. Выбор аудиторских процедур
a. Введение
Как указывалось ранее, аудиторская проверка может быть разделена на пять этапов.
Этап 1. Планирование аудиторской проверки.
Этап 2. Сбор фактов и информации.
Этап 3. Оценка адекватности схемы процесса управления и контроля определенного вида деятельности и ее соответствие целям, поставленным руководителями банка и департамента.
Этап 4. Проверка и заключения относительно работы системы.
Этап 5. Итоговые заключения и рекомендации. Подготовка отчета о результатах аудиторской проверки и рекомендаций по усовершенствованию процедур контроля.
Аудиторские процедуры выбирают так, чтобы обеспечить выполнение задач, поставленных на каждом из этапов аудита.
b. Аудиторские процедуры
Аудиторские процедуры в банке можно разделить на семь групп:
1. Процедуры планирования.
2. Сбор фактов и информации.
3. Документирование (процессов, систем).
4. Тестирование.
5. Оценка.
6. Выводы и результаты.
7. Подготовка отчета.
Многие из указанных процедур описаны в других разделах данного Пособия.
c. Выбор аудиторских процедур
Критерии оценки целесообразности применения тех или иных методов выполнения аудиторских процедур определяются с учетом следующего:
? обеспечит ли выбранный метод аудита достижение целей, поставленных на данном этапе/ стадии аудиторской проверки;
? имеет ли аудитор достаточные навыки и опыт для применения выбранного метода;
? доступен ли аудитору материал, на основе которого проводится аудиторская проверка, и насколько его качество позволяет применить выбранный метод аудита;
? будет ли руководство возражать против применения данной методики аудита;
? является ли применение выбранной методики экономически оправданным, то есть, польза от ее применения должна превышать необходимые временные затраты и усилия;
? будут ли достоверными заключения, полученные по результатам применения данного метода аудита.
Некоторые аудиторские процедуры, например, создание блок-схем для документирования систем и процессов, требуют очень много времени. Поэтому аудиторы должны стараться использовать альтернативные готовые описания действующих систем.
VI. Тестирование в рамках проведения аудиторских процедур
a. Введение
Существует два основных вида аудиторских тестов:
1. тесты, которые помогают получить подтверждение функционирования систем внутреннего контроля (так называемый аудит соответствия (compliance audit));
2. тесты, которые подтверждают достоверность баланса и учетных данных (так называемое детальное тестирование (substantive audit)).
Большинство проверок Службы внутреннего аудита имеют характер аудита на соответствие. Если СВА работает вместе с внешними аудиторами, она принимает участие в проведении детального аудита.
b. Методика проведения тестов на соответствие
Задача этих тестов - подтвердить наличие, а также эффективное и постоянное применение персоналом средств внутреннего контроля.
Для подтверждения наличия систем внутреннего контроля применяют нижеуказанные аудиторские методы:
- запрос информации и получение пояснений;
- наблюдение;
- проверка сопутствующей и другой документации;
- проверка систем контроля в действии.
Более полно указанные методы аудита описаны в последующих разделах Пособия.
c. Методика детального тестирования
Детальное тестирование позволяет получить прямое подтверждение законности операции или достоверности баланса.
Примером такого метода аудита является проверка проводки от распоряжения о вводе операции в систему до совершения проводки по счету клиента.
Методы детального аудита:
- запрос информации и получение разъяснений;
- аналитические процедуры;
- углубленная проверка операций и баланса следующим образом:
? проверка сопутствующей документации и других документов и учетных данных;
? проверка физического наличия;
? подтверждение от третьих сторон;
? проверка систем контроля в действии
? Процедуры проверки
При разработке плана контрольных проверок Служба внутреннего аудита должна применять следующие основные методы аудита:
? Запрос и получение разъяснений
Под запросом информации имеется в виду поиск необходимой информации или получение разъяснений от руководителей и персонала департамента в устной или письменной форме. Запрос на получение информации делается с целью:
- ознакомления с особенностями деятельности подразделения, в котором проводится аудиторская проверка;
- получения подтверждения надежности работы систем;
- получения разъяснений по вопросам, которые являются предметом аудита, например, процедуры принятия решения и тому подобное.
Достоверность и надежность данных, полученных в ходе разъяснений, предоставленных персоналом, зависит от ряда факторов:
- форма предоставления информации - устная или письменная;
- профессиональная компетенция, опыт работы, независимость и порядочность сотрудника, который давал разъяснения;
- запрос касался общей или специальной информации и степени подтверждения полученной информации из других источников.
Как правило, информация, полученная из разъяснений работников проверяемого департамента, требует подтверждения из других источников.
? Наблюдение
Эффективным методом аудита является наблюдение различных видов контроля в действии во время работы системы. Это позволяет получить:
- доказательства существования тех видов контроля, наличие которых нельзя подтвердить документально;
- доказательства того, что другие виды контроля действуют на практике. Надежность такого вида доказательств можно значительно повысить, если аудиторы будут не только наблюдать работу системы, но и будут проводить беседы с работниками департамента относительно должностных обязанностей каждого из них;
- подтверждение наличия, качества и состояния активов банка.
Доказательства существования и работы средств внутреннего контроля, полученные методом наблюдения, хоть и являются объективными, но подтверждают наличие и применение системы внутреннего контроля только на время физического присутствия аудиторов. Поэтому, как правило, проводится дополнительная проверка полученных методом наблюдения свидетельств, которая должна подтвердить, что система внутреннего контроля работала постоянно и бесперебойно на протяжении всего аудируемого периода.
.
? Аналитические методы
Под аналитическими процедурами подразумевают исследование и оценку данных путем сравнения с другой информацией, которая имеет отношение к объекту аудита. Аналитические методы применяют только тогда, когда можно ожидать наличие связи между отдельными показателями. Например, если ожидание того, что процентная маржа будет оставаться неизменной вопреки колебаниям процентной маржи, что может являться предпосылкой для использования аналитических процедур.
Аналитические методы широко используют для исследования и сравнения финансовой и нефинансовой информации, в том числе, сравнение плановых показателей с фактическими цифрами. Различные виды анализа можно сгруппировать следующим образом.
* Общая проверка на достоверность - использование данных, полученных из внутренних и внешних источников, для оценки остатка или суммы с точки зрения достоверности. Например, можно приблизительно рассчитать размер процентов, начисленных на остаток по счету клиента, на основе среднемесячной суммы остатка на его счете и среднемесячной ставки процентов, а потом сравнить данные теоретические расчеты с процентами, фактически начисленными на остаток по счету.
* Анализ тенденций - анализ сравниваемых данных на протяжении определенного периода времени для определения тех периодов, которые не подпадают под общую тенденцию.
* Анализ коэффициентов - анализ взаимозависимости между двумя или тремя финансовыми показателями. Например, анализ зависимости затрат на оплату труда от количества работающих. Анализ коэффициентов теряет эффективность, если проводится сравнение за определенный период времени (например, по методу анализа тенденций).
* Бизнес-анализ - оценка обоснованности и степени достоверности определенной финансовой информации на основе собственного знания особенностей бизнеса и банковских продуктов.
Успех применения аналитических методов во время аудита и полезности полученных результатов зависит от ряда факторов:
- возможности получения разъяснений относительно тенденций и выявленных исключений из общего правила;
- достаточно глубокого понимания внутренними аудиторами особенностей работы данного департамента, чтобы быть в состоянии дать самостоятельную оценку коэффициентов, тенденций и другой информации с должной глубиной и пониманием перспективы;
- достоверности данных, которые были использованы как исходные при проведении анализа.
Аналитические методы утрачивают свою эффективность в условиях высокой инфляции, за исключением тех случаев, когда в расчетах в качестве одной из переменных величин используется обоснованный индекс инфляции.
? Контрольная проверка операций и остатков
Контрольная проверка предусматривает:
- проверку документации и учетных данных;
- проверку физического наличия;
- подтверждение информации, полученной от третьих сторон;
- тестовое проведение операции.
Как правило, проверка всех без исключения операций и остатков, включенных в генеральную совокупность, оказывается крайне неэффективной. Поэтому внутренние аудиторы должны выбрать для проверки лишь некоторые операции, на основе одного или нескольких следующих критериев:
- исключительные или значительные сами по себе статьи;
- стратифицированная часть совокупности, выбранная по сумме или другим характеристикам;
- репрезентативная выборка.
Методики определения выборки более детально описаны в следующей Главе.
? Проверка документации и учетных данных
Проверка документов, которые подтверждают определенную операцию или остаток, или на основе которых осуществляются процедуры внутреннего контроля, проводится с целью получения объективных доказательств правомерности осуществления операции или подтверждения работы системы внутреннего контроля. Объективные доказательства операций и остатков подтверждают правильность отдельных проводок, сделанных в системе. СВА может получить подтверждение соблюдения требований внутреннего контроля путем проверки документации по определенной операции на наличие, допустим, кода из определенных знаков, необходимых подписей и других необходимых атрибутов.
Проверка документов является одним из наиболее надежных источников сбора аудиторских данных, однако достоверность полученной информации зависит от ряда факторов, а именно:
- документы, которые имеют внешнее происхождение, как правило, можно расценивать как более надежные, чем те, которые подготовлены непосредственно в департаменте. Безоговорочно доверять внутренним документам департамента можно только в том случае, если система, в которой готовятся документы, полностью заслуживает доверия.
- оригиналы документов заслуживают большего доверия, чем копии
? Проверка физического наличия
Проверка физического наличия или пересчет материальных активов (например, наличных средств) и сравнение полученных результатов с данными бухгалтерского учета банка позволяет получить прямое подтверждение наличия подобных активов. Однако, аудиторы должны помнить о том, что подобная проверка дает подтверждение существования активов, но не подтверждает права собственности на них. Для проверки этого аспекта может возникнуть необходимость в проведении дополнительных процедур.
? Повторное проведение операции
Повторное проведение операции позволяет повторить все этапы контроля или процесса обработки операции в системе для проверки точности работы системы. Повторное проведение операции позволяет получить аудиторские данные двух типов:
- Подтверждение правильности математических расчетов и процесса обработки данных (операций) путем проверки правильности начисленных сумм или независимого повторного расчета с последующим сравнением полученных сумм с данными учета.
- Обнаружение ранее не выявленных ошибок по операции, которая уже прошла все этапы внутреннего контроля системы, что свидетельствует о ненадежности или недостаточности системы контроля.
Доказательства существования и эффективности работы системы внутреннего контроля аудиторы обычно получают путем запроса необходимой информации и дополнительных разъяснений; наблюдения за работой сотрудников, которые проводят контроль соответствующих этапов обработки операции/ информации; путем повторного проведения операции и проверки сопутствующей документации на соответствие всем требованиям, например, наличие кода из букв, подписи и других атрибутов контроля, необходимых для осуществления операции. Если в процессе обработки операции были обнаружены ошибки, повторное проведение операции через этапы внутреннего контроля (например, проверка соответствия бухгалтерских записей о переводе средств) либо подтверждает эффективность системы внутреннего контроля (если ошибка вовремя обнаружена и исправлена средствами системы), либо, наоборот, свидетельствует о ее ненадежности. Если во время проведения операции ошибок не было, повторное ее проведение не поможет обнаружить неэффективное звено в системе видов контроля или определить случаи, когда существующие виды контроля не срабатывают.
? Аудиторская выборка
Выборочный аудит предусматривает проверку выборки статей, которая считается репрезентативной, т.е. представительной для данной совокупности. Результаты выборочного аудита можно, таким образом, переносить на всю совокупность методом экстраполяции. Необходимость осуществления выборки продиктована невозможностью или нецелесообразностью проверки всех статей без исключения.
Выборка для аудита может быть определена как на основе субъективного мнения аудиторов, так и путем применения статистических средств. Оба процесса предусматривают составление выборки таким образом, чтобы обеспечить репрезентативность для данной совокупности. Методы определения выборки достаточно сложны, поэтому описаны в данном Пособии в сокращенном виде.
Выборочная проверка обычно проводится в случаях, когда совокупность составляется из большого количества аналогичных статей. Если совокупность не является однородной, предпочтение следует отдать исследованию исключительных или материально существенных статей, или определить выборки по группам аналогичных статей.
Дополнительная информация о проведении выборочного аудита представлена в других разделах Пособия.
? Документирование процедуры составления выборки
Рабочие документы аудиторов должны содержать описание мер по осуществлению плана выборочного аудита и оценке результатов выборки.
После завершения проверки в рабочих документах следует отметить количество и виды выявленных в выборке ошибок, последующие меры по расследованию и исправлению выявленных ошибок, количество статей, включенных в выборку и фактически проверенных, а также заключения относительно приемлемости или неприемлемости полученных результатов. В рабочих документах аудиторов следует также задокументировать влияние результатов выборочного аудита на выполнение плана аудиторской проверки.
Поскольку понимание принципов проведения выборочной проверки очень важно с точки зрения технологии аудита, необходимо отметить ключевые положения раздела:
- выборочный аудит проводится в случаях, когда проверка всех без исключения статей невозможна или нецелесообразна из практических соображений;
- размер выборки определяется с учетом степени важности данного вида аудита для результатов общей проверки, особенностей аудируемого вида деятельности банка и сложности систем контроля;
- для проверок, осуществленных службой внутреннего аудита, наиболее приемлемым методом средством определения выборки является мнение и опыт аудиторов.
VII. Аналитические методы и использование коэффициентов
a. Введение
Методы, которые приводятся в этом пособии, не являются всеобъемлющими. Аудиторы должны использовать лишь те методы, которые необходимы им для выполнения конкретной программы аудита. Аудиторы должны постоянно разрабатывать новые, более эффективные методы.
b. Методы исследования
При выборе оптимальных способов исследования конкретного направления деятельности банка аудитор должен использовать те методы, с помощью которых можно получить желаемый результат с наименьшими затратами. Некоторые из этих методов приведены ниже:
? Собеседование
Аудиторская проверка включает проведение собеседований в каждой из основных функциональных сфер деятельности банка. Собеседования нужно планировать заранее, учитывая, что целью аудиторской проверки является обнаружение проблемных аспектов деятельности.
? Сравнительный анализ
Этот процесс включает сравнение данных, иногда из разных источников, с целью обнаружения необычных ситуаций или отклонений от норм. Сравнительный анализ является очень ценным методом работы аудитора. Если осуществляется компьютерная обработка данных, можно запрограммировать компьютер на проведение процедур сравнительного анализа.
? Использование блок-схем
Блок-схема - это схема, которая графически изображает последовательность шагов (операций), которые необходимо пройти для успешного завершения того или иного вида деятельности. Этот метод является особенно полезным для внутреннего аудитора для обнаружения возможных проблем в осуществлении операций.
? Аналитический обзор
Аналитический обзор включает сравнение результатов деятельности учреждения, например, доходов, затрат и т.п., за несколько периодов. Этот метод также может использоваться при оценке изменений в результатах деятельности учреждения, которые возникли вследствие других факторов. Например, если количество работников учреждения увеличилось за последний период, то затраты на заработную плату также должны возрасти в дополнение к обычному увеличению затрат вследствие запланированного повышения заработной платы, инфляции и т. д.
? Анализ коэффициентов
Кроме коэффициентов, определенных в нормативных документах ЦБ РФ, существуют другие коэффициенты, которые могут использоваться внутренним аудитором для проверки деятельности Головного банка или его филиалов. Некоторые из подобных коэффициентов представлены в таблице, приведенной ниже. Внутренние аудиторы могут использовать другие коэффициенты, если это необходимо или может оказаться полезным для достижения целей аудита.
Примерная таблица коэффициентов
Процентные расходы
Средняя величина обязательств банка, по которым выплачивается процент
Показывает среднюю ставку процента, которая выплачивается по ссудам и депозитам.
Чистый процентный доход (маржа) банка*
(*Разность между процентным доходом и процентными расходами)
Показывает эффективность кредитной деятельности филиала или Головного офиса банка. Чем больше эта маржа, тем эффективнее кредитная деятельность.
Чистый доход
Средневзвешенная стоимость активов
Показывает уровень прибыльности банка (филиала).
Небанковские расходы
Средневзвешенная стоимость активов
Показывает отношение объемов косвенных расходов, приходящихся на активы банка в целом или отдельных филиалов.
Расходы на заработную плату
Средневзвешенная стоимость активов
Показывает отношение расходов на оплату труда к объемам операций банка.
Высокое значение показателя указывает на раздувание штата, в то время, как низкий показатель означает высокую производительность труда и оптимальное количество персонала.
Сумма капитала и резервов банка
Общая стоимость активов
Оценивает достаточность операционного капитала. Обычно, чем выше показатель, тем лучше финансовое состояние операционной деятельности.
Резервы на возможные потери по ссудам
Общая стоимость предоставленных ссуд
Показывает долю предоставленных ссуд, которые обеспечены резервами. Этот показатель уменьшается, если качество предоставленных ссуд улучшается; и увеличивается, если качество предоставленных ссуд ухудшается.
Резервы на возможные потери по ссудам
Проблемные ссуды
Показывает долю проблемных ссуд, которые обеспечены резервами. Значительное уменьшение этого показателя может означать, что резервы на возможные потери по ссудам являются недостаточными.
Разность между общей стоимостью активов на конец года и общей стоимостью активов на начало года
Всего активов на начало года
Показывает общий рост активов.
Значительное повышение этого показателя может указывать на неосторожную политику банка.
Разность между стоимостью предоставленных ссуд на конец года и стоимостью предоставленных ссуд на начало года
Всего ссуд на начало года
Показывает общий рост кредитного портфеля.
Значительное повышение этого показателя может указывать на неосторожную политику банка.
Всего ссуд
Всего депозитов
Показывает степень использования депозитных средств банка (филиала) на предоставление ссуд. Обычно, чем больше показатель, тем выше риск ликвидности.
? Выборочное исследование
В этом методе используется процесс генерирования случайное выборки как инструмент для проведения тестов в ходе налогового аудита, аудита на соответствие требованиям и управленческого аудита. Для использования этого метода необходимо соблюдение следующих трех критериев:
* необходимо определить объем генеральной совокупности, подлежащей тестированию (операции, контракты, деятельность, и т.п.);
* может быть использована система случайных чисел для составления выборки аудиторской проверки;
* может быть установлена минимально допустимая частота ошибок. Например, если фактическая частота ошибок, выявленных после проверки равна или меньше установленного стандарта, аудитор может сделать вывод о том, что дальнейшая проверка не требуется. Однако, если минимально допустимая частота ошибок превышается, для составления аудиторского мнения тестирование нужно расширить. Хотя этот метод можно применять к генеральной совокупности небольшого размера, использование его для совокупностей больших объемов приведет к лучшему показателю «затраты - эффективность».
? Визуальные наблюдения
Осмотр оборудования того подразделения, в котором будет проводиться аудит, может раскрыть существенные недостатки в его деятельности. Визуальные наблюдения также включают в себя изучение записей и отчетов о необычных случаях.
VIII. Рабочие документы аудиторской проверки
a. Рабочие документы
Аудитор использует рабочие документы как вспомогательные инструменты при проведении аудита, а также при составлении аудиторского заключения - как письменные доказательства выполненной работы. Информация, которая включается в рабочие документы, должна быть достаточной, обоснованной, существенной, полезной и обеспечивать прочную базу для подтверждения выявленных фактов и для предоставления рекомендаций.
Кроме того, аудитор может ссылаться на рабочие документы как во время представления результатов аудита, так и отвечая на вопросы. Рабочие документы могут оказаться полезными также для других целей:
* Начальник службы внутреннего аудита банка может использовать рабочие документы для анализа качества аудиторской проверки, а также для оценки работы персонала, который проводил аудит.
* Начальник отдела, в котором проводится аудит, может использовать данные рабочих документов, как вспомогательное средство для исправления выявленных в ходе аудита недостатков и проблем или для отрицания факта наличия этих проблем.
* Высшее руководство или другие должностные лица требуют своевременно предоставлять аудиторские отчеты. Эту задачу помогут выполнить хорошо оформленные рабочие документы.
* Внешние аудиторы используют рабочие документы внутренних аудиторов, просматривая результаты работы службы внутреннего аудита и оценивая влияние, которое имеет их деятельность на систему внутреннего контроля банка.
* В функции ЦБ РФ входит осуществление надзора за деятельностью коммерческих банков, следовательно, рабочие документы службы внутреннего аудита могут подлежать проверке со стороны ЦБ РФ. В связи с этим необходимо надлежащее ведение и сохранение рабочей документации.
b. Качественные характеристики рабочих документов
? Полнота
Рабочие документы должны быть оформлены таким образом, чтобы каждый из них представлял собой отдельный независимый документ. Это означает, что на все вопросы должен быть получен ответ, все вопросы, затронутые аудитором, должны быть выяснены, и по каждому сегменту аудиторской проверки должен быть предоставлен логический и взвешенный вывод.
? Краткость
Рабочие документы должны содержать лишь ту информацию, которая является полезной для целей проведения аудита.
? Стандартное оформление
Все рабочие документы должны быть одинакового размера и иметь одинаковый вид. Если размер документов не отвечает установленным требованиям, такие документы нужно привести в соответствие (расширить или сократить) с существующими стандартами.
? Аккуратность
Рабочие документы должны быть аккуратно оформлены. Нужно оставлять достаточно места после каждого положения в документе для того, чтобы была возможность дополнить их важными данными, не причиняя при этом вреда логичности и порядку изложения информации. В тот же время, не нужно забывать об экономном использовании места на листе. Различные формы и описания процедур можно включать в рабочие документы лишь в том случае, если они необходимы для выполнения задач аудита или для предоставления рекомендаций. Также нужно избегать составления лишних перечней или графиков. Все графики должны включаться в рабочие документы с конкретной целью, которая имеет отношение к порядку проведения аудиторских процедур или предоставлению рекомендаций.
c. Техника оформления рабочих документов
1. Обязательные атрибуты
Каждый рабочий документ должен включать: название и код аудиторской проверки; название рабочего документа; фамилию аудитора, который составил этот документ; дату составления документа; источник информации и цель составления данного документа.
2. Пометки
Аудитор часто использует разнообразные символы для того, чтобы отметить выполненную часть работы. Поскольку такие пометки не имеют какого-либо специального или стандартного значения, нужно дать пояснение каждой из них в конце секции, в которой они использовались.
3. Перекрестные ссылки
Перекрестные ссылки, которые используются в рабочих документах, должны быть полными и точными. Результаты аудиторской проверки должны быть обеспечены ссылками на соответствующие рабочие документы. Ссылки на результаты аудита должны также присутствовать в протоколе итоговой встречи или в аудиторском заключении. Перекрестные ссылки делаются на полях проекта аудиторского заключения, что позволяет быстро определить нужный рабочий документ.
4. Нумерация
Система нумерации рабочих документов должна быть достаточно просто и гибкой. Заглавные буквы могут использоваться для обозначения каждого сегмента аудиторской проверки, а цифры - для обозначения отдельных задач в пределах каждого сегмента.
5. Использование документов предыдущей аудиторской проверки
Аудитор должен в полной мере использовать рабочие документы предыдущих аудиторских проверок, поскольку блок-схемы, описания работы систем и прочие данные могут все еще соответствовать действительности. Документы предыдущих проверок, которые остались полезными, должны стать частью рабочей документации текущей аудиторской проверки. В них нужно внести поправки согласно новым данным, дать новый код, дополнить новыми перекрестными ссылками, а также указать новую дату и фамилию аудитора.
Рабочие документы будут менее полезными, если они не оформлены надлежащим образом и не хранятся в отделе внутреннего аудита. Архивы рабочих документов должны быть хорошо организованными и удобными в использовании, чтобы не было трудностей с получением из них любой информации; рабочие документы должны быть сгруппированы в том порядке, в котором проводились аудиторские проверки.
d. Виды рабочих документов
Все рабочие документы текущей аудиторской проверки нужно складывать в папки. Графики, анализы, документы, блок-схемы и описания работы систем должны храниться в стандартной папке отдела. Документация нестандартного размера должна переноситься на стандартные листы бумаги или храниться в нестандартной папке, на которую делается ссылка в главной папке.
1. Графики и анализы
Составление графиков и проведение анализа является полезным для обнаружения тенденций, при проверке достоверности данных, разработке планов и смет, а также для проверки правильности осуществления поставленной задачи и оформления учетной документации.
2. Документация
Оригиналы или копии различных документов могут использоваться для выяснения необходимых вопросов и документального подтверждения сделанного вывода или в качестве доказательства наличия проблемы. К таким документам относятся: письма, отчеты, материалы, распечатанные с электронных носителей, формуляры, описания работы систем, блок-схемы, счета-фактуры, контракты и т.п. Копии любых документов должны делаться, только если в этом есть необходимость.
Следующие рекомендации предлагаются для составления рабочих документов:
* Укажите фамилию аудитора, который подготовил документ, и/ или название папки, из которой был взят документ.
* Сделайте копию и включите в рабочие документы лишь ту часть отчета, письма или описания процедур, которая необходима аудитору для объяснения или документального подтверждения потенциального результата аудиторской проверки. Не нужно включать документ полностью в рабочую документацию, если только это не является абсолютно необходимым.
* Предоставьте полное объяснение терминов и обозначений, которые встречаются в документе, а также их использование. Это имеет особое значение в случае включения в рабочие документы блок-схем. Объяснение может быть дано на отдельной странице, которая предшествует блок-схеме, или на титульной странице рабочего документа.
* В каждом используемом документе должна быть приведена перекрестная ссылка на соответствующий рабочий документ.
* Ни один документ не может быть включен в рабочую документацию без объяснения причин его использования.
3. Описание работы систем и блок-схемы
В ходе аудиторских проверок возникает необходимость описать системы или процессы, которые проверяются. Для этого используют описания работы систем или блок-схемы, или и то, и другое. Выбор конкретного метода зависит от его относительной эффективности, учитывая сложность/ комплексность системы, которая проверяется.
Описание работы систем обычно проще в использовании. Этот метод используют, когда есть возможность четко и сжато описать системы или процессы. Однако, если описание может оказаться сложным и длинным из-за большого количества составляющих процедур контроля, взаимодействие которых тяжело описать, целесообразно использовать блок-схемы (или объединить оба метода).
4. Интервью и собеседования
Большую часть устной информации аудитор получает во время официальных телефонных разговоров или личных встреч. Официальные беседы наиболее желательны, поскольку аудитор специально готовит вопросы с целью получить исходные данные для аудиторской проверки, хотя важную информацию часто можно получить в ходе неподготовленных собеседований или даже неофициальных разговоров. Любая устная информация, которую аудитор планирует использовать при написании аудиторского заключения, должна быть оформлена документально. Собеседования полезны при выяснении проблемных вопросов, получении общих знаний об объекте аудита, сборе данных, которые не имеют документального оформления, а также при формировании аудиторского мнения и предоставлении оценки или рекомендаций относительно исправления ситуации. Записи по результатам собеседования должны содержать лишь факты, полученные во время этого собеседования, исключая собственное мнение аудитора.
При документальном оформлении результатов собеседования нужно учитывать следующие рекомендации:
* Обязательно укажите фамилию и должность всех служащих, которые предоставили информацию, включая данные, полученные из неофициальных бесед.
* Укажите также время и место проведения встречи.
* Сгруппируйте записи по темам, если это возможно.
* Установите источник информации, на который ссылался служащий во время беседы.
5. Визуальные наблюдения
Аудитор проводит визуальные наблюдения с теми же целями, что и опрос. Если результаты визуальных наблюдений используются для подтверждения каких-либо выводов, они должны быть документально оформлены. Визуальные наблюдения особенно полезны при проведении проверки наличия активов или документов.
Рабочие документы о результатах визуальных наблюдений должны включать следующую информацию:
* время и дату проведения наблюдения;
* место проведения наблюдения;
* фамилию сотрудника, который сопровождал аудитора во время проведения наблюдения;
* предмет проверки (при проведении тестов рабочие документы должны содержать информацию относительно составляющих и основы выборки).
6. Оформление результатов аудита
Все результаты аудита должны быть документально оформлены в виде рабочих документов (см. Главу IX «Результаты и заключения аудиторской проверки»), включая неудовлетворительные результаты. Аудитор должен документально оформить все результаты проверки сразу после обнаружения неудовлетворительной ситуации.
e. Содержание рабочих документов
Рабочие документы должны всегда обеспечивать адекватное отражение выполненных аудиторских процедур. Рабочая документация должна включать следующую обязательную информацию:
* сфера деятельности банка, в котором проводился аудит;
* название аудиторского рабочего документа;
* код документа (ссылка);
* ссылка на соответствующий пункт программы аудита или объяснение цели составления данного документа;
* описание выполненной работы и полученных результатов;
* источники получения информации, необходимой для завершения аудита;
* основа определения выборки;
* заключения;
* фамилия сотрудника, который составил данный документ и дата его заполнения;
* подпись руководителя, проверившего документ.
f. Порядок оформления рабочих документов
Документальное оформление задач, выполненной работы и полученных результатов тестов должно осуществляться следующим образом:
Цель проведения теста.
В этом пункте следует описать цель, которой необходимо достичь при проведении теста.
Базовый документ.
Это документ, журнал или другие записи, на основании которых составляется выборка.
Выборка.
Внутренний аудитор указывает размер и использованную методику составления выборки.
Выполненная работа.
В данном пункте описывается объем выполненной аудитором работы.
Обнаруженные проблемы.
Аудитор должен отобразить в рабочей документации любые проблемы или недостатки, обнаруженные в результате проверки.
Заключение.
Данный пункт содержит заключения, сделанные на основе результатов выполненной работы.
IX. Результаты и заключения аудиторской проверки
Основные цели составления аудиторского заключения
1. Срочно известить руководство банка о важнейших проблемах, выявленных в ходе каждой аудиторской проверки.
2. Сообщить, удовлетворительно ли работают системы контроля.
3. Если обнаружены проблемы, убедить руководство в необходимости выполнения предложенных рекомендаций относительно изменений, которые приведут к улучшению деятельности и систем контроля.
4. Представить официальный отчет о результатах проведенной аудиторской проверки, а также о договоренности относительно введения усовершенствований, достигнутой с руководством того отдела, в котором проводилась проверка.
5. Доложить руководству банка об адекватности систем контроля и эффективности мер, которые обеспечивают внутренний контроль в банке.
Содержание, форма, срок предоставления и лица, которым представляется данный отчет, должны быть официально утверждены и соответствовать процедурам банка.
При документальном оформлении результатов аудиторской проверки аудитор должен изложить суть каждой проблемы коротко, четко и понятно, в отдельных разделах.
Основные разделы аудиторского отчета включают
A. Изложение фактов (что происходит?)
B. Критерии (как должно происходить?)
C. Последствия (к чему это приведет?)
D. Причины (почему это произошло?)
E. Рекомендации (что необходимо сделать?)
A. Изложение фактов
В этом разделе определяется характер и масштабы выявленной проблемы. В нем дается ответ на вопрос: «Какие обнаружены нарушения?» Четкую и полную картину состояния объекта аудита обычно можно получить посредством включения в аудиторское заключение оценки обнаруженных фактов в соответствии с надлежащими критериями оценки.
B. Критерии
В этом разделе устанавливается легитимность результатов проверки путем определения критериев оценки и дается ответ на вопрос: «По каким стандартам проводилась оценка»? В аудите финансовой отчетности и аудите на соответствие стандартным требованиям в качестве критериев могут использоваться: точность, существенность, стабильность или соответствие общепринятым принципам бухгалтерского учета и требованиям, установленным законодательством и нормативными актами. При проведении аудиторской проверки эффективности и экономичности деятельности, а также достижения запланированных результатов, критерии могут быть определены в миссии банка, положении о проверяемом подразделении, регламенте его деятельности или функций; стандартах выполнения работы, производительности труда и затрат; в договорных контрактах; в установленных целях деятельности организации; в политике и процедурах, в иных внутренних нормативных документах банка; а также внешними источниками, которые устанавливают общепринятые критерии.
C. Последствия
Этот раздел определяет фактическое или потенциальное влияние выявленной проблемы на деятельность организации и дает ответ на вопрос: «К чему приведет такая неудовлетворительная ситуация? »
Значимость какой-либо проблемы обычно оценивается исходя из последствий, к которым она сможет привести. При проведении операционного аудита снижение эффективности или экономичности деятельности, или недостижение запланированных результатов являются достаточными критериями для оценки последствий. Они обычно выражаются в количественных показателях, например, в долларах, количестве персонала, единицах продукции, количестве материала, количестве операций или количестве потраченного времени. Если фактические последствия невозможно выяснить, то иногда может быть полезно определить потенциальные (возможные) или нематериальные последствия для того, чтобы показать важность выявленной проблемы.
D. Причины
Четвертый раздел определяет причины, которые привели к неудовлетворительному состоянию, и дает ответ на вопрос: «Почему это произошло?»
Если проблема наблюдается на протяжении длительного периода времени или если ситуация ухудшается, необходимо также изложить причины возникновения подобного положения.
Определение причин неудовлетворительного состояния является необходимой предпосылкой для того, чтобы рекомендации относительно мер по исправлению ситуации были действительно полезными. Причины могут быть достаточно очевидными, или их можно выяснить путем логических рассуждений с целью предоставления рекомендаций с указанием особенных и практических путей для исправления неудовлетворительного состояния. Однако, отсутствие в аудиторском заключении указания на причины возникновения проблемной ситуации может означать недостаточность проведенной аудиторской работы. Кроме того, причины могут быть не определены преднамеренно, с тем, чтобы избежать прямой конфронтации с ответственными лицами.
E. Рекомендации
Этот последний раздел содержит предложения относительно устранения недостатков и дает ответ на вопрос: «Что необходимо сделать?»
Связь между рекомендациями аудитора и причинами, которые вызвали такое неудовлетворительное состояние, должна быть четко и логически изложена. Если такая связь существует, то есть большая вероятность того, что предложенные действия будут внедрены и надлежащим образом проконтролированы.
Рекомендации в аудиторском отчете должны четко показывать, что именно необходимо изменить или исправить. За процесс внедрения этих изменений отвечает руководитель отдела, в котором проводилась аудиторская проверка. Такие общие рекомендации, как например, «уделить большее внимание», «просмотреть системы контроля», «изучить проблему», «обсудить вопросы», нельзя использовать в аудиторском заключении, но иногда они могут быть уместными в итоговых отчетах для того, чтобы обратить внимание высшего руководства на схожие проблемы, выявленные в нескольких сферах деятельности.
Если преимущества внедрения предложенных действий не являются очевидными, они должны быть изложены в рекомендациях. Стоимость внедрения предложенных действий необходимо всегда сравнивать с величиной риска.
Рекомендации нужно направлять лицу, которое имеет полномочия предпринимать необходимые действия.
РЕЗЮМЕ
Хорошо изложенные результаты аудиторской проверки содержат: характер обнаруженных нарушений; критерии, которые использовались для выявления нарушений; причины неудовлетворительного состояния; важность последствий; а также что, по мнению аудитора, необходимо сделать для исправления ситуации. Полностью оформленные результаты аудиторской проверки, которые состоят из пяти приведенных выше разделов, должны быть простыми для понимания и раскрывать соответствующим руководящим лицам учреждения последствия и значимость обнаруженных нарушений.
Каждый результат должен оформляться на бланке «Результаты аудиторской проверки», и включаться в рабочую документацию внутреннего аудитора.
Пример внутреннего аудиторского заключения приводится в Главе XIII данного Пособия (стр. 72).
X. Методика составления аудиторского заключения
a. Аудиторское заключение
Целью этой методики является определение формы аудиторского заключения службы внутреннего аудита. Эта методика также содержит инструкции относительно написания заключения и его основных характеристик. От качества результатов проверки и их правильного оформления в аудиторском заключении зависит то, как в банке будут воспринимать службу внутреннего аудита.
Аудиторское заключение обычно составляется в следующей форме:
Сопроводительное письмо. Обычно сопроводительное письмо к аудиторскому отчету содержит следующую информацию:
A. Дата составления заключения, кому адресован отчет, название объекта аудита.
B. Краткое изложение цели аудиторской проверки с указанием, если уместно, охваченного аудитом периода.
C. Дату проведения итоговой встречи с руководством отдела, который проверялся, для обсуждения результатов проверки и положений проекта аудиторского заключения.
D. Суть разногласий с руководством отдела, который проверялся, если не было достигнуто договоренности относительно дальнейших действий для исправления всех недостатков или нарушений, обнаруженных в ходе внутреннего аудита.
E. Краткий обзор наиболее важных замечаний/ комментариев, которые освещают результаты аудиторской проверки. Если заключение не содержит значительных замечаний, тогда нужно указать положительные результаты проверки. Например: «Проведенная аудиторская проверка и тесты дали положительный результат и подтверждают наличие адекватных систем контроля. Обнаруженные незначительные недостатки могут быть легко исправлены».
F. Заключение, которое должно составляться, исходя из задач аудиторской проверки, чтобы предоставить правильное и полное понимание проблемы.
G. Запрос на получение письменного отчета о выполнении к установленному сроку рекомендаций внутренних аудиторов. Обычно срок устанавливается путем определения количества дней, которые отводятся на выполнение рекомендованных действий, со дня предоставления аудиторского заключения. Отчет о выполнении рекомендаций по каждой из проблем, указанных в аудиторском заключении, должен отображать меры, которые были фактически приняты для исправления неудовлетворительного состояния или предоставлять новый график выполнения этих рекомендованных действий. Невыполнение мер по исправлению проблемной ситуации в установленный срок должно доводиться до сведения руководства следующего звена управления.
Сопроводительное письмо рассматривается в качестве первой страницы аудиторского заключения.
Вторая страница - «Задачи и объемы аудита», содержит следующую информацию:
A. Фамилии аудиторов, которые проводили проверку.
B. Более детальное изложение задач аудита, охваченный период, объемы аудиторской проверки и протестированные направления деятельности, а также любые ограничения при проведении тестов.
C. Перечень сотрудников, присутствовавших на итоговой встрече.
Следующим разделом второй страницы аудиторского заключения должен быть раздел «Справочная информация» или «Результаты проверки и рекомендации». Справочная информация должна приводиться в том случае, когда аудитор считает, что некоторые пользователи аудиторского заключения не имеют необходимых знаний для его правильной интерпретации.
b. Важные результаты проверки
Важные результаты аудиторской проверки, которые требуют исправления выявленных проблем, должны детально обсуждаться с руководителями отдела с приведением списка выявленных фактов (Глава IX). Данные, которые подтверждают каждый результат проверки, должны констатировать неудовлетворительное состояние, включать факты и результаты тестов, которые подтверждают такое состояние, его причины и возможные последствия, а также рекомендации или предложения ответственного персонала службы внутреннего аудита относительно его исправления.
c. Менее важные результаты проверки
Перечень результатов проверки и комментариев, которые можно охарактеризовать как менее важные, должен оформляться в отдельном документе. В конце аудиторского заключения необходимо указать, что «отдельный перечень менее важных результатов аудиторской проверки был предоставлен руководству соответствующего звена для рассмотрения и исправления недостатков».
Каждый обнаруженный такой недостаток нужно документально оформить с пометкой «менее важный». Менее важные результаты аудиторской проверки обычно не требуют официального согласования с руководителем отдела, который проверяется, для включения этой информации в аудиторское заключение. Однако, необходимо предоставить данные о менее важных результатах проверки на рассмотрение руководству соответствующего звена.
Включение того или иного результата проверки или комментария в аудиторское заключение зависит лишь от решения внутреннего аудитора относительно существенности и важности возможных последствий обнаруженного неудовлетворительного состояния. Форма документального оформления каждого результата аудиторской проверки влияет на принятие правильного решения. Дальнейшая проверка и оценка мнения рядового аудитора осуществляется руководителем группы аудиторов.
Аудиторское заключение дает аудитору возможность получить полное внимание руководства. Аудиторское заключение предоставляется руководству высшего звена управления. Оно также является важным инструментом, который используется не только для оценки эффективности деятельности отдела, который проверялся, а также для оценки работы самого внутреннего аудитора. Хотя хорошо продуманное и оформленное аудиторское заключение не сможет компенсировать недостатки в работе аудиторов, однако безупречное аудиторское заключение всегда укажет на достижения аудиторов при выполнении заданий. С другой стороны, квалифицированные усилия аудитора и качественно выполненная работа могут быть сведены на нет из-за плохо составленного аудиторского заключения.
d. Каждое аудиторское заключение должно отвечать следующим шести требованиям:
Достоверность. Аудиторское заключение должно подтверждаться фактами. Чрезвычайно важно, чтобы степень доверия к службе внутреннего аудита и к каждому аудитору была наивысшей благодаря информативным, непредвзятым и объективным аудиторским заключениям.
Понятность. Аудиторское заключение должно быть понятным и прозрачным. Очень важно, чтобы заключение не требовало дополнительных устных пояснений или комментариев. Аудиторское заключение должно представлять собой отдельный самостоятельный документ.
Количественные характеристики. Все комментарии должны максимально сопровождаться количественными данными, чтобы подчеркнуть серьезность возможных последствий. Примером количественных данных могут быть: суммы в рублях, объем аудиторской выборки, количество ошибок в выборке.
Краткое изложение. Аудиторское заключение должно быть кратким и уместным, но это не обязательно означает, что оно должно быть коротким.
Объективность. Аудиторское заключение должно сохранять дипломатическую взвешенность, учитывая восприимчивость адресатов этого заключения. Ударение нужно делать на необходимости усовершенствований, а не подвергать критике деятельность служащих или прошедшие события.
Своевременность. Аудиторское заключение нужно предоставлять в кратчайшие сроки после окончания проверки, желательно - в течение двух недель.
Решение проблемы. Аудиторское заключение должно указывать, кто, как и когда будет осуществлять изменения, необходимые для исправления ситуации. Эффективность теряется, если не получены конкретные ответы и не назначены ответственные лица.
Если аудиторское заключение является достоверным, понятным, кратким, объективным, своевременным и указывает конкретные действия для решения проблемы, оно будет хорошо воспринято адресатами.
е. Ознакомление с аудиторским заключением
Должностные инструкции относительно составления и предоставления аудиторского заключения представлены ниже:
A. Ответственный внутренний аудитор должен подготовить проект аудиторского заключения, включая сопроводительное письмо, до того, как руководитель группы аудиторов закончит проверку рабочих документов.
B. Обычно, проект аудиторского заключения предоставляется руководителю отдела, который проверялся, до проведения итоговой встречи. На каждом варианте аудиторского заключения должна быть отмечена дата его составления, и все участники итоговой встречи должны иметь одинаковый вариант.
C. Перед проведением итоговой встречи копию проекта аудиторского заключения необходимо сверить с соответствующими рабочими документами аудиторской проверки и расставить ссылки.
D. Окончательное аудиторское заключение предоставляется руководителям соответствующего уровня, которые несут непосредственную ответственность за направление деятельности банка, отдел, или оборудование, которое проверялось службой внутреннего аудита.
E. Заключение внутреннего аудита является конфиденциальным и не может распространяться за пределами банка или предоставляться другим структурным подразделениям банка без разрешения начальника службы внутреннего аудита.
Оформленные надлежащим образом отчеты относительно каждого обнаруженного в процессе аудиторской проверки недостатка облегчат аудитору процесс составления проекта аудиторского заключения. Нужно помнить, что не все из тех, кто будет читать аудиторское заключение, так же хорошо знакомы с темой отчета, как внутренние аудиторы. Следовательно, аудиторское заключение должно быть составлено таким образом, чтобы не требовалось дополнительных пояснений или устных комментариев.
f. Проверка выполнения рекомендаций внутреннего аудита
Одной из первоочередных обязанностей службы внутреннего аудита является убедиться в том, что отдел, в котором проводилась аудиторская проверка, принял необходимые меры по исправлению неудовлетворительного состояния согласно рекомендациям аудиторов. Это относится ко всем случаям, кроме тех, когда «высшее руководство или Правление банка взяло на себя риск не вносить предложенные внутренними аудиторами изменения для исправления обнаруженных недостатков».
Поскольку проверка принятых мер является неотъемлемой частью процесса внутреннего аудита, ее нужно также включать в график проведения аудиторских проверок. Однако, каждая отдельная проверка выполнения рекомендаций зависит от результатов аудиторской проверки. Она может проводиться в тот время, когда проект аудиторского заключения еще обсуждается с руководителями отдела, который проверялся, или после утверждения окончательного аудиторского заключения.
Работа по проверке выполнения рекомендаций, направленных на исправление неудовлетворительного состояния, может быть трех типов:
Обычная проверка - является самой простой формой проверки выполнения рекомендаций. Аудитор может ограничиться обзором процедур и операций отдела, в котором проводился аудит, или получить информацию путем неофициального телефонного разговора или переписки с ответственными лицами. Такая форма обычно применяется к менее важным результатам внутреннего аудита.
Частичная проверка - как правило, предусматривает более активную деятельность аудитора. Она может включать практическую проверку порядка деятельности и проведения операций. В большинстве случаев аудитор не ограничивается лишь телефонными разговорами и перепиской с ответственными лицами.
Детальная проверка - обычно занимает много времени. При проведении такой проверки может быть проделан значительный объем аудиторской работы. При выполнении детальной проверки принятых мер аудитор может проверять процедуры деятельности и отслеживать операции, а также сверять остатки на счетах и проверять автоматизированные учетные документы. Конечно, детальная проверка требуется для тех областей, в которых обнаружены наиболее существенные нарушения.
Ниже приведен пример формы отчета о мерах, принятых руководством того подразделения, в котором проводился аудит.
Форма отчета о проверке выполнения рекомендаций
Название проверки:
Номер проверки:
Вопрос/Ответ (с пояснением)
Нужно ли повторно провести данную проверку ? Да ? Нет
Если «Да», то:
1. Через какое время?
2. Нужно ли проводить ее вместе с другой проверкой?
3. Какой бюджет можно порекомендовать?
На проведение проверки в полном объеме?
На осуществление частичной проверки (обследования)?
Если «Нет», то объясните почему.
1. Какую часть деятельности подразделения банка, в котором проводился аудит, нужно проанализировать во время промежуточной проверки?
2. Какой области нужно уделить особое внимание во время следующей аудиторской проверки?
3. Какую область деятельности можно исключить из программы следующей проверки?
4. Какие у вас есть предложения аудитору, который будет проводить следующую проверку данного подразделения банка?
5. Каким обнаруженным проблемам нужно уделить внимание во время проведения других аудиторских проверок?
Ответственный аудитор
Дата
Руководитель группы аудиторов
Дата
XI. Аудит компьютерных систем
a. Компьютерные системы
Особенностью аудита компьютерных систем, проводимого Службой внутреннего аудита, является системно ориентированный подход, а также подход, основанный на оценке риска. Служба внутреннего аудита должна проверить:
* соответствие информационных систем, внедренных в банке, положениям и требованиям внутренней политики, планам развития, процедурам, действующим законодательным и нормативным актам;
* средства защиты и обеспечения сохранности активов (в том числе программного обеспечения) и их наличие;
* средства обеспечения правильности и целостности финансовой и операционной информации; а также ряд общих аспектов деятельности банка, в частности:
- оценка экономической обоснованности и эффективности использования ресурсов;
- проверка деятельности банка и функционирования систем с целью выяснения их соответствия целям, поставленным перед банком.
b. Риски, присущие компьютерным системам
Основные виды рисков, которые руководители банка/ департамента должны распознать и которыми должны управлять с помощью внутренних процедур и средств бухгалтерского контроля:
* Риски, связанные с защитой и безопасностью данных, - риск случайного или намеренного раскрытия или уничтожения данных в системе;
* Риск, связанный с обеспечением конфиденциальности информации - риск того, что данные об операциях клиентов или банка будут переданы третьим лицам;
* Риск, связанный с достоверностью данных, - риск того, что в систему введены неточные данные;
* Риск, связанный с полнотой данных, - риск того, что данные введены в систему в неполном объеме или вовремя не обновлены;
* Риск низкой производительности - риск того, что система неспособна вовремя выдавать ожидаемые результаты или выдает информацию в неудобном для пользования формате;
* Риск неэффективности работы - результаты работы компьютерной системы не отвечают потребностям руководства банка или клиентов.
c. Виды внутреннего контроля
Для уменьшения существующих рисков применяют три основных вида внутреннего контроля:
* Профилактический контроль, цель которого - ликвидировать существующие риски. Примеры: использование индивидуальных паролей, идентификационных кодов пользователей, двойного ключа при входе в систему;
* Контроль на обнаружение, задача которого - обнаружить случаи реализации рисков. Примеры: сообщение о произведенной ошибке, контроль общей суммы после введения пакета операций, протоколирование выполненных функций;
* Контроль на исправление, осуществляемый на этапе ввода операции, которая ранее была отклонена системой, или операции, которая требовала исправления.
Процесс обработки операции в компьютерной системе проходит в шесть этапов, поэтому необходимы шесть видов контроля:
1. Контроль на этапе начала операции.
2. Контроль на этапе ввода операции в систему.
3. Контроль передачи данных.
4. Контроль на этапе обработки операции.
5. Контроль на этапе сохранения и поиска данных.
6. Контроль данных на выходе из системы.
Ниже приводятся примеры анкет для проверки средств контроля, которые, по мнению внутренних аудиторов, могут присутствовать на всех шести этапах обработки операции в компьютерной системе. Эти анкеты дополняют анкетные формы по проверке компьютерных систем и их работы, приведенные в Главе X, Раздела № 3.
d. Средства контроля на этапе начала операции
* Письменные инструкции для пользователей по эксплуатации системы;
* Специальный формат экрана ввода данных;
* Система уникальных кодов для идентификации операции;
* Ссылка на документальный источник;
* Модификация средств контроля операций;
* За работу с особо ценными документами, которые подлежат вводу в систему, должны отвечать два человека;
* Наличие письменного разрешения в тех случаях, когда это необходимо;
* Система серийных номеров для групп документов;
* Сверка данных первичных документов с проводками производится группами на этапе ввода в систему;
* Наличие и применение письменных процедур по исправлению ошибок;
* Незамедлительное уведомление системой пользователя об источнике ошибки в документе;
* Данные, которые вводятся повторно после исправления ошибки, проходят проверку на правильность в таком же объеме, что и данные, которые вводятся впервые;
* Хранение файла документов - первоисточников;
* Определение срока хранения в системе файлов документов - первоисточников.
е. Средства контроля на этапе ввода операции в систему
* Использование специального готового формата экрана ввода данных в систему;
* Распределение пользователей по группам на основе их функциональных обязанностей;
* Периодический пересмотр уровня полномочий отдельных групп пользователей;
* Редактирование данных на экране и проверка правильности введенных данных осуществляются до утверждения операции;
* Операции, введенные после даты закрытия отчетного периода, содержатся системой в статусе «до выяснения» и заносятся в специальный список;
* Система поддерживает график и очередность обработки операций, что гарантирует обработку всех операций без исключения;
* Файлы с документами-первоисточниками хранятся на этапе ввода в систему до того момента, когда операция будет утверждена системой;
* Для предотвращения двойного ввода на первичных документах делается пометка о введении документа в систему;
* Пакетный ввод операций;
* Контроль по общей сумме пакета;
* Система немедленно выдает на экран уведомление об обнаруженной ошибке;
* Четкая формулировка сообщений об ошибке;
* Повторный ввод исправленных данных осуществляется полностью в соответствии с процедурой, утвержденной для первичного ввода данных;
* Контроль по общей сумме осуществляется для всех отклоненных системой операций
f. Средства контроля на этапе передачи данных
* Наличие перечня адресов всех лиц, имеющих право использовать системы терминалов сети;
* Сообщения на терминал имеют уникальные признаки идентификации, с указанием даты, номера операции и пр.;
* Наличие перечня видов операций, разрешенных с каждого конкретного терминала;
* Использование средств идентификации для обнаружения и выведения сообщения об ошибке при передаче данных;
* Использование средств контроля по парности и достоверности при обнаружении ошибок в символах (знаках);
* Использование средств эхо-проверки для обнаружения и выдачи сообщения об ошибке;
* Применение средств кодирования и шифрования для секретной информации;
* Дублирование важных линий связи;
* Автоматическая нумерация всех сообщений;
* Регистрация всех входящих и исходящих сообщений.
g. Средства контроля на этапе обработки операций в компьютерной системе
* Операции, инициированные компьютерной системой, распечатываются для информации пользователей;
* При передаче данных с одного модуля системы в другой проводится контроль по остаткам;
* Система осуществляет контроль по общей сумме при введении задания и этапов задания;
* Использование средств проверки правильности математических подсчетов;
* Если операция была произведена в обход средств программного контроля, либо в программу контроля были внесены несанкционированные изменения, система должна выдавать сообщение об исключении из установленного порядка работы;
* Тестовые прогоны программы показывают правильность контрольных сумм файлов, количества записей и сумм в отдельных полях;
* Производится контроль завершенности файлов;
* Проводится сверка количества операций на входе и на выходе;
* Система выдает отчеты об обнаруженных ошибках - с указанием поля и типа ошибки;
* Система выдает сообщения об отклоненных операциях для того, чтобы гарантировать исправление ошибок и повторный ввод исправленной операции;
* Департамент ИТ должен хранить все файлы отслеживания операций, отклоненных системой;
* Все файлы отслеживания должны иметь уникальный серийный номер
h. Средства контроля на этапе сохранения и поиска данных в системе
* Поддержка библиотеки системы с регистрацией всех пленок, дисков и документов;
* Контроль способности системы выполнять обычное операционное задание и разрабатывать новые программы;
* Файлы компьютерных программ делятся по степени доступа на: стандартные, конфиденциальные, только для уполномоченных лиц;
* Все файлы имеют пометки начала и конца файла;
* Все изменения, которые вносятся в таблицу защиты данных, должны получить предварительное подтверждение до их внесения в компьютерную систему;
* Резервные копии мастер-файлов хранятся вне помещения подразделения ИТ;
* Обязательное резервное копирование всех файлов;
* Наличие процедур по аварийному восстановлению утраченных данных;
* Наличие плана аварийного восстановления работы всех основных прикладных пакетов, которые используются в банке;
* Регистрация в системе всех случаев остановки работы прикладных программ и перерывов в операционной работе.
i. Средства контроля данных на выходе из системы
* Контроль общих сумм на выходе и сверка с общими суммами на вводе;
* Отчет системы: дополнительная информация, например, количество страниц в отчете;
* Отчеты, которые готовятся системой автоматически, присылаются только на уполномоченные терминалы;
* Отчеты получают функциональные пользователи;
* Пользователи могут контролировать правильность подсчета общих сумм вручную с автоматическим подсчетом, сделанным системой;
* Конфиденциальная информация уничтожается в системе через определенный срок;
* Вопросы, включенные в отчеты об ошибках, регулярно расследуются с внесением необходимых изменений;
* Процедура исправления ошибок определена в Инструкции по эксплуатации системы;
XII. Методика проведения аудита с использованием компьютерных программ
Подход к проверке компьютерных программ, основанный на системных рисках
Аудиторская проверка компьютерных систем использует системно ориентированный подход, а также подход, основанный на оценке рисков. Одним из заданий Службы внутреннего аудита во время проведения проверки компьютерных систем является проверка достоверности и полноты финансовой и операционной информации.
Служба внутреннего аудита проводит аудит как компьютерных систем, так и посредством компьютерных систем.
Аудит с использованием компьютерных программ может быть разных видов:
1. Моделирование проблемных ситуаций - проверить правильность работы системы путем ввода пробных данных. Для такой проверки выделяют соответствующие данные или выборку из настоящего файла и проводят данные через программу моделирования, которая работает параллельно с программой банка. Результаты, полученные аудиторами в программе моделирования, сравнивают с исходными данными операционной системы банка и исследуют обнаруженные различия.
2. Осуществление с помощью компьютерной системы аудиторских мероприятий, которые обычно выполняются вручную, например, выделение данных, определение выборки, контрольная проверка данных.
(Для многих информационных систем, которые используются в западных банках, существуют специальные программы компьютерного аудита. Однако в настоящее время нам не известно о каких-либо российских программах, присутствующих на рынке. Как только подобные программы появятся на российском рынке, наши специалисты рассмотрят возможность применения этих программ для улучшения качества аудита).
РАЗДЕЛ № 2: ДРУГИЕ ДОКУМЕНТЫ ПО ВНУТРЕННЕМУ АУДИТУ
XIII. План аудиторской проверки
С целью соблюдения единого порядка документального оформления плана аудиторской проверки, к началу проведения каждого аудита необходимо заполнить анкету в области планирования и определения целей проверки. Руководитель группы аудиторов, которая проводит проверку, несет ответственность за своевременное заполнение такой анкеты.
Анкета разработана с целью документального оформления следующей информации, необходимой при составлении плана аудиторской проверки:
A. Просмотр рабочей документации и аудиторского заключения предыдущей проверки и определение дальнейшего плана действий.
B. Сравнение количества затраченного времени с результатами работы и с заключениями относительно систем контроля. Определение влияния выявленных фактов на текущую проверку.
C. Оценка аудиторского риска и определение вопросов, требующих повышенного внимания.
D. Координация работы с внешними аудиторами и определение влияния работы внешних аудиторов на объемы текущей внутренней проверки.
E. Определение конкретных целей аудита.
F. Определение необходимого времени и ресурсов для выполнения заданий проверки.
G. Разработка и утверждение детальной программы аудиторской проверки.
H. Информирование лиц, которые должны быть осведомлены о проведении проверки.
I. Логическое обоснование причин выбора того или иного уровня руководства, с которыми будут обсуждаться результаты проверки и которыми будет предоставляться отчет, с целью убедиться, что выбранный уровень руководства имеет полномочия внедрять согласованные рекомендации для решения выявленных проблем.
J. Обсуждение с руководством отдела, в котором планируется проведение проверки, заданий этой проверки и получение комментариев и предложений руководства касательно облегчения получения результатов во время ее проведения.
K. Пересмотр детальной аудиторской программы, если необходимо, для отображения в ней результатов встреч с руководством отдела, который будет проверяться, или результатов собственных исследований.
L. Утверждение рабочего плана аудиторской проверки и определение даты ее завершения.
ПЛАНИРОВАНИЕ АУДИТА И ОПРЕДЕЛЕНИЕ ЦЕЛЕЙ ЕГО ПРОВЕДЕНИЯ (АНКЕТА)
Название аудиторской проверки:
Бюджет аудиторской проверки:
Дата начала проверки:
Дата окончания проверки:
Ссылка на рабочий документ
Исполнитель
1. Проанализировать отчеты по предыдущим проверкам, включая также отчеты о контроле последующих исправлений (Глава X); определить и задокументировать те меры, которые необходимо предпринять для исправления отмеченных недостатков
2. Сравнить затраты времени в ходе предыдущих аудиторских проверок с фактическими результатами и заключениями этой проверки. Исходя из результатов предыдущих проверок, записать свои рекомендации (если таковые имеются) относительно изменения объема проверок.
3. Документально оформить любые изменения, которые в данный момент можно внести в оценку аудиторского риска, указанного в ходе предыдущей проверки.
4. Связаться с независимыми аудиторами для того, чтобы выяснить их точку зрения относительно существования значительных проблем в отделе, который планируется проверить, а также их пожелания относительно проведения внутренними аудиторами каких-либо особых тестов.
5. Суммировать и документально оформить задачи аудиторской проверки с целью сосредоточения усилий на выполнении поставленных задач и облегчения дальнейшей оценки их выполнения. В целом, задачи аудиторской проверки сводятся к оценке следующего:
* достоверность и целостность информации или учетных операций;
* соблюдение установленной политики и процедур, законов, нормативных актов и выданных инструкций;
* сохранность активов;
* рациональное и эффективное использование ресурсов;
* достижение определенных целей и задач (при проверке программ и операций).
6. Подготовить график аудиторской проверки.
7. Разработать детальную программу аудиторской проверки и утвердить ее у руководителя аудиторской группы.
8. Составить и направить уведомление о запланированной аудиторской проверке, сроках и задачах ее проведения всем, кто должен быть осведомлен.
9. Документально обосновать причины выбора того или иного уровня руководства, с которым будут обсуждаться результаты проверки и которому будет предоставляться отчет с целью убедиться, что выбранный уровень руководства имеет полномочия внедрять согласованные рекомендации для исправления обнаруженных проблем.
10. На предварительной встрече с руководством проверяемого отдела обсудить задания проверки. Получить и документально оформить комментарии и предложения руководства относительно путей облегчения получения результатов во время проверки.
11. На основе полученной на вступительной встрече информации и собственных исследований, составить детальную аудиторскую программу и, если необходимо, отразить в ней результаты встреч с руководством и собственных проверок состояния дел в проверяемом подразделении банка.
12. Задокументировать изменения, внесенные в детальную программу аудиторской проверки и утвердить ее у руководства аудиторской группы.
13. Составить отчет о внесении изменений в бюджет с целью документального оформления внесенных изменений.
ОБРАЗЕЦ АУДИТОРСКОГО ЗАКЛЮЧЕНИЯ
Модель аудиторского заключения
Кому:
От кого:
Предмет:
Дата проведения аудиторской проверки:
Дата составления аудиторского заключения:
Аудиторскую проверку провели:
1. Изложение фактов
2. Критерии
3. Последствия
4. Причины возникновения
5. Рекомендации
XIV. Рекомендации по определению выборки (в том числе статистическими методами) при проведении аудита
a. Определение выборки
Выборка позволяет получить значительную по объемам информацию об определенном направлении деятельности путем анализа небольшого ее сегмента. В аудите выборка помогает сформулировать заключение об определенном направлении деятельности путем частичной ее проверки. Выборочная проверка является средством, позволяющим сформулировать аудиторское мнение или дать заключение о данном виде деятельности. Выборка и результаты, полученные на ее основе, являются основной информацией, анализ которой позволяет сделать окончательные выводы.
При определении выборки внутренние аудиторы должен руководствоваться следующими критериями:
* Выборка должна включать операции из той совокупности, которая является предметом аудиторской проверки. Например, выборка должна включать операции, осуществленные на протяжении всего проверяемого периода;
* Выборка должна быть репрезентативной для данной совокупности. В данном контексте репрезентативной следует считать выборку, которая имеет такие же характеристики, как совокупность в целом.
Аудиторы могут получить репрезентативность выборки посредством применения одного из следующих методов:
Случайный выбор
При определении выборки методом случайного выбора каждой единицы совокупности следует присвоить конкретный номер, а потом выбрать случайные номера, которые составят выборку. Это не вызывает трудностей, если единицы совокупности представляют собой пронумерованные документы. Чтобы определить перечень операций, которые войдут в выборку, можно использовать таблицу случайных чисел или компьютерный генератор случайных чисел.
Систематический случайный выбор
Такой способ можно использовать, если аудитор знает размер совокупности и размер необходимой ему выборки. Продемонстрируем этот способ на конкретном примере.
Предположим, что из 10.000 операций с иностранной валютой решили проверить 200.
Шаг 1
10.000 / 200 = 50. Т.о., каждая 50-я операция будет проверена
Определив первую операцию методом случайной выборки, затем включите в выборку каждую 50-ю сделку.
Но можно произвести, например, 5 случайных выборок
(Таким методом делается большинство выборок).
Шаг 2
Формула: 200 / 5 = 40
Значение «40» применяется, чтобы получить размер шага.
Шаг 3
10 000 / 40 = 250
Т.о. каждая 250-тая операция включена в одну из пяти выборок (с интервалом в 40 операций)
Пример проверки приводится ниже.
Произвольная выборка
Метод бессистемного выбора, например, абсолютно случайный выбор номеров операций вслепую. Этот метод не имеет научного обоснования, и поэтому может дать обманчивые результаты. Кроме того, второй внутренний аудитор не сможет повторить это действие с получением таких же результатов. Такой метод применяется только в крайних случаях.
Выборка блоком
Выбор блоков операций. Например, выборка всех обменных операций, осуществленных на протяжении наугад выбранных дней года.
Выборка блоком не рекомендуется, поскольку очень сложно не ошибиться при выборе определенного блока. Когда внутренний аудитор выберет достаточное количество блоков, он столкнется с необходимостью проверять слишком большое количество операций, что будет требовать неоправданно длительного времени.
b. Пример аудиторской проверки
Цель
* Аудиторская выборка преследует цель проверить эффективность процедур внутреннего контроля банка, и, в конечном итоге, проверить достоверность бухгалтерской документации банка.
* Вместо того чтобы проверять все операции банка, сотрудники СВА проверяют только определенное количество операций.
* Результаты выборочной проверки позволяют нам составить собственное заключение о достоверности или недостоверности бухгалтерской документации.
* Проверка всех без исключения финансовых операций банка требует слишком много времени, человеческих ресурсов и средств.
* Если выборка составлена правильно, и полученные результаты проверки трактуются правильно, то выборочная проверка является эффективным средством проведения аудита.
Методика определения выборки:
1. Определить цель аудиторской проверки.
2. Определить признаки отклонения от нормы.
3. Определить совокупность.
4. Определить размеры выборки.
5. Провести тестирование процедур контроля
6. Оценить полученные данные
1. Определить цель аудиторской проверки.
Например, СВА решила проверить, все ли операции купли-продажи валюты осуществляются при наличии слипа - подтверждения (подтверждающего документа, выданного другим отделом).
Данная контрольная процедура является ключевой и имеет для банка большое значение. Аудиторы должны определить ключевые для банка элементы системы внутреннего контроля и проверять только их.
Второстепенные элементы системы внутреннего контроля не являются важными для банка, поэтому нет необходимости в их проверке - она привела бы к напрасной трате времени.
2. Определить признаки отклонений от нормы
Очень важно с самого начала четко определить признаки отклонений от нормы. Это поможет аудитору сразу распознать факты отклонений от нормы еще в процессе проверки.
В нижеприведенном примере задача состоит в том, чтобы убедиться, имеется ли подтверждающий документ для каждой из осуществленных операций купли-продажи долларов США.
Банк AБВ
Исполнил
Дата
Проверка валютных операций с долларами США
Проверил
Дата
Декабрь-97
Операция по обмену
Дата
Сумма
Независимое
Лимит
Превышение
Курс
Точность
Проводка по
валюты (реквизиты)
подтверждение
дилера
лимита
утвержденный
суммы
счету клиента
35000
30-марта
50000
40000
Да
35050
31-марта
10000
15000
35100
2-апреля
85000
70000
Да
35200
3- апреля
90000
Нет
100000
Нет
35249
5- апреля
5000
10000
Нет
35250
30-мая
7500
Нет
20000
Отклонение
4
9
2
5
0
Выборка включает 200 операций.
В таблице приведена только часть из них.
Данный пример проверки наличия слипа- подтверждения можно применять для проверки различных аспектов системы контроля одновременно. Мы рассмотрим каждый из аспектов системы контроля.
В нашем примере каждая операция по обмену валют должна иметь слип- подтверждение. То есть, при проверке ответ на этот вопрос может быть только «Да» или «Нет». Данной проверкой не предусмотрена возможность существования другого ответа. При таком определении цели аудитору будет легко сосчитать количество случаев, которые являются отклонением от нормы, и на основе этих подсчетов оценить полученные в ходе проверки данные.
3. Определение совокупности
Совокупность это все статьи баланса или группа операций. В нашем примере совокупность представляет собой все проводки, которые касаются валютообменных операций, а каждая валютная операция представляет собой единицу совокупности.
Полноту данной совокупности можно проверить только путем выборочной проверки совокупности, в которую входят все слипы- подтверждения.
Очень важно убедиться в том, что аудитор получил полный перечень валютообменных операций, проведенных в течение определенного периода.
4. Определение объемов выборки
Количество единиц совокупности следует определять внимательно и обоснованно.
При определении объемов выборки необходимо руководствоваться следующим:
a. Риск выборки.
b. Допустимая норма отклонения.
c. Ожидаемая норма отклонения для данной совокупности.
d. Размер совокупности.
а. Риск выборки
Чем больше аудитор знает о данной совокупности, тем меньше вероятность ошибочности его подхода к проведению выборочной аудиторской проверке.
Чем больше объем выборки, тем меньше шансов сделать ошибочные заключения. Риск выборки уменьшается пропорционально приращению объема выборки.
Аудитор должен соотносить размер выборки, выбранной для аудиторской проверки, с фактором риска.
b. Допустимая норма отклонения
Аудитор должен оценить, какой процент отклонения или ошибки для данной совокупности необходимо считать предельным: 5%, или 10%, или 20%, или 30%.
Предположим, что сумма $150.000 для валютообменных операций может быть определена как допустимая для отклонения от нормы, и существенно не влияет на достоверность отображения данной деятельности.
Если годовой оборот по валютным операциям составляет $8,5 млн., то допустимый процент отклонения в нашем примере составляет 1,8%.
Если аудитор признает допустимым такой низкий процент отклонения (1,8%), ему придется проверить очень большую выборку валютообменных операций.
Определение желательного уровня риска системы контроля и допустимого процента отклонения входят в компетенцию аудитора.
c. Ожидаемая норма отклонения для данной совокупности
См. вышеприведенную иллюстрацию аудиторского риска.
d. Размер совокупности
Как правило, чем больше совокупность, тем больше должен быть размер выборки.
5. Тестирование процедур контроля
Составьте выборку отраженных в отчетности операций по обмену долларов США.
1. Определите, имеют ли операции слип-подтверждение.
2. Определите, было ли получено разрешение на предоставление кредита.
3. Определите, был ли курс операции согласованы с клиентом.
4. Определите, не превышал ли дилер лимитов, установленных для операций обмена валюты.
5. Проверьте правильность арифметических расчетов в слипе дилера.
Сделайте выборку слипов-подтверждений.
1. Проследите их до учетных записей.
2. Повторите шаги №№ 2-5 по вышеприведенной методике.
Составьте выборку записей об оплате, поступившей от клиентов по расчетам за операции обмена долларов США.
1. Проследите их поступление на счет банка.
2. Пересчитайте общие суммы в сводных таблицах о поступлениях оплаты от клиентов.
3. Проверьте правильность классификации валютных операций в долларах США.
4. Проследите данные поступления до проводок по соответствующим счетам клиентов.
Проверьте, не занесены ли в отчетность об операциях с долларами США средства, поступившие от каких-либо операций помимо продажи иностранной валюты.
6. Оценка данных, полученных в ходе проверки
Если аудитор делает заключение, что риск системы контроля высок, ему необходимо определиться относительно следующих действий.
Определите, что было причиной возникновения ошибок: несовершенство системы (системные проблемы) или невнимательность персонала.
Это поможет решить, насколько серьезны обнаруженные ошибки.
Аудитор может принять решение о продолжении аудиторской проверки операций с долларами США и проверить дополнительное количество валютных операций, выбранных наугад.
Аудитор может сделать статистическую выборочную проверку путем приращения размеров выборки.
Какое бы решение ни было принято аудиторами, главная цель - точно оценить размер ошибок и их последствия для финансовой отчетности банка.
Если выявлены достаточно серьезные ошибки, об этом следует доложить руководству банка, причем размеры ошибок нужно точно определить в полном объеме с помощью привлечения дополнительного персонала банка.
Анкета для определения степени существенности
Да
Нет
Комментарии
1. Относится ли этот вопрос к сфере естественно высокого риска?
2. Является ли размер ошибки в денежном выражении значительным для данной совокупности?
3. Как правило, можно ли считать 10% предельно существенной суммой?
4. Были ли нарушены положения законодательства и нормативных актов?
5. Является ли эта сумма существенной с точки зрения руководства банка?
6. Будут ли заключения неожиданны для руководства?
7. Были ли обнаружены аналогичные ошибки во время предыдущих аудиторских проверок?
8. Насколько систематической или случайной кажется обнаруженная ошибка?
9. Связана ли данная проблема с денежными ценностями?
10. Были ли в недавнем прошлом внесены изменения в процедуры и состав штата?
11. Оценивает ли аудитор выявленную проблему как существенную?
Если ответ на любой из этих вопросов положительный, то аудитор определенно имеет дело с существенной проблемой, требующей дальнейшего расследования.
XV. Вспомогательные средства проведения аудита - таблицы
Предмет проверки:
Номер документа:
Дата составления:
Функции:
Дата проверки:
Изложение фактов
Операция
Виды контроля
XVI. Инструкция по подготовке блок-схем
a. Блок-схемы
Блок-схема это схематическое изображение процесса или направления деятельности. Она наглядно изображает структуру системы и является средством для понимания и анализа сложных операций, чего тяжело достичь с помощью подробного письменного рассказа. Нередко внутренние аудиторы схематически изображают основные банковские операционные системы. Составление и использование блок-схем помогает в будущем сократить затраты времени на проведение аудиторских проверок.
Данная инструкция описывает общий подход, формат и условные обозначения, а также общие стандарты, которыми внутренние аудиторы должны руководствоваться при документировании основных систем внутреннего контроля банка в виде блок-схем.
Крупные системы обработки оперативной информации определены по группам или циклам операций:
* кредиты/ процентный доход/ выписки со счета
* займы/ процентные расходы/ уведомление об оплате
* начисление заработной платы/ личные дела
* казначейские операции/ процентные ставки/ валютные сделки/ фьючерсные контракты
* капитал/ основные средства/ содержание и эксплуатация
В первую очередь блок-схемы помогают выделить характеристики ключевых звеньев системы контроля, которые обеспечивают достижение целей контроля. Таким образом, аудиторы имеют возможность выявить случаи чрезмерного/ недостаточного контроля и лишние (дублирующие) этапы обработки операций. Внешние аудиторы банка, ЦБ РФ и служба внутреннего аудита смогут повысить эффективность своей работы, если в банке будут существовать схемы основных операционных систем и систем контроля на уровне операций и основных точек контроля.
Блок-схемы, разработанные внутренними аудиторами, позволят сосредоточить внимание на пяти основных этапах контроля, из которых должна состоять бухгалтерская система, чтобы обеспечить надежность, достоверность и полноту финансовой информации:
Авторизация - операции осуществляются в соответствии с намерениями руководства.
Учет - все разрешенные к осуществлению операции взяты на учет по соответствующему счету, в правильной сумме, с отнесением на соответствующий отчетный период.
Сохранность - ответственность за физическую безопасность активов возложена на уполномоченный персонал, не подчиненный бухгалтерии;
Сверка - учетные данные сверяются с соответствующими активами, документами или контрольными счетами.
Оценка - суммы, взятые на учет, проходят периодическую переоценку; в соответствии с МСФО производится списание, регулирование резервов и другие соответствующие корректировки.
Внутренние аудиторы должны составлять блок-схемы с соблюдением определенных условных пометок и соответствующих документов. Блок-схемы должны быть логичными, четкими и краткими.
b. Основные принципы составления блок-схем
A. Очень важна четкость и простота схем. Ошибочная чрезмерная детализация схем скорее запутает пользователя, чем выделит ключевые элементы. Особенно сложные элементы системы, например, специальные системы контроля, лучше объяснить письменно в сопроводительном письме. Следует, однако, помнить, что описание схемы должны быть краткими. В большинстве случаев схема с сопроводительным описанием будет более наглядной, чем просто словесное описание системы.
B. На схеме следует показывать только те операции/ документы, которые имеют значение для системы контроля (например, контроль предоставления доступа, учета, сохранности, сверки и определения стоимости). Этого можно достичь, включив в схему только те функции, которые обеспечивают ввод данных, изменение данных или передачу данных в другие департаменты. Чтобы составить блок-схему определенного процесса, его следует разбить на составляющие, то есть действия и решения. Для каждого действия следует также указать имена и должности людей, которые осуществляют операции. В символах документов отмечают также названия соответствующих документов.
C. Информацию, необходимую для составления новых блок-схем процессов или для обновления существующих, аудиторы получают во время бесед с сотрудниками банка о процедурах, которые последние выполняют, а также путем знакомства с внутренними инструкциями, существующими схемами и другой документацией по эксплуатации систем. Аудиторы собирают образцы документов и выясняют конкретные обязанности каждого из отделов, который участвует в данном процессе. Опрос персонала можно проводить одновременно с аудитом операций, особенно если идет речь об обновлении разработанных ранее блок-схем.
c. Проверка достоверности блок-схем процессов
A. Результаты проверки процедур контроля и предварительные заключения/ рекомендации относительно их усовершенствования, сделанные аудиторами, необходимо проверить на пробных проводках и изложить письменно в аудиторских рабочих документах. Поскольку лучше всего знают систему как раз те, кто каждый день с ней работает, аудиторам следует попросить персонал на каждом рабочем месте ознакомиться с составленными блок-схемами и высказать свои замечания относительно их точности.
B. После обсуждения блок-схем процессов с персоналом на местах необходимо, чтобы их проверили руководители отдела. Блок-схемы могут использовать все, кому это нужно. Можно также пользоваться блок-схемами при планировании последующих аудиторских проверок.
d. Маленькие секреты подготовки блок-схем
A. Для того чтобы при составлении блок-схем систем обработки оперативной информации добиться полноты и последовательности, следует указать конкретные задачи внутреннего контроля.
B. На блок-схеме следует большой стрелкой выделить конкретные точки внутреннего контроля. Эти точки контроля должны соотноситься с конкретными задачами внутреннего контроля.
C. Следует пользоваться стандартными символами и соединяющими линиями.
D. Начинайте схему с левого верхнего угла листа и двигайтесь вправо и вниз к правому нижнему углу листа.
E. Блок-схему следует начинать с момента начала операции и заканчивать проводкой в Главной бухгалтерской книге. Отметьте предельными символами точки начала и завершения операции.
F. Над каждым из символов необходимо указать имя ответственного должностного лица и название соответствующего департамента.
G. Используйте символы большего размера, если символ стандартного размера не вмещает всей необходимой информации.
H. Рекомендуется не рисовать линии вручную, а использовать стандартные символы для соединения отдельных частей блок-схем.
Символы, которые могут использоваться в блок-схемах
Начало потока документов
Документ
Направление потока документов
Контрольная точка
Постоянный архив документов, сгруппированных в алфавитном порядке, по номерам или по датам составления
Временный архив документов, сгруппированных в алфавитном порядке, по номерам или по датам составления
Направление потока информации
Операция или действие
Уничтоженный документ
Подписанный документ
Согласованный документ
Отчет или распечатанный на компьютере документ
Книга или журнал
Источник бухгалтерских записей в Главную книгу
Хранилище электронных данных
РАЗДЕЛ № 3: АНКЕТЫ ПО СИСТЕМАМ ВНУТРЕННЕГО КОНТРОЛЯ
I. Анкеты по системам внутреннего контроля
a. Цель
Цель данной группы анкет по системам внутреннего контроля (далее - АВК) - облегчить процесс проведения аудиторской проверки. Для этого приводится ряд вопросов, которым следует уделить внимание в ходе выполнения аудиторского задания.
В задачи АВК не входит охват всех возможных вопросов, требующих выяснения в ходе аудиторской проверки. Эти анкеты приводятся для того, чтобы помочь аудитору определить, способны ли применяемые в проверяемом подразделении (это могут быть подразделения головного офиса и/ или филиалы) методики гарантировать адекватность средств внутреннего контроля проводимым операциям, а также обеспечивает ли система внутреннего контроля соблюдение внутренних положений банка и указаний ЦБ РФ.
При пользовании этими методиками от внутреннего аудитора требуется известная степень осторожности и рассудительности. Учитывая имеющиеся в банке средства контроля, характер и/или уровень деятельности в проверяемой области, некоторые АВК не обязательно будут применимы в определенных обстоятельствах или к определенным видам аудиторских проверок.
b. Изучение общей ситуации
Перед началом аудиторской проверки аудитору следует изучить средства внутреннего контроля, политику, практику и методики, используемые в подразделении. Обычно все это подробно и лаконично описано в таких документах банка, как описания, блок-схемы, копии используемых формуляров и другая уместная информация
Для того чтобы облегчить проведение внутреннего аудита, авторы приводят в Пособии информацию по различным видам аудируемой деятельности банка. Порядок аудиторских проверок основан на сводной финансовой отчетности банка, составленной в формате МСФО. Анкеты по внутреннему аудиту помогают осветить деятельность банка в следующих областях:
Подраздел II
Внутренний аудит казначейских и межбанковских операций
Подраздел III
Операции с клиентами
Подраздел IV
Операции с ценными бумагами
Подраздел V
Долгосрочные инвестиции, основные средства и нематериальные активы
Подраздел VI
Капитал банка
Подраздел VII
Доходы и расходы
Подраздел VIII
Управленческий учет
Подраздел IХ
Аудит внебалансовых счетов
Подраздел Х
Аудит компьютерных систем
Подраздел ХI
Аудит филиалов
II. Внутренний аудит казначейских и межбанковских операций
а. Процесс проведения аудита
Для целей проведения проверки балансовые статьи объединяются в ряд групп.
Группа 1. Денежные средства
Касса и средства в пути
Другие статьи по казначейским и межбанковским операциям
Дорожные и прочие чеки
Группа 2. Драгоценные металлы
Группа 3. Прочие средства
Средства в ЦБ РФ
Средства Центрального Банка РФ
Средства в других банках
Средства других банков
Прочие
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделам № 2 и № 3 «Денежные средства и драгоценные металлы» и «Межбанковские операции», Правила ведения бухгалтерского учета № 61 от 18 июня 1997 г. с изменениями и дополнениями.
b. Этапы проведения внутреннего аудита
* Обзор и оценка систем внутреннего контроля
* Проверка работы систем внутреннего контроля
* Детальное тестирование
i. Проверка и оценка систем внутреннего контроля
Группа № 1: Денежные средства
Во время такой проверки внутренний аудитор должен убедиться в том, что в банке разработаны и внедрены надлежащие системы контроля. Целью аудита активов этой группы и операций с ними должна стать проверка следующих положений:
* кассовые операции осуществляются с соответствующего разрешения;
* доступ к наличным средствам и связанной с ними учетной документации разрешен лицам, уполномоченным на это руководством;
* все кассовые операции отражаются в учетных документах точно, своевременно и надлежащим образом.
Для того чтобы убедиться в адекватности систем контроля поставленным перед ними задачам, можно воспользоваться анкетой. Нижеприведенная анкета предлагает контрольные вопросы, которые помогут выяснить качественное состояние систем контроля, а, следовательно, выявить отсутствующие или слабые виды контроля.
АВК - Группа 1. Денежные средства
№
Основные контрольные процедуры
Наличие:
да/нет
Аудиторские тесты
Кассиры
1.
Имеют ли кассиры единоличный доступ и контроль над средствами, с которыми они работают?
2.
Заполняет ли и подписывает ли каждый кассир форму ежедневной сверки с указанием сумм в иностранной валюте, банкнотах и монетах?
3.
Проводится ли ежедневный независимый контрольный пересчет средств в кассе?
4.
Бывают ли у кассиров избытки или недостачи по результатам ежедневного контрольного пересчета средств в кассе?
5.
Если возникают какие-либо различия между остатками по документам и остаткам по контрольному пересчету, рапортуется ли об этом вышестоящему начальству?
6.
Установлены ли максимальные лимиты денежной наличности для отдельных кассиров?
7.
Применяются ли личные печати кассира для идентификации кассовых сделок?
8.
В случае передачи денежной наличности от одного кассира другому, подтверждается ли такой факт актом приемки-передачи с подписями обоих кассиров?
9.
Установлен ли для кассиров запрет на использование подотчетных средств для собственных нужд?
10.
Передают ли кассиры подотчетные средства на хранение в сейф (хранилище банка) по истечении рабочей смены или на ночное время?
11.
В случае если кассир идет в отпуск или будет отсутствовать долгое время, проводятся ли перечисление и сверка денежной наличности в кассе в присутствии руководства?
12.
Проводится ли неожиданный контрольный пересчет кассы внутренними аудиторами или другими уполномоченными лицами?
13.
Существуют ли дубликаты ключей от сейфов кассиров?
14.
Существуют ли системы для контроля предоставления доступа к дубликатам ключей от сейфов?
15.
Существует ли двойная система защиты денежной наличности в хранилище банка?
16.
Существует ли запрет на доступ кассиров к учетной документации?
17.
Существует ли запрет на привлечение кассиров к работе в других отделах?
18.
Изымают ли кассиры поврежденные и подделанные купюры с предоставлением отчета руководству?
19.
Оборудованы ли помещения для хранения монет и банкнот надлежащим образом с обеспечением защиты от кражи и других злоупотреблений?
Контроль деятельности кассиров со стороны бэк-офиса
20.
Запрещено ли контролерам бэк-офиса выполнять другие должностные обязанности?
21.
Существует ли разделение следующих обязанностей:
- функции кассиров;
- контролеров бэк-офиса;
- проведения сверки и сведения баланса;
- осуществления учета и корректировки бухгалтерских записей;
- составления выписок со счетов клиентов?
После завершения опроса в соответствии с анкетной формой внутренний аудитор должен:
* Определить риски, которые угрожают организации из-за отсутствия или неадекватности систем внутреннего контроля.
* Определить, какие дополнительные средства контроля можно ввести для усиления слабых или отсутствующих звеньев системы внутреннего контроля.
* Обсудить результаты проверки и возможные последствия существующих рисков с руководством департамента
ii. Проверка работы систем внутреннего контроля
Аудитор должен разработать данную часть программы аудиторской проверки с целью:
* подтвердить результаты, полученные в ходе опроса по анкете;
* определить уровень рисков, которые угрожают организации в результате отсутствия или неадекватности систем внутреннего контроля;
* выявить факты нарушения дисциплины в соблюдении требований систем контроля;
* предложить изменения, которые необходимо внести в системы контроля и внутренних процедур для уменьшения уровня существующих рисков и усиления дисциплины в соблюдении требований систем контроля.
По результатам проверки соблюдения требований установленных в банке процедур аудиторы должны сделать заключение о том, насколько процесс осуществления операций соответствует установленным процедурам внутреннего контроля и действующим нормативным актам.
iii. Детальное тестирование
Даже если системы контроля банка оценены как надежные, а проверка того, как соблюдаются требования внутренних процедур и систем контроля, позволила получить удовлетворительные результаты, может потребоваться детальное тестирование ряда существенных оборотов и операций.
Внешние аудиторы в ходе своей работы также проводят детальное тестирование. Для того чтобы свести к минимуму дублирование работы, Служба внутреннего аудита должна передать свою программу работы внешним аудиторам.
Тестирование существенных оборотов по операциям предусматривает следующее:
* Контрольный пересчет и сверку всех форм наличных средств с данными бухгалтерского учета.
* Проверку учетных записей на обнаружение необычных операций до и после истечения отчетного периода (года).
* Проверку классификации статей денежных средств и соответствия этой классификации положениям внутренней политики банка.
* Анализ существенных сумм на счетах до выяснения и счетах учета разниц.
Группа 2. Драгоценные металлы и камни
Под драгоценными металлами обычно подразумевается золото и серебро, однако в эту группу активов могут также входить платина, родий и алмазы. Драгоценные металлы обычно хранятся в виде брусьев или слитков, а также монет.
Банк может выступать дилером по операциям с драгоценными металлами или же держать их на ответственном сохранении. Банк может держать металлы:
* На ответственном хранении по доверенности клиентов;
* Иметь депозиты в форме слитков драгоценных металлов с целью предоставления клиентам кредитов в форме слитков драгоценных металлов.
i. Обзор и оценка систем внутреннего контроля,
Структура системы внутреннего контроля должна повторять структуру системы дилинга драгоценными металлами и охватывать следующие направления:
* Куплю и продажу банковских металлов;
* Систему физической безопасности и сохранности;
* Учет (в том числе периодическая переоценка )и отчетность.
Выполняя проверку, СВА должна убедиться в том, что системы внутреннего контроля в банке разработаны и существуют, и что эти системы адекватны поставленным задачам. Цель внутреннего контроля состояния активов данной группы и операций с ними заключается в следующем:
* все операции с драгоценными металлами авторизованы и осуществляются уполномоченными лицами с ведением необходимой документации;
* доступ к драгоценным металлам и соответствующим учетным записям разрешен только уполномоченным лицам;
* принятие мер по предотвращению утраты ценностей или злоупотреблений;
* все операции с драгоценными металлами:
- соответствующим образом отражены на специальных детализированных счетах и/или в бухгалтерских книгах банка;
- консолидированы и классифицированы на соответствующих контрольных счетах;
- правильно оценены.
Для того чтобы убедиться в адекватности систем контроля поставленным перед ними задачам, можно воспользоваться анкетой. Нижеприведенная анкета предлагает ключевые контрольные вопросы, которые помогут выяснить качественное состояние систем контроля, а, следовательно, выявить отсутствующие или слабые виды контроля.
АВК: Группа 2 - Драгоценные металлы
№
Основные контрольные процедуры
Наличие:
да/нет
Аудиторские тесты
Предоставление разрешения на осуществление операций
1.
Существуют ли в банке письменные процедуры и политика относительно:
- ответственности и уровня полномочий на осуществление операций с драгоценными металлами;
- обеспечения сохранности металлов;
- перечня разрешенных видов операций с металлами;
- классификации и определения стоимости металлов;
- других внутренних процедур, которые требуются в соответствии с нормативными актами ЦБ РФ и другими органами регулирования?
2. 2
Устанавливаются ли лимиты для отдельных работников банка, которые осуществляют операции с драгоценными металлами?
3. 3
Существуют ли процедуры проверок и контроля со стороны руководителей банка за деятельностью дилеров драгоценными металлами?
4. 4
Ведется ли в банке журнал с образцами подписей лиц, уполномоченных на торговлю драгоценными металлами? Проводится ли его регулярное обновление?
5. 5
Осуществляют ли члены Правления (члены Совета) банка мониторинг управления операциями с драгоценными металлами?
6. 6
Утверждает ли Правление банка залоговую стоимость драгоценных металлов в официальном протоколе?
7. 7
Готовит ли руководитель департамента регулярные отчеты для членов Правления банка с указанием драгоценных металлов в собственности банка, их номинальной, балансовой и рыночной стоимостей?
Разделение несовместимых служебных обязанностей и контроль доступа
8. 8
Существует ли распределение обязанностей между должностными лицами, которые предоставляют разрешения на осуществление операций с драгоценными металлами, осуществляют операции с драгоценными металлами, имеют право физического доступа к металлам, ведут учет операций с драгоценными металлами и ведут учет драгоценных металлов?
9.
Проводится ли периодическая сверка данных в поручениях на куплю и продажу драгоценных металлов с биржевыми ценами?
10.
Существует ли система двойного контроля за физическими запасами драгоценных металлов?
11.
Отделены ли драгоценные металлы в собственности банка от драгоценных металлов, которые хранятся по доверенности клиентов и драгоценных металлов другого происхождения?
12.
Застрахован ли банк от злоупотреблений со стороны сотрудников, имеющих доступ к ценным металлам?
Физическая сохранность
13
Существует ли положение о предоставлении физического доступа к драгоценным металлам только ограниченному числу уполномоченных лиц?
14
Имеет ли хранилище драгоценных металлов систему защиты от краж?
15
Предоставляют ли разрешение на вынос драгоценных металлов из хранилища только высшие руководители банка?
16
Регулярно ли проводятся неожиданные контрольные пересчеты, включающие сверку имеющихся драгоценных металлов с учетными записями банка?
Учет драгоценных металлов
17
Проводится ли со стороны контролирующего персонала периодическая проверка бухгалтерских проводок по учету операций с драгоценными металлами с целью выяснения, что примененная классификация:
- соответствует той, которая указана в соответствующих документах на дату приобретения;
- согласовывается с внутренней политикой банка, намерениями руководства и положениями нормативных актов?
18
Проводится ли периодическая сверка данных аналитического учета с данными синтетических контрольных счетов, по крайней мере, раз в месяц?
19
Проводится ли периодическая инвентаризация драгоценных металлов и сверка полученных результатов с данными аналитического учета?
20
Проверяются и подтверждаются ли результаты пересчетов и сверок, упомянутых в вопросах 18 и19, соответствующими уполномоченными сотрудниками?
21
Проводится ли отдельный учет драгоценных металлов, которые предоставлены в кредит или под залог третьим лицам?
22
Подкрепляется ли величина нереализованных доходов и убытков соответствующим расчетом (сравнения балансовой стоимости с рыночной)?
23
Проводится ли периодическая проверка текущих цен, установленных банком на драгоценные металлы, на их соответствие опубликованным биржевым ценам или ценам других авторитетных источников?
24
Нужно ли подтверждение руководством департамента/ банка корректировок, которые осуществляются по счетам учета драгоценных металлов?
25
Осуществляют ли члены Правления банка регулярный контроль физического наличия драгоценных металлов, а также базы оценки и базы начисления дохода?
Другие процедуры контроля
26
Если драгоценные металлы приобретены банком для целей хеджирования, утверждена ли банком внутренняя политика и процедуры относительно:
- целей хеджирования;
- систем внутреннего контроля, описанных в пунктах с 2 по 25?
После завершения опроса в соответствии с анкетой внутренний аудитор должен:
* Определить риски, которые угрожают организации как результат отсутствия или неадекватности систем внутреннего контроля.
* Определить, какие дополнительные средства контроля можно ввести для усиления слабых или отсутствующих звеньев системы внутреннего контроля.
* Обсудить результаты проверки и возможные последствия существующих рисков с руководством департамента
ii. Проверка работы систем внутреннего контроля
Аудитор должен разработать данную часть программы аудиторской проверки с целью:
* подтвердить результаты, полученные в ходе опроса по анкете;
* определить уровень рисков, которые угрожают организации в результате отсутствия или неадекватности систем внутреннего контроля;
* выявить факты нарушения дисциплины в соблюдении требований систем контроля;
* предложить изменения, которые необходимо внести в системы контроля и внутренних процедур для уменьшения уровня существующих рисков и усиления дисциплины в соблюдении требований систем контроля.
Основная суть проверки состоит в том, чтобы убедиться в соблюдении требований систем внутреннего контроля. Проверка должна проводиться с учетом следующих факторов:
* существенности операций с драгоценными металлами и количества операций;
* качественного состояния существующих систем внутреннего контроля, выявленного в ходе опроса, проведенного на предыдущем этапе проверки.
По результатам проверки соблюдения требований установленных в банке процедур аудиторы должны сделать заключение о том, насколько процесс осуществления операций соответствует установленным процедурам, системам контроля и действующим нормативными актами.
iii. Детальное тестирование
Даже если системы контроля банка оценены как надежные, а проверка того, как соблюдаются требования внутренних процедур и систем контроля, позволила получить удовлетворительные результаты, может потребоваться детальное тестирование ряда существенных оборотов и операций.
Внешние аудиторы в ходе своей работы также проводят детальное тестирование. Для того чтобы свести к минимуму дублирование работы, Служба внутреннего аудита должна передать свою программу работы внешним аудиторам.
Тестирование существенных оборотов по операциям предусматривает следующее:
* Инвентаризацию и сверку всех видов драгоценных металлов с данными бухгалтерского учета.
* Выборочную проверку драгоценных металлов для определения соответствия стоимости приобретения и текущей стоимости.
* Проверку учетных записей на обнаружение необычных операций до и после истечения отчетного периода (года).
* Проверку классификации драгоценных металлов и ее согласованности с положениями внутренней политики банка.
* Сверку статей дохода/прибыли, полученных банком по операциям с драгоценными металлами, с рыночной доходностью подобных операций.
* Анализ всех существенных сумм на счетах до выяснения.
* Сверку данных аналитического учета драгоценных металлов с данными синтетического учета.
Группа № 3. Прочие средства
В Группу № 3 «Прочие средства» входят в основном статьи, не входящие в Группы №№ 1 и 2, и относящиеся к операциям с ЦБ РФ и к операциям по корреспондентским счетам.
i. Обзор и оценка систем внутреннего контроля.
Структура системы внутреннего контроля по этим операциям должна охватывать следующие направления:
* Систему физической безопасности и сохранности;
* Учет и отчетность.
Выполняя проверку, СВА должна убедиться в том, что системы внутреннего контроля в банке разработаны и существуют, и что эти системы адекватны поставленным задачам.
Для того чтобы убедиться в адекватности систем контроля поставленным перед ними задачам, можно воспользоваться анкетой. Нижеприведенная анкета предлагает ключевые контрольные вопросы, которые помогут выяснить качественное состояние систем контроля, а следовательно, выявить отсутствующие или слабые виды контроля.
АВК: Группа 3 - Прочие средства
№
Основные контрольные процедуры
Наличие:
да/нет
Аудиторские тесты
1
Существуют ли утвержденные внутренние процедуры по оценке кредитоспособности банков - корреспондентов?
2
Имеет ли персонал банка в своем распоряжении ежедневную информацию об изменениях состояния кредитоспособности отдельных банков?
3
Получает ли служащий банка, ответственный за сверку корреспондентских счетов, выписки с корреспондентских счетов в ЦБ РФ и других банках в запечатанных конвертах?
4
Сверка сумм задолженности
- проводится ежемесячно;
- контролируется уполномоченным сотрудником руководящего звена?
5
Отделены ли обязанности по сверке средств на корреспондентских счетах от обязанностей по осуществлению кассовых сделок, выписке чеков от лица банка и других документов, связанных с переводом средств?
После завершения опроса в соответствии с анкетой внутренний аудитор должен:
* Определить риски, которые угрожают организации как результат отсутствия или неадекватности систем внутреннего контроля.
* Определить, какие дополнительные средства контроля можно ввести для усиления слабых или отсутствующих звеньев системы внутреннего контроля.
* Обсудить результаты проверки и возможные последствия существующих рисков с руководством департамента.
ii. Проверка работы систем внутреннего контроля
СВА должна разработать рабочую программу проверки систем внутреннего контроля и соблюдения всех внутренних положений. Цель такой программы:
* подтвердить результаты, полученные в ходе опроса по установленной форме;
* определить уровень рисков, которые угрожают организации как результат отсутствия или неадекватности систем внутреннего контроля;
* выявить факты нарушения дисциплины в соблюдении требований систем контроля;
* предложить изменения, которые необходимо внести в системы контроля и внутренних процедур для уменьшения уровня существующих рисков и усиления дисциплины в соблюдении требований систем контроля.
В ходе проверки следует учитывать:
* существенность операций по корреспондентским счетам и остатков по счетам;
* информацию о качественном состоянии систем внутреннего контроля, полученную в ходе опроса по анкете.
Результатом этой проверки должно стать заключение относительно того, в какой мере операции с активами данной группы отвечают требованиям существующих систем контроля и действующих инструкций и нормативных актов.
iii. Детальное тестирование
Даже если системы контроля банка оценены как надежные, а проверка того, как соблюдаются требования внутренних процедур и систем контроля, позволила получить удовлетворительные результаты, может потребоваться детальное тестирование ряда существенных оборотов и операций.
Внешние аудиторы в ходе своей работы также проводят детальное тестирование. Для того чтобы свести к минимуму дублирование работы, Служба внутреннего аудита должна передать свою программу работы внешним аудиторам.
Тестирование существенных оборотов по операциям предусматривает следующее:
* Выборочное подтверждение остатков на корреспондентских счетах путем прямого контакта с ЦБ РФ и другими банками- корреспондентами.
* Обсуждение с руководством вероятности неполучения средств, размещенных в банках - корреспондентах.
* Проверка учетных записей на обнаружение необычных операций до и после истечения отчетного периода (года).
* Анализ всех существенных сумм на счетах до выяснения и на транзитных счетах.
* Сверка данных аналитического учета казначейских и межбанковских операций с данными синтетического учета.
III. Операции с клиентами
a. Операции с клиентами: выдача ссуд
Для того чтобы изложение было последовательным, необходимо продолжить использование описанной в предыдущих разделах методики для всех областей деятельности банка.
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу 4 «Операции с клиентами», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
b. Этапы проведения внутреннего аудита
* Проверка и оценка систем внутреннего контроля
* Проверка работы систем внутреннего контроля
* Детальное тестирование
i. Проверка и оценка систем внутреннего контроля
Во время такой проверки внутренний аудитор должен убедиться в том, что в банке разработаны и внедрены надлежащие системы контроля. Целью аудита клиентских операций должна стать проверка следующих положений:
* все ссудные операции надлежащим образом авторизованы (сумма, срок, отображение на соответствующем счете клиента и т.п.);
* возвращение кредитов правильно и вовремя отображается на счетах клиентов;
* доступ к записям кредитных и других операций предоставляется лишь уполномоченным сотрудникам и/или с разрешения руководства;
* осуществляется правильное документальное оформление кредитных операций и их надлежащее отображение в бухгалтерских книгах;
* создание резерва и списание кредитной задолженности надлежащим образом утверждается и вовремя отображается в бухгалтерских книгах.
Для выполнения этих задач можно воспользоваться анкетой, которая приводится ниже. Она включает вопросы относительно ключевых видов контроля и может использоваться для выявления слабых или отсутствующих систем контроля.
Анкета для внутреннего аудита операций с клиентами
АВК: Операции с клиентами: выдача ссуд
№
Основные контрольные процедуры
Наличие: Да/Нет
Аудиторские тесты
Кредитный комитет
1.
Создан ли в банке официальный Кредитный комитет для осуществления надзора за предоставлением кредитов и управления кредитными операциями?
2.
Установлены ли в банке четкая политика и нормы, которые определяют:
* лимиты на осуществление кредитных операций для головного офиса и/или для филиалов;
* лимиты, предоставленные отдельным членам руководства;
???
* процедуры в отношении кредитов, которые превышают установленные лимиты;
* ограничения по видам кредитов;
* предел концентрации кредитов в отдельных регионах и секторах промышленности;
* требования по предоставлению залога;
* максимальное соотношение объема выданного кредита и стоимости предоставленного залога;
* уровень процентных ставок по кредитам и размеры комиссионных сборов?
3.
Если это применимо - осуществляет ли Кредитный комитет надзор за тем, как выдают кредиты сотрудники кредитных отделов в головном офисе и филиалах?
4.
Предоставляются ли кредиты только:
* определенным клиентам;
* когда известно назначение кредита;
* когда источник залога или возвращения кредита не может повредить репутации банка (отмывание денег);
* клиентам, которые имеют возможность и намерение предоставлять банку информацию о своей деятельности и финансовых результатах;
* когда все риски не выходят за границы приемлемых лимитов, установленных руководством банка или Советом директоров?
Разделение обязанностей
5.
Существует ли адекватное разделение обязанностей при выполнении следующих операций:
* одобрение и выдача кредитов;
* контроль над предоставленными предметами залога;
* получение возвращенных кредитов;
* учет кредитных операций?
7.
Осуществляется ли независимая проверка полноты и точности кредитной документации?
8.
Отделены ли обязанности подготовки и рассылки сообщений о просрочке возврата от функций одобрения, предоставления и получения оплаты в счет погашения кредита, а также учета кредитных операций?
Ограничение доступа
8.
Ограничен ли надлежащим образом доступ к:
а) кредитным досье;
б) документации по залогу;
в) погашенным кредитам?
9.
Обеспечивается ли двойной контроль таких предметов залога, которые могут быть отчуждены (negotiable collateral) (если таковые имеются)?
10.
Возвращается ли заемщику предмет залога сразу по возвращении заемщиком кредита?
Заявка на получение кредита и ее одобрение
11.
Рассматривается ли вопрос о предоставлении кредита только при условии наличия письменной заявки на получение кредита?
12.
Существует ли «минимальный набор требований» к финансовой и иной информации о заемщике и/ или гарантах?
13.
Проводится ли изучение и документальное оформление информации о кредитоспособности заемщика при предоставлении нового кредита, включая изучение:
* кредитной истории;
* предполагаемых источников погашения кредита;
* гарантов;
* новых клиентов и их деятельности?
14.
При предоставлении кредита под залог выполняется ли следующее:
* производится ли проверка и документальное подтверждение права собственности на предмет залога до принятия решения о выдаче кредита?
* проводится ли оценка действительной стоимости предмета залога компетентным специалистом?
* определяется ли перед утверждением кредита соотношение между стоимостью залога и суммой кредита?
* ?там, где это применимо) производится ли страхование залога (такого, как недвижимость), и существуют ли процедуры подтверждения того, что все налоги и прочие сборы выплачены?
Учет операций
15.
Применяется ли в банке система внутреннего контроля, которая позволяет:
* перепроверить расчеты процентной ставки, дисконта и даты возврата;
* повторно проконтролировать долговые обязательства на предмет правильного оформления, наличия всех необходимых сопроводительных документов и должным образом составленных информационных писем, раскрывающих нужную информацию;
* определить, производится ли утверждение кредитных заявок в рамках лимитов, определенных руководством банка;
* определить, указаны ли на кредитных договорах инициалы уполномоченного сотрудника банка;
* удостовериться в том, что новые ссуды заемщику предоставляются с учетом тех ограничений, которые определены для данного заемщика решением банка;
* перепроверить книгу учета обязательств, чтобы убедиться в том, что новые ссуды были занесены на соответствующие счета?
16.
Сразу ли вводится информация о новом кредите (вид, сумма, условия выплаты кредита и пр.) в систему обработки данных?
17.
Производится ли внесение всех поправок в бухгалтерские книги (списание, перевод) надлежащим образом?
18.
Сверяются ли синтетические счета с аналитическими счетами, производится ли проверка и утверждение результатов сверки органами надзора?
Контроль кредитных операций
19.
Введен ли в банке постоянный надзор за осуществлением кредитных операций?
20.
Требуется ли от заемщиков и гарантов предоставлять периодические финансовые отчеты с последними изменениями согласно новым данным?
21.
Осуществляется ли контроль и периодическая переоценка стоимости залога компетентными специалистами?
22.
При предоставлении кредитов на строительство осуществляет ли банк или региональные отделения периодические выезды на место строительства для того, чтобы лично убедиться в правильности сумм, указанных в отчетах?
23.
Отмечаются и разрешаются ли случаи неуплаты заемщиком процентов или основной суммы долга в установленный срок?
24.
Существуют ли адекватные системы пересмотра сроков уплаты процентов и основной суммы долга, и утверждения нового графика?
Оценка кредита (включая создание резерва на возможные потери по ссудам)
25.
Существуют ли письменные инструкции, предусматривающие анализ и определение размера резерва на возможные потери от кредитной деятельности?
26.
Соответствуют ли они Инструкциям ЦБ РФ?
27.
Получает ли руководство банка своевременную и надежную информацию о кредитной деятельности и выявленных проблемных ссудах?
28.
Вносятся ли изменения в список проблемных долгов в соответствии с новыми данными, и может ли руководство ознакомиться с ним?
Ссуды персоналу и иные внутренние ссуды
29.
Существуют ли в банке четкие письменные инструкции относительно предоставления кредитов персоналу?
30.
Отделена ли выдача кредитов персоналу от выдачи кредитов клиентам?
31.
Получает ли руководство своевременную и надежную информацию по проблемным ссудам?
После заполнения данной АВК аудитор должен:
* определить риски, которым банк подвергается из-за отсутствия/ недостаточности внутреннего контроля;
* определить иные средства контроля, которые можно использовать для того, чтобы компенсировать отсутствие/ недостаточность имеющихся средств внутреннего контроля;
* обсудить с ответственным руководителем выводы и рекомендации, а также те риски, к которым может привести данная ситуация.
ii. Проверка работы систем внутреннего контроля
Внутренний аудитор должен составить рабочий план проверки работы, чтобы:
* подтвердить выводы, сделанные в ходе заполнения анкеты;
* определить степень риска, вызванного отсутствием/неадекватностью систем контроля;
* выявить несоответствия требованиям систем внутреннего контроля;
* установить, какие изменения в деятельности и методиках необходимы для минимизации риска и усовершенствования систем внутреннего контроля.
По результатам проверки соблюдения требований установленных процедур аудиторы должны сделать заключение о том, насколько процесс осуществления операций соответствует установленным процедурам и системам контроля и действующим нормативными актами.
iii. Детальное тестирование
Даже если система контроля банка оценена как надежная, а проверка того, как соблюдаются требования внутренних процедур и системы контроля, позволила получить удовлетворительные результаты, может потребоваться детальное тестирование ряда существенных оборотов и операций.
Внешние аудиторы в ходе своей работы также проводят детальное тестирование. Для того чтобы свести к минимуму дублирование работы, Служба внутреннего аудита должна передать свою программу работы внешним аудиторам.
Тестирование существенных оборотов по операциям предусматривает следующее:
* сверку книги лицевых счетов клиентов и Главной книги;
* анализ бухгалтерских записей до и после окончания финансового года с целью выявления необычных операций;
* проверку адекватности создания специальных резервов, которые должны быть основаны на конкретной сумме убытка по определенному кредиту.
с. Операции с клиентами: средства клиентов банка, кредиторская задолженность и транзитные счета по операциям с клиентами
Цель аудита пассивных операций Головного офиса и/или филиалов банка можно вкратце описать следующим образом:
* проверка авторизации операций заимствования и других финансовых операций;
* проверка надлежащего и своевременного учета и правильной классификации всех операций заимствования и других финансовых операций;
* проверка контроля доступа к документации по операциям заимствования и залога;
* проверка выполнения условий по пассивным операциям и раскрытие в финансовой отчетности всех существенных условий по таким операциям.
В ходе аудита в этой области проверяются следующие статьи Плана счетов:
* средства до востребования и срочные средства клиентов банка, в т.ч. депозиты;
* вся кредиторская задолженность и транзитные счета по операциям с клиентами;
* средства бюджета и внебюджетных фондов РФ;
В нижеприведенной анкете содержится ряд ключевых вопросов, с помощью которых можно определить состояние системы внутреннего контроля и выявить слабые ли отсутствующие виды контроля.
Анкета для внутреннего аудита операций заимствования
АВК: Операции с клиентами - заимствование
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Авторизация
1.
Утверждаются ли операции заимствования и процентная ставка по ним руководством банка или уполномоченным комитетом в соответствии с политикой внутреннего контроля, и фиксируется ли это в протоколе?
2.
Получает ли руководство банка или уполномоченный комитет регулярные отчеты относительно операций заимствования, в т.ч. относительно непогашенных займов и процентных ставок?
3.
Принимаются ли меры к тому, чтобы обеспечить правильное указание названия организации - эмитента или организации - заемщика в соответствующих кредитных или финансовых соглашениях?
Разделение обязанностей и ограничение доступа
4.
Отделены ли функции ведения записей в Главной книге и книгах аналитического учета от функций отдела, который проводит операции заимствования и осуществляет погашение займов?
5.
Хранится ли в безопасности документация, которая касается операций заимствования и соответствующих предметов залога?
6.
Аннулируются ли погашенные облигации и/или векселя и сохраняются ли они банком?
7.
Отделены ли функции ведения книг аналитического учета по операциям заимствования от функций ведения Главной книги и оформления данных согласно Плану счетов?
Бухгалтерский учет
8.
Проводится ли сверка счетов по операциям заимствования и предоставления залога с контрольными счетами Главной книги?
9.
Проверяются ли результаты сверки соответствующими надзорными органами банка?
10.
Предоставляется ли исчерпывающее пояснение расхождений в бухгалтерских книгах по результатам сверки?
11.
Каким образом отображаются в бухгалтерских книгах любые необъясненные расхождения по результатам сверки?
12.
Все ли обязательства по внебалансовым статьям определены, описаны и раскрыты в разделе внебалансовых счетов?
Другие процедуры контроля
13.
Регулярно ли высшее руководство проверяет соблюдение условий депозитных соглашений?
14.
Проводит ли проверку начисления процентов такой персонал, в функции которого не входит выплата этих процентов?
15.
Проводится ли проверка общей суммы выплаченных процентов персоналом, в функции которого не входит выплата процентов?
16.
Проверяется и утверждается ли внесение всех поправок на счета привлеченных средств и начисленных процентов уполномоченным на то лицом?
17.
Сверяется ли предоставляемая в ЦБ РФ отчетность по операциям заимствования с соответствующей документацией банка?
При аудите кредиторской задолженности и начисленных доходов/обязательств служба внутреннего аудита должна проверить следующее:
* все покупки должны осуществляться лишь при наличии утвержденной и обоснованной заявки на покупку, которая оформлена надлежащим образом;
* счета-фактуры оформлены точно (дата, количество, цена, общая сумма покупки), счета разнесены верно, операции учтены правильно (точно указан поставщик, сумма и дата покупки);
* общая сумма всех покупок правильно рассчитана и отнесена на соответствующий счет в Плане счетов;
* начисления производятся по всем неоплаченным счетам-фактурам на приобретение услуг или поставку товара.
АВК: Кредиторская задолженность
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Кредиторская задолженность
1.
Отделены ли функции работы со счетами-фактурами и кредиторской задолженностью от функций ведения Главной книги?
Сверка и проверка счетов
2.
Сверяется ли список кредиторов с соответствующим контрольным счетом Главной книги?
3.
Проверяются ли результаты сверки уполномоченным лицом?
4.
Принимаются ли соответствующие меры в случае обнаружения расхождений в результате сверки?
5.
Проверяется ли математическая точность счетов-фактур?
6.
Подтверждаются ли затраты утвержденными счетами-фактурами и другими необходимыми сопроводительными документами?
7.
Готовятся ли ежемесячные сметы затрат, и сравниваются ли они с фактическими затратами уполномоченным персоналом с немедленным уведомлением руководства о значительных отклонениях?
Начисленные проценты к оплате
8.
Ведется ли список начисленных по депозитным счетам клиентов процентов к уплате, и сверяется ли этот список с Главной книгой?
9.
Производят ли уполномоченные лица регулярную сверку суммы начисленных процентов по займам с контрольным счетом Главной книги?
10.
Если по результатам сверки возникают расхождения, как они отражаются в отчетах и существует ли в банке методика нахождения и определения существенных расхождений?
IV. Операции с ценными бумагами
а. Процесс проведения аудита
Для того чтобы изложение было последовательным, продолжим использование описанной в предыдущих разделах методики, применяемой во всех областях деятельности банка.
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу 5 «Операции с ценными бумагами», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
b. Этапы проведения внутреннего аудита
* Проверка и оценка систем внутреннего контроля
* Проверка работы систем внутреннего контроля
* Детальное тестирование
i. Проверка и оценка систем внутреннего контроля
Во время такой проверки внутренний аудитор должен убедиться в том, что в банке разработаны и внедрены надлежащие системы контроля. Целью аудита операций с ценными бумагами должна стать проверка следующих положений:
1. Анализ и оценка систем внутреннего контроля следующих операций:
* купля и продажа ценных бумаг (ЦБ);
* физическая сохранность ЦБ;
* учет (включая периодическую переоценку) и отчетность по операциям с ЦБ.
2. Соответствие операций с ЦБ системам внутреннего контроля по следующим параметрам.
* купля и продажа ценных бумаг (ЦБ);
* физическая сохранность ЦБ;
* учет и отчетность по операциям с ЦБ (включая периодическую переоценку).
3. Детальное тестирование операций с ЦБ.
Нужно отметить, что банк должен разделять управление своим торговым портфелем, инвестиционным портфелем и портфелем трастовых и доверительных операций. В результате такого разделения операций в банке должны быть созданы три отдельных системы с независимыми бухгалтерскими записями для каждой из них, и, следовательно, необходимо проводить три аудиторских проверки.
В связи с этим, в задачи внутреннего аудита операций с этим видом активов входит проверка следующего:
* доступ к ценным бумагам и связанной с ними документации должен быть разрешен только уполномоченным сотрудникам банка;
* на проведение любых операций с ценными бумагами должно быть выдано разрешение;
* все операции должны быть должным образом задокументированы;
* возможность физической утраты и/или неправильного использования документации по ценным бумагам должны быть исключены;
Кроме того, все операции с ценными бумагами следует проверять для того, чтобы убедиться, что:
* они правильно отражены в учетных документах банка;
* производится правильная классификация и перенесение итоговых сумм на соответствующие контрольные счета;
* ценные бумаги правильно оценены.
Для того чтобы убедиться в выполнении этих задач можно использовать нижеприведенную анкету. С ее помощью можно определить состояние систем контроля, выявить слабые или отсутствующие звенья контроля.
АВК: Ценные бумаги
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Авторизация
1. 1.
Оформлена ли в письменном виде политика банка относительно осуществления операций с ЦБ, определяющая:
* ответственность и полномочия относительно операций с ЦБ;
* цели осуществления операций с ЦБ;
* разрешенные виды инвестиций;
* правила отбора и оценки дилеров ЦБ;
* классификацию и оценку ЦБ;
* другие правила, выполнения которых требуют регулирующие органы?
2.
Введены ли ограничения полномочий банковских служащих на операции с ЦБ?
3.
Разработан ли порядок, в соответствии с которым руководство банка осуществляет проверку, отбор и контроль дилеров ЦБ?
4.
Существуют ли в банке заверенные карточки с образцами подписей дилеров ЦБ, производятся ли с ними сверки, регулярно ли производится их обновление?
5.
Осуществляет ли Совет директоров (или какой-либо комитет) банка надзор за управлением операциями с инвестиционными ЦБ?
6.
Используются ли ЦБ банка в качестве залога по стоимости, утвержденной директорами банка и зафиксированной в официальном протоколе заседания?
7.
Предоставляются ли Совету директоров отчеты руководства банка относительно:
- ценных бумаг, которые находятся в собственности банка;
- их номинальной стоимости;
- их балансовой и справедливой (рыночной) стоимости?
Разделение несовместимых обязанностей и ограничение доступа
8.
Существует ли разделение обязанностей между теми, кто:
* дает разрешение на осуществление операций,
* непосредственно осуществляет операции и имеет доступ к ЦБ,
* ведет учет операций с ЦБ и ведет регистр ЦБ?
9.
Производится ли периодическая сверка приказов на продажу и на покупку с брокерскими выписками?
10.
Обеспечивается ли двойной контроль ЦБ, хранящихся в банке?
11.
Хранятся ли отдельно ЦБ, которые принадлежат банку, от тех ЦБ, которые принадлежат клиентам и другим лицам?
12.
Застрахован ли банк от нарушений со стороны сотрудников, имеющих доступ к ЦБ?
Физическая безопасность ЦБ
13.
Предоставляется ли доступ к документации по ЦБ ограниченному количеству уполномоченных должностных лиц?
14.
Хранятся ли ЦБ в огнестойких сейфах?
15.
Выдаются ли документы только с разрешения уполномоченного руководящего лица?
16.
Проводится ли регулярная и неожиданная (без предупреждения) инвентаризация ЦБ, и сверяются ли результаты инвентаризации с реестром ЦБ?
Учет ценных бумаг
17.
Производят ли руководители подразделений периодическую проверку бухгалтерских проводок по операциям с ЦБ, чтобы убедиться в том, что:
* ЦБ отнесены к соответствующей категории согласно документации на дату приобретения;
* классификация не противоречит инвестиционной политике банка, намерениям руководства и нормативным требованиям?
18.
Сверяются ли аналитические счета с синтетическими счетами как минимум раз в месяц?
19.
Производится ли периодический пересчет ЦБ и сверка его результатов с записями аналитических счетов?
20.
Проверяются и подтверждаются ли результаты пересчетов и сверок, упомянутых в вопросах 18 и19, соответствующими уполномоченными сотрудниками?
21.
Ведется ли отдельный реестр ценных бумаг, предоставленных в кредит или в залог?
22.
Проводится ли сверка нереализованных доходов или убытков с суммами балансовой и текущей стоимости ЦБ?
23.
Проводится ли сравнение справедливой стоимости ЦБ с опубликованными ценам на них либо с иными соответствующими источниками?
24.
Осуществляется ли периодический надзор за надлежащей оценкой нерыночных ЦБ и уменьшается ли в случае необходимости их цена до уровня их справедливой стоимости?
25.
Существуют ли процедуры обнаружения полной утраты стоимости ЦБ?
26.
Проверяет ли и утверждает ли руководство исправления записей по счетам ЦБ?
27.
Проверяется ли правильность расчетов процентных и дивидендных доходов (в т.ч. амортизация премий и дисконтов) путем обращения к подтверждающей документации?
28.
Проводится ли сравнение фактического дохода по ЦБ с ожидаемыми доходами, рассчитанными на основе предыдущих результатов деятельности и текущих условий рынка?
29.
Осуществляет ли руководство постоянный контроль наличия ценных бумаг, размера доходов от ЦБ и базы для оценки?
Другие процедуры контроля
30.
Если банк приобретает ценные бумаги с целью хеджирования, существует ли в банке политика и методики относительно:
- целей хеджирования;
- систем контроля, описанных в пунктах №№ 2-25.
31.
Перед приобретением производных или подобных ценных бумаг, проверяет ли высшее руководство банка наличие необходимых систем оценки, контроля и надзора, надлежащей структуры управления активами и пассивами, ликвидности и капитала (риски внебалансовых операций)?
32.
После приобретения производных ЦБ, обеспечивает ли руководство банка полное и точное отображение информации по таким операциям в учетных документах?
33.
Осуществляется ли текущий контроль операций с производными ЦБ с целью обнаружения и оценки событий, которые могут повлиять на раскрытие информации в финансовом отчете?
34.
Существует ли в банке в письменном виде политика проведения сделок репо и обратного репо, определяющая виды ЦБ, которые можно покупать или продавать при осуществлении таких операций?
35.
Заключаются ли с уполномоченными сотрудниками письменные договоры, в которых определены права и обязанности всех сторон по договору?
36.
Устанавливает ли банк ограничения относительно сумм и сроков сделок репо для частных дилеров по ЦБ и для других сторон?
37.
Проверяется ли правильность документального оформления и учета операций?
38.
Если банк пользуется услугами агентов для проведения, учета и обработки операций с ЦБ, осуществляет ли руководство периодический контроль работы агентов?
V. Долгосрочные инвестиции, основные средства и нематериальные активы
а. Процесс проведения аудита
Для того чтобы изложение было последовательным, продолжим использование описанной в предыдущих разделах методики, применяемой для всех областей деятельности банка.
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу 6 «Средства и имущество», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
b. Этапы проведения внутреннего аудита
* Проверка и оценка систем внутреннего контроля
* Проверка работы систем внутреннего контроля
* Детальное тестирование
i. Проверка и оценка систем внутреннего контроля
Во время такой проверки внутренний аудитор должен убедиться в том, что в банке разработаны и внедрены надлежащие системы контроля. Целью аудита этой группы активов и операций с ними должна стать проверка следующих положений:
1. Проверка наличия.
2. Проверка права собственности.
3. Проверка экономической и балансовой стоимости основных средств.
4. Проверка учета основных средств и отчетности.
5. Проверка рационального и эффективного использования.
Основные средства, подлежащие аудиторской проверке, могут включать:
? Материальные активы, такие как земля, строения, оборудование, компьютерная и вычислительная техника, запчасти, а также активы, которые находятся в процессе строительства (например, здания) и установка крупного оборудования; активы, которые получены (переданы) в лизинг, но рассматриваются как основные средства.
? Нематериальные активы, такие как патенты, права на основные средства (право на временное владение недвижимостью), программное обеспечение.
с. Основные средства
Ниже перечислены основные задания внутреннего аудита при проверке основных средств. Внутренний аудитор должен убедиться в том, что:
* учтенные основные средства в самом деле существуют, и они будут находиться в банке до их продажи, повреждения или выбытия;
* приобретение всех основных средств осуществляется в соответствии с утвержденными процедурами и с разрешения Совета Директоров или уполномоченного комитета;
* банк является законным владельцем своих основных средств;
* использование активов, которые не принадлежат банку (то есть, взяты в лизинг или одолжены), юридически закреплено в договоре об использовании;
* все основные средства классифицированы и сгруппированы надлежащим образом и правильно записаны в инвентарной книге или ее эквиваленте;
* существуют должные процедуры физической охраны, хранения и эффективного использования основных средств;
* амортизация начисляется правильно и своевременно для списания стоимости основных средств на затраты на протяжении срока их использования;
* суммы, обозначенные в инвентарной книге учета основных средств или ее эквиваленте, соответствуют суммам, приведенным в финансовой отчетности;
* переоценка (если нужно) проводится в соответствии с реальной рыночной стоимостью;
* банк выполняет все требования ЦБ РФ и другие юридические обязательства.
Ответы на следующие вопросы должны помочь внутреннему аудитору выяснить:
? гарантированы ли основные средства от утери или ненадлежащего использования;
? ведутся ли достоверные записи для внутреннего пользования и внешней отчетности.
АВК: Основные средства
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Компетентность персонала и определение обязанностей
1.
Определены ли обязанности персонала в отношении основных средств четко и в письменной форме?
2.
Разделены ли обязанности по приобретению, оплате и охране основных средств?
3.
Разделены ли обязанности по использованию основных средств и их учету?
4.
Заключен ли с лицом, которое несет ответственность за хранение основных средств, договор о материальной ответственности согласно действующему законодательству?
5.
Проводится ли обучение и даются ли необходимые инструкции новому персоналу подразделения?
6.
Получают ли филиалы четкие инструкции по всем аспектам, которые касаются основных средств?
7.
Проводит ли Головной офис периодические проверки работы персонала и принимает ли соответствующие меры, если работа является неудовлетворительной?
Надлежащее документирование и учет, в том числе инвентарная книга учета основных средств
8.
Ведут ли филиалы инвентарные книги должным образом?
9.
Выпускаются ли пронумерованные инвентарные карточки в соответствии с требованиями ЦБ РФ?
10.
Распечатывается ли инвентарная книга ежемесячно, и производится ли проверка результатов с целью выявления ошибок и пропусков?
Приобретение основных средств
11.
Существует ли четкое определение полномочий на приобретение и хранение основных средств? Зафиксировано ли это определение в документах?
12.
Контролируется ли порядок поступления основных средств с целью обеспечения их должного и своевременного получения?
13.
Производится ли подтверждение получения материально ответственным лицом всех оприходованных основных средств?
14.
Своевременно ли присваивается уникальный инвентарный номер и заводится инвентарная карточка на каждый инвентарный объект?
15.
Существует ли и функционирует ли система контроля движения основных средств между филиалами?
Учет и оценка основных средств
16.
Соответствуют ли системы бухгалтерского учета основных средств и прочие системы нормативным требованиям ЦБ РФ?
17.
Производится ли капитализация значительных расходов на усовершенствование основных средств (прибавляются ли они к стоимости основных средств)?
18.
Проводится ли сверка общей суммы разных категорий основных средств с соответствующим счетом в Главной книге?
19.
Проводится ли сверка инвентарных книг и бухгалтерских записей как минимум 1 раз в квартал?
20.
Существует ли утвержденный Головным офисом метод и ставки амортизации основных средств?
21.
Если это разрешено, проводится ли регулярная переоценка основных средств; отражается ли новая стоимость в бухгалтерских книгах?
Ошибки и чрезвычайные случаи
22.
Проводится ли регулярное определение основных рисков, присущих основным средствам, и анализ соответствующих систем контроля?
23.
Предоставляются ли высшему руководству отчеты обо всех существенных ошибках и несоответствиях, и принимаются ли меры для расследования таких случаев?
24.
Производится ли немедленное расследование и исправление всех выявленных расхождений?
25.
Установлены ли ограничения на доступ к тем основным средствам, в отношении которых существует наибольшая вероятность хищения?
26.
Установлены ли адекватные меры противопожарной безопасности и разработаны ли меры по немедленной замене поврежденных активов?
27.
Были ли зафиксированы значительные поломки на протяжении последних 6 месяцев?
Операционная эффективность
28.
Является ли количество и качество основных средств филиала достаточным для должного выполнения операций?
29.
Существует ли программа технического обслуживания всех важных основных средств?
30.
Используются ли основные средства именно теми департаментами или подразделениями банка, которые их заказывали?
31.
Существует ли порядок предупреждения приобретения основных средств одним филиалом, если Головному офису известно о потребностях других филиалов?
32.
Учитываются ли налоговые последствия при приобретении или продаже крупных основных средств?
33.
Установлен ли в филиале порядок принятия решений относительно страхования основных средств?
34.
Производится ли регулярный пересмотр этого порядка при заключении договора внешнего страхования с целью обеспечения адекватного покрытия возможных убытков?
Другие основные средства
35.
Учитывает ли отделение все нематериальные активы на балансе согласно требованиям ЦБ РФ?
36.
Если филиал имеет основные средства на внебалансовых счетах, то:
- учитываются ли они отдельно;
- контролируются ли они в том же порядке, что и собственные средства банка?
d. Долгосрочные инвестиции
АВК: Долгосрочные инвестиции
Основные контрольные процедуры
Ссылка на рабочий документ
Исполнил
Ассоциированные компании
37.
Если банк осуществляет инвестиции в ассоциированные компании, то существует ли в банке порядок проверки названий и долей собственности в каждой ассоциированной компании?
В сертификатах акций должно быть четко указано количество акций, дата регистрации, официальный владелец, номинальная стоимость акций, юридический адрес ассоциированной компании.
38.
При проведении независимой проверки доли участия банка в акционерном капитале, внутренний аудитор должен выяснить общий объем акционерного капитала компании.
Учетная политика относительно инвестиций, доходов и дивидендов, полученных с инвестиций.
39.
Внутренний аудитор должен проверить следующие позиции:
* Инвестиции в ассоциированную компанию отображаются по их исторической стоимости
* Доля банка в объявленных доходах рассчитывается на основании доли участия банка в акционерном капитале компании
* Переоценка курсовой разницы (в случаях, когда инвестиции осуществляются в иностранной валюте)
* Полученные дивиденды отображаются как частичное возвращение инвестированных средств
* Кредиты, предоставленные ассоциированной компании, и полученные от нее депозиты
Дочерние компании
40.
При осуществлении инвестиций в дочерние компании, существует ли порядок проверки следующих вопросов:
* название дочерней компании и доля собственности в ней;
* политика учета инвестиций в дочернюю компанию, включая объемы инвестиций, дивидендов и доходов;
* рыночная стоимость каждой отдельной инвестиции банка в дочерние компании, у которых есть рыночная стоимость;
* предоставленные кредиты и полученные депозиты дочерней компании;
* проведение независимой проверки доли участия банка в акционерном капитале дочерней компании.
VI. Капитал банка
а. Процесс проведения аудита
Для того чтобы изложение было последовательным, продолжим использование описанной в предыдущих разделах методики, применяемой для всех областей деятельности банка.
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу 1 «Капитал и фонды», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
b. Этапы проведения внутреннего аудита
* Проверка и оценка систем внутреннего контроля
* Проверка работы систем внутреннего контроля
* Детальное тестирование
i. Проверка и оценка систем внутреннего контроля.
В ходе такой проверки внутренний аудитор должен убедиться в том, что разработаны и внедрены адекватные средства внутреннего контроля. Системы внутреннего контроля операций, связанных с капиталом, должны выполнять следующие задачи:
* Уставный капитал (акции) банка сформирован/ выпущен в соответствии с решением уполномоченных органов и утвержден в установленном порядке с соблюдением положений:
? Устава и учредительных документов банка;
? соответствующих действующих законодательных и нормативных актов РФ.
* Операции с капиталом банка (эмиссия и аннулирование акций, выплата дивидендов) правильно учтены и классифицированы в соответствии с Планом счетов, утвержденным ЦБ РФ.
* Доступ к учетным данным по операциям с капиталом банка должным образом контролируется.
* В документах финансовой отчетности банка правильно и в полном объеме раскрыта вся информация, как того требуют действующие законодательные акты РФ, инструкции и указания ЦБ РФ.
Для того чтобы убедиться в адекватности систем контроля поставленным перед ними задачам, можно воспользоваться нижеприведенной анкетой. В ней предлагаются ключевые контрольные вопросы, которые помогут выяснить качественное состояние систем контроля, и, следовательно, выявить отсутствующие или слабые виды контроля.
АВК: Капитал банка
№
Основные контрольные процедуры
Наличие
да/нет
Аудиторские тесты
Разрешение на эмиссию и обратный выкуп акций
1.
Были ли назначены Советом директоров лица для надзора и управления процессом формирования акционерного капитала банка?
2.
Были ли проинформированы о произведенных назначениях соответствующие государственные органы?
3.
Было ли формирование уставного капитала проведено с соблюдением всех положений законодательных и нормативных актов, в том числе по вопросам выплаты сборов и платежей в государственный бюджет?
4.
Было ли проведено формирование уставного фонда с соблюдением положений Устава банка, в том числе касательно распределения полномочий и обязанностей?
5.
Имеется ли четко определенная внутренняя политика банка относительно обратного выкупа собственных акций?
Разделение обязанностей
6.
Существует ли четкое разделение следующих обязанностей:
* предоставление разрешения на осуществление операций с капиталом и ценными бумагами банка;
* выписка, передача права собственности и аннулирование сертификатов акций;
* ведение подробного учета акционеров;
* осуществление расчетов в денежных средствах и выплата дивидендов?
7.
Существует ли независимый контроль правильности и полноты заполнения сертификатов акций?
8.
Получает ли и рассматривает ли все запросы и жалобы акционеров сотрудник, не принимавший участия в первичном выпуске акций?
Права доступа
9.
Обеспечено ли надежное хранение учетных записей операций с капиталом банка?
10.
Обеспечено ли надежное хранение чистых бланков сертификатов акций?
Дивиденды
11.
Утверждает ли Совет директоров решения о выплате дивидендов?
12.
Проводится ли проверка правильности начисления и выплаты дивидендов?
13.
Проводится ли дальнейшая работа относительно дивидендов, которые остались невостребованными?
14.
Разработан ли надлежащим образом процесс принятия решений о капитализации дивидендов и существуют ли методики проведения соответствующих мероприятий?
Осуществление и учет операций
15.
Ведется ли в банке реестр акционеров? Проводится ли регулярное обновление данных реестра?
16.
Присвоены ли сертификатам акций порядковые номера? Выписываются ли сертификаты в порядке их номеров?
17.
Ведется ли соответствующий учет выпущенных и аннулированных акций?
18.
Придерживается ли банк при классификации выпущенных и аннулированных акций требований Плана счетов, утвержденных ЦБ РФ?
19.
Ведется ли надлежащий учет эмиссионного дохода?
20.
Правильно ли ведется учет капитализированных дивидендов?
21.
Проводится ли периодическая сверка данных учета акций в реестре акционеров (синтетический учет) с данными аналитического учета?
22.
Правильно ли и в полном ли объеме раскрыта вся информация в пояснениях к финансовой отчетности банка, как того требует действующее законодательство России и нормативные акты ЦБ РФ.
Предоставление отчетности в государственные органы
23.
Созданы ли в банке методика по обеспечению соблюдения требований ЦБ РФ относительно достаточности капитала?
24
Проводились ли анализ и тестирование систем банка квалифицированным персоналом банка?
25.
Проводились ли меры по результатам рассмотрения представленного в ЦБ РФ отчета по достаточности капитала банка; были ли внесены необходимые поправки?
ii. Проверка работы систем внутреннего контроля.
Внутренний аудитор должен разработать программу аудиторской проверки соответствия требованиям систем внутреннего контроля; цель такой программы - помочь в следующем:
? подтвердить результаты, полученные в ходе опроса по АВК;
? определить уровень рисков, которые угрожают банку в результате отсутствия или неадекватности систем внутреннего контроля;
? выявить факты нарушения дисциплины в соблюдении требований систем контроля;
? предложить изменения, которые необходимо внести в системы контроля и внутренние процедуры для уменьшения уровня существующих рисков и усиления дисциплины в соблюдении требований систем контроля.
По результатам проверки соблюдения требований установленных процедур аудиторы должны сделать заключение о том, насколько процесс осуществления операций соответствует установленным процедурам и системам контроля и действующим нормативными актами.
iii. Детальное тестирование
Даже если системы контроля банка оценены как надежные, а проверка того, как соблюдаются требования внутренних процедур и систем контроля, позволила получить удовлетворительные результаты, может потребоваться детальное тестирование ряда существенных оборотов и операций.
Внешние аудиторы в ходе своей работы также проводят детальное тестирование. Для того чтобы свести к минимуму дублирование работы, Служба внутреннего аудита должна передать свою программу работы внешним аудиторам.
Тестирование существенных оборотов по операциям предусматривает следующее:
* проверку протоколов заседаний Совета директоров по решениям, принятым относительно количества и суммы выпущенного уставного капитала и номинальной стоимости акций;
* проверку отнесения разницы между ценой первичного размещения акций и их номинальной стоимостью на правильный счет в Плане счетов ЦБ РФ;
* сверку общей суммы, полученной от размещения акций, с суммой остатков на счетах по Плану счетов ЦБ РФ;
* проверку документов по учету выпущенных акций и расследование необычных операций, которые произошли до и после завершения отчетного периода;
* анализ всех значительных незавершенных операций по счетам раздела «Уставный капитал банка»;
* сверку реестра акционеров с требованиями ЦБ РФ по количеству и объемам владения акциями.
.
VII. Доходы и расходы
a. Основные цели внутреннего аудита
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу 7 «Результаты деятельности», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
В ходе проверки статей доходов и расходов служба внутреннего аудита должна убедиться в том, что:
* процентные доходы по предоставленным кредитам и осуществленным инвестициям начислены и учтены правильно с точки зрения классификации счетов, суммы процентов и отчетного периода;
* расходы на выплату процентов по депозитам, займам и другим процентным обязательствам банка начислены и учтены правильно с точки зрения классификации счетов, суммы расходов и отчетного периода;
* другие доходы банка учтены правильно с точки зрения классификации статей дохода, суммы дохода и отчетного периода. Резервы под сомнительную и безнадежную задолженность по предоставленным ссудам созданы в полном объеме;
* В Отчете о прибылях и убытках правильно описаны и раскрыты доходы, расходы и чрезвычайные статьи.
b. Другие задачи аудита:
В задачи аудитора входит проверка того, включены ли доходы и расходы банка за определенный период в определение чистой прибыли и убытка за этот период. Доходы и расходы рассчитываются для отражения в финансовой отчетности банка.
Признание доходов и расходов банка производится в соответствии с нижеуказанными принципами МСФО. Внутренние аудиторы должны следить за тем, чтобы эти принципы соблюдались:
* последовательность применения учетной политики при расчете доходов или убытков от операций купли - продажи ценных бумаг, расчета процентных доходов и расходов, хозяйственных расходов, резервов по предоставленным кредитам;
* принцип начисления доходов и расходов;
* определение даты осуществления операции;
* корректность баланса на начало периода. Правильность перенесения остатков на каждый следующий отчетный период; остатки полностью раскрыты и точно описаны в приложениях к финансовой отчетности;
* принцип осмотрительности при расчете доходов и расходов, создании резервов под сомнительную и безнадежную задолженность и по предоставленным ссудам, классификации кредитов, создании резервов для покрытия убытков от колебания обменных курсов валют, расчете прибыли.
Для того чтобы убедиться в выполнении данных требований, можно воспользоваться нижеприведенной анкетой. В ней описаны основные средства контроля, которые помогут осветить различные вопросы, связанные с аудитом доходов и расходов.
АВК: Доходы и расходы
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Процентные доходы
1.
Существует ли методика проверки начисления процентов по каждому виду ссуды путем сравнения с ежемесячным или квартальным графиком поступлений (подготовленным другими департаментами)?
2.
Сравнивается ли процентный доход с процентными доходами, полученными в предыдущие периоды?
3.
Используются ли определенные методики расследования и количественного определения существенных расхождений, выявленных в ходе сверки?
4.
Существует ли процедура независимой проверки процентных доходов по инвестиционным ценным бумагам (в том числе от амортизации премии и дисконта) на обоснованность, точность и полноту?
5.
Проводит ли старшее должностное лицо проверку результатов сверки на точность и полноту?
6.
Гарантирует ли система фактическое получение банком всех процентных доходов, начисленных к получению; в частности, в случаях, когда ценные бумаги проданы без учета дивидендов и приобретены с накопленными дивидендами?
7.
Существует ли процедура, которая контролирует фактическое получение банком дохода по ценным бумагам на предъявителя и долговым обязательствам и гарантирует получение этого дохода в действительности?
Комиссионные доходы
8.
Существует ли методика проверки точности расчета комиссионных, полученных по каждому виду операций, путем сверки сумм полученных комиссионных с месячным/ квартальным графиком поступления комиссионных доходов (подготовленным другими департаментами):
* по операциям с другими банками;
* по операциям с клиентами;
* по операциям с филиалами и другими учреждениями банка?
9.
Существует ли методика, которая используется для расследования и количественного определения существенных расхождений, выявленных в ходе сверки?
10.
Гарантирует ли система внутреннего контроля банка фактическое получение банком всех комиссионных доходов, начисленных к получению; в частности, по операциям через корреспондентские счета и валютным сделкам?
11.
Соблюдаются ли требования Инструкций ЦБ РФ и принципы МСФО при начислении комиссионных доходов и расходов?
Доходы/ убытки по торговым операциям
12.
Разработана ли методика сверки для проверки точности полученных прибылей и убытков от торговли ценными бумагами, иностранной валютой, драгоценными металлами?
13.
Может ли такая методика подтвердить правильность признания доходов/ убытков в определенном отчетном периоде и правильность их учета?
14.
Существуют ли методики расследования и количественного определения существенных расхождений, выявленных в ходе сверки?
Другие банковские операционные доходы
15.
Существует ли процедура независимой проверки обоснованности, точности и полноты доходов в виде дивидендов по инвестициям (в том числе от амортизации премий и дисконтов)?
16.
Существует ли методика проверки точности расчета дивидендов, полученных по каждому виду инвестиций, путем сверки сумм полученных дивидендов с месячным/ квартальным графиком поступлений от дивидендов (подготовленным другими департаментами)?
17.
Существует ли методика расследования и количественного определения существенных расхождений, выявленных в ходе сверки?
18.
Существует ли методика независимой проверки обоснованности, точности и полноты доходов, полученных от операций с филиалами банка?
19.
Проводится ли во время аудита филиалов сверка сумм доходов, которые подлежат переводу в Головной офис, с фактически переведенными суммами?
20.
Ведутся ли контрсчета по расчетам между филиалами и Головным офисом, на которых проводится взаимозачет доходов и расходов?
21.
Проводится ли проверка результатов сверки контрсчетов в филиалах и Головном офисе старшим должностным лицом?
22.
Существуют ли методики независимой проверки других банковских операционных доходов на обоснованность, точность и полноту?
Другие небанковские операционные доходы
23.
Требуется ли для продажи основных средств банка разрешение специального комитета или Правления банка?
24.
Существует ли методика проверки точности расчета дохода от продажи основных средств и сумм списания накопленной амортизации?
25.
Возникает ли прибыль при продаже основных средств от одного филиала другому? Если да, существуют ли дополнительные методики проверки правильности начисления прибыли?
26.
Существует ли методика независимой проверки других небанковских операционных доходов на обоснованность, точность и полноту?
27.
Проводится ли контроль правильности начисления прибыли путем сравнения с первичной документацией? Производит ли этот контроль сотрудник, который не привлечен к учету доходов?
Уменьшение резервов
28.
Существуют ли методики проверки точности сумм изменения резервов? В частности, внутренний аудитор должен проверить, имели ли место факты:
* завышения стоимости активов и доходов банка путем занижения отчислений в резервы возможных убытков от кредитной деятельности, обесценения ценных бумаг, а также завышения сумм к получению;
???
* завышения пассивов банка и его расходных статей путем завышения отчислений в страховые резервные фонды.
29.
Применяется ли для проверки обоснованности сумм уменьшения резервов методика анализа событий после отчетной даты?
30.
Если производится уменьшение резервов по ссудам и ценным бумагам банка, то существует ли методика оценки этого уменьшения, учитывающая текущую политическую и экономическую ситуацию в России?
31.
Если было принято решение об уменьшении резервов на покрытие безнадежных ссуд, проводит ли служба внутреннего аудита всесторонний анализ ценности залога и возможности его реализации?
Непредвиденные доходы
32.
Существуют ли в банке методика определения и соответствующей классификации непредвиденных доходов?
33.
Проверяет ли руководство банка правильность классификации непредвиденных доходов с соблюдением принципов точности, последовательности и существенности до раскрытия этих статей в финансовой отчетности банка?
Процентные расходы по депозитам, кредитам ЦБ РФ, привлеченным средствам других банков
34.
Существует ли в банке утвержденная Правлением банка методика определения уровня процентных ставок по депозитам и кредитам?
35.
Предусмотрена ли в банке методика независимого контроля правильности начисления процентов к оплате по привлеченным средствам?
36.
Предусматривает ли такая методика контроля сравнение выплаченных банком процентов с:
* процентными ставками предыдущих периодов;
* процентными ставками, объявленными другими банками;
* процентными ставками, согласованными с отдельными контрагентами;
* учетными ставками ЦБ РФ;
* данными первичных документов?
37.
Существуют ли методики, которые используются для расследования и ежемесячного количественного определения существенных расхождений, выявленных в ходе сверки?
38.
Контролирует ли старшее должностное лицо точность и полноту проведенной сверки?
39.
Перед выплатой процентов, проводится ли проверка и предоставляется ли разрешение на проведение такой операции с целью контроля:
* правильности указанных данных получателя платежа;
* наличия расходного ордера;
* правильности применения процентной ставки;
* уплаты в органы налоговой администрации «налога по месту получения дохода»;
* распределения обязанностей между лицами, которые готовят выплату процентов, и работниками кредитного отдела.
Другие доходно-расходные статьи
Расходы на выплату комиссионных
40.
Существует ли в банке методика независимого контроля правильности начисления комиссионных к операциям с другими банками, с клиентами, с финансовыми инструментами, с филиалами банка?
41.
Возможна ли сверка данных с первичными документами и содержат ли первичные документы всю информацию, необходимую для проверки правильности начисления и выплаты комиссионных?
42.
Существуют ли методики расследования и количественного определения существенных расхождений, выявленных в ходе сверки?
43.
Проводится ли предварительная проверка и предоставляется ли разрешение на осуществление операции по выплате комиссионных с целью контроля:
* правильности указанных данных;
* получателя платежа;
* наличия расходного ордера;
* правильности применения ставки комиссионных.
44.
Существуют ли процедуры взаимозачета комиссионных к оплате и комиссионных к получению с одним и тем же контрагентом?
45.
Готовится ли контр-выписка по каждой из таких операций с последующей проверкой независимым контролером?
Другие операционные расходы
Расходы на содержание персонала
46.
Освобождены ли бухгалтеры, выполняющие начисление заработной платы, от выполнения других обязанностей в сфере управления персоналом (учет рабочего времени, прием на работу)?
47.
Ограничен ли доступ к личным делам сотрудников?
48.
Существует ли отдельный банковский счет для выплаты персоналу заработной платы?
49.
Проводятся ли уполномоченными лицами периодические проверки ведомостей выплаты заработной платы?
50.
Проводятся ли сверки данных ведомостей выплаты заработной платы с движением средств по контрольному счету выплаты заработной платы в Главной книге?
51.
Проводится ли сверка и проверка расхождений между средствами, фактически выплаченными в виде заработной платы, и фондом заработной платы банка?
52.
Существуют ли удовлетворительные методики согласования, утверждения и подготовки соответствующих документов на случай приема на работу новых сотрудников, увольнения работников, изменения уровня заработной платы и ставок обязательных начислений на фонд заработной платы?
53.
Существуют ли адекватные методики согласования и утверждения отпусков и больничных листков?
54.
Проводится ли проверка правильности и полноты начисления заработной платы до перевода средств на счет заработной платы?
Расходы на ремонт и эксплуатацию основных средств и нематериальных активов
55.
Составляются ли ежегодные сметы расходов на ремонт основных средств? Если да, то кто это делает?
56.
Нужно ли получение официального разрешения уполномоченных лиц на осуществление расходов, связанных с содержанием основных средств?
57.
Существует ли методика учета работ по ремонту основных средств, выполненных персоналом банка, отдельно от работ подрядчиков?
58.
Какой метод учета используется для определения стоимости выполненных сотрудниками банка работ, и какая часть накладных расходов включается в стоимость работ?
59.
Существует ли система распределения расходов, связанных с содержанием и эксплуатацией основных средств на капитальные и текущие?
60.
Существует ли методика административного учета таких расходов на содержание основных средств, которые еще фактически не были понесены?
61.
Существует ли процедура отслеживания внебюджетных расходов на содержание основных средств?
62.
Являются ли ставки амортизационных отчислений, которые применяются в банке, достаточными для списания стоимости основных средств на протяжении срока их полезной службы?
63.
Имеют ли руководители банка полномочия на определение ставок амортизационных отчислений с учетом срока полезной службы основных средств?
64.
Ведется ли в банке журнал регистрации основных средств с указанием сумм и ставок амортизационных отчислений для различных групп основных средств?
Другие операционные расходы
65.
Существует ли в Головном офисе и филиалах методика предоставления уполномоченным сотрудникам разрешения на осуществление расходов, которые превышают установленные для них ограничения по бюджету расходов?
66.
Проводит ли банк конкурсы среди поставщиков в случае необходимости приобретения дорогостоящих активов с целью обеспечения качественных продуктов по конкурентоспособной цене?
67.
Проводится ли контроль качества и укомплектованности закупленных товаров в момент их доставки в банк? Предусмотрено ли процедурой приемки проверка счета-фактуры на правильность указанной цены за единицу, общей стоимости партии и качества доставленных товаров?
68.
Проводится ли контроль учета закупленных товаров, который обеспечивал бы получение всех счетов-фактур к оплате и позволял бы начислять суммы к оплате поставок, счета по которым еще не были получены от поставщиков?
69.
Проводится ли сверка данных учета других расходов, взятых на баланс согласно счету-фактуре в момент получения поставки (по качественным и ценовым показателям), с данными учета товарно-материальных ценностей на складе?
70.
Существует ли процедура контроля соответствия оплаты за услуги объемам фактически полученных услуг? Существует ли разделение обязанностей между персоналом, контролирующим оплату полученных услуг, и персоналом, ответственным за привлечение подрядчиков для предоставления этих услуг?
Отчисления в резервы
Резерв по безнадежным и сомнительным кредитам
71.
Утвержден ли в банке порядок проверки правильности расчета резерва под задолженность по предоставленным кредитам? В частности, служба внутреннего аудита должна проверить:
* существование скрытых резервов, которые возникли вследствие чрезмерных отчислений;
* завышение стоимости активов и доходов банка путем занижения отчислений в резервные фонды;
* завышение стоимости пассивов и обязательств банка путем завышения отчислений в резервы
72.
Утвержден ли в банке порядок переоценки качества предоставленных банком кредитов в соответствии с Инструкцией ЦБРФ от 30.06.97 №62а «О порядке формирования резерва на возможные потери по ссудам»?
73.
При проверке резервных фондов внутренний аудитор должен убедиться в том, что уровень созданных резервов соответствует текущей экономической ситуации в регионе, в котором были предоставлены кредиты.
74.
Предоставленные заемщиками гарантии и залог должны быть оценены в соответствии с рыночными ценами, с учетом качества залога и возможностей его реализации.
75.
Существует ли методика проверки адекватности созданного в банке резерва на покрытие убытков по безнадежным ссудам путем анализа событий после отчетной даты?
Резерв под обесценение ценных бумаг
76.
Утвержден ли в банке порядок проверки правильности расчета резерва под обесценение ценных бумаг? В частности, служба внутреннего аудита должна проверить:
77.
* существование скрытых резервов, которые возникли вследствие чрезмерных отчислений на создание резервных фондов;
78.
* завышение стоимости активов и доходов банка путем занижения отчислений в резервные фонды;
79.
* завышение стоимости пассивов и обязательств банка путем завышения отчислений в резервные фонды;
80.
Если банк покупает ценные бумаги с целью хеджирования, существует ли в банке утвержденный порядок периодической переоценки стоимости таких ценных бумаг с учетом целей хеджирования?
81.
Перед покупкой производных финансовых инструментов, принимает ли руководство банка решение относительно того, есть ли у банка потребные для таких операций: опыт, средства контроля, структура активов/ пассивов, ликвидность и капитал для оценки и формирования нужных резервов?
Непредвиденные расходы
82.
Существует ли в банке методика распознавания и соответствующей классификации непредвиденных расходов?
83.
Проводит ли руководство банка проверку правильности классификации непредвиденных расходов на точность, последовательность и существенность до раскрытия этих статей в финансовой отчетности банка?
84.
Существует ли в банке методика предупреждения возможности возникновения непредвиденных расходов?
Налоги
85.
Существует ли в банке методика контроля расчета налогов с целью проверки правильности начисленных сумм и соблюдения требований действующего законодательства РФ?
86.
Соблюдаются ли сроки уплаты «налогов по месту получения дохода»?
87.
Существует ли распределение обязанностей между должностными лицами, которые осуществляют расчет налогов, и лицами, которые производят уплату налогов?
88.
Проводится ли сверка расчета налогов и налоговых платежей с движением средств по счету уплаты налогов в Главной книге?
VIII. Управленческий учет
а. Другие обязанности СВА
Внутренние аудиторы не только проводят аудит, но и помогают персоналу банка в эффективном выполнении своих обязанностей, предоставляя им результаты проведенных анализов и оценок, рекомендации, советы и информацию относительно осуществленных проверок деятельности, а также стимулируя внедрение эффективных систем контроля по разумной цене.
Финансовая информация, которую использует руководство, обычно базируется на данных системы управленческого учета, следовательно, нужно проводить аудиторскую проверку также и этих систем. ЦБ РФ еще не определил, какие именно системы управленческого учета должны существовать в коммерческих банках. Однако, большинству банков потребуются данные управленческого учета по следующим системам:
* системы управления рисками;
* сметы и системы контроля соблюдения бюджета;
* системы управления активами и пассивами;
* информационные системы кредитной деятельности;
* системы накопления и распределения расходов;
* системы ценообразования на продукты и услуги;
* достаточность капитала;
* бюджетирование капитальных затрат
* прибыльность филиалов.
В отличие от информации финансового учета, которая всегда имеет денежное выражение, информация управленческого учета обычно выражается в количестве операций, затраченном времени, числе клиентов и других подобных единицах.
Анализ и использование коэффициентов является важным элементом деятельности систем управленческого учета.
b. Объем аудиторских проверок управленческого учета.
В ходе аудита по-прежнему производится проверка и оценка адекватности и эффективности системы управленческого учета банка.
Задача каждой отдельной аудиторской проверки должна быть четко определена и согласована с руководством банка. В задачи аудита может входить:
* проверка надежности и целостности финансовой и операционной информации;
* проверка систем управленческого учета на соответствие политике и планам банка;
* проверка эффективности и рациональности работы этих систем.
с. Аудиторская проверка управленческого учета
Методика аудиторских проверок систем управленческого учета достаточно проста. Ниже мы приводим список контрольных вопросов.
АВК: Аудит систем управленческого учета
№
Основные контрольные процедуры
Наличие:
Да/ Нет
Результаты проверки:
Системы управленческого учета
1.
Действует ли в банке общая концепция построения системы управленческого учета?
2.
Является ли информация по управленческому учету частью общего процесса принятия решений в банке?
3.
Объединены ли все системы управленческого учета с системами финансового учета для того, чтобы все они могли использовать совместную информацию?
4.
Производят ли системы управленческого учета лишь полезную и необходимую информацию?
5.
Если в ходе работы возникают исключения и отклонения от принятого порядка действий, происходит ли расследование подобных расхождений?
6.
Предоставляется ли информация управленческого учета сотрудникам всех уровней, нуждающимся в ней?
7.
Своевременно ли обеспечивают системы управленческого учета руководство банка информацией для принятия решений?
8.
Регулярно ли проверяется система управленческого учета с целью определения для нее необходимых усовершенствований и изменений?
9.
Являются ли отчеты систем управленческого учета четкими и понятными?
Работа системы управленческого учета
10.
Своевременно ли составляются и предоставляются отчеты?
11.
Рассматриваются ли жалобы на результаты работы системы и вносятся ли исправления?
Если в будущем от банков потребуется иметь надлежащие системы управленческого учета, то все аудиторские проверки этих систем будут сводиться к операционному аудиту, в задачи которого входит:
* проверка и оценка эффективности систем контроля, а также надежности и целостности финансовых, управленческих и операционных данных;
* проверка соблюдения политики и методик, принятых в банке.
d. Внутренний аудит соответствия управленческого учета требованиям систем контроля
После заполнения вышеприведенной анкеты внутренний аудитор должен разработать программу аудиторской проверки с целью:
- убедиться в правильности выводов, сделанных в результате заполнения анкеты;
- определить степень риска для банка из-за отсутствия или недостаточности систем контроля или информации;
- выявить явное несоответствие системам контроля управленческого учета и информации;
- определить, какие изменения нужно внести в системы и процедуры управленческого учета для уменьшения рисков и усовершенствования качества информации, которая предоставляется пользователям.
IX. Аудит внебалансовых счетов
a. Обязанности СВА
В ходе аудита статей внебалансового учета проверяется ряд параметров:
* обязательства и требования по всем видам гарантий;
* выданные кредитные обязательства, а также полученные депозитные обязательства;
* обязательства и требования по операциям с валютой и драгоценными металлами;
* требования и обязательства по андеррайтингу, кассовым и срочным финансовым инструментам;
* иные обязательства и требования;
* списанная задолженность и средства к возврату;
* ценные бумаги и материальные ценности клиентов;
* документация по другим активам и ценностям.
Данная область аудита соответствует Плану счетов ЦБ РФ, Разделу С «Внебалансовые счета», Правила ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации, от 18 июня 1997 г. N 61, с изменениями и дополнениями.
АВК: Статьи внебалансового учета
№
Основные контрольные процедуры
Наличие:
Да/Нет
Аудиторские тесты
Процедуры общего контроля
Авторизация
1.
Утверждает ли Правление банка или уполномоченный комитет банка обязательства, гарантии, операции с финансовыми инструментами в соответствии с политикой внутреннего контроля банка?
2.
Получает ли Правление банка или уполномоченный комитет ежедневные или еженедельные отчеты по этим операциям?
3.
Существует ли в банке политика, предписывающая требовать обеспечение залогом финансовых инструментов, по которым существует кредитный риск?
4.
Установлены ли лимиты авторизации выдачи гарантий и обязательств, в том числе на торговлю финансовыми инструментами, что позволяет уменьшить угрозу риска для банка?
Распределение обязанностей и ограничение доступа
5.
Отделены ли функции ведения записей в Главной книге и книгах аналитического учета от функций отдела, который занимается предоставлением гарантий, обязательств и работой с финансовыми инструментами?
6.
Хранится ли в физической безопасности и за пределами дилингового отдела документация, которая касается таких операций? Разработаны ли принципы хранения?
7.
Хранятся ли в безопасности ценные бумаги и материальные ценности клиентов, а также предметы залога?
Другие процедуры контроля
8.
Проводит ли руководство периодические проверки соблюдения условий гарантий с целью убедиться в выполнении всех условий?
9.
Существует ли порядок проверки перед покупкой финансовых инструментов того, что банк имеет достаточные знание и опыт для успешной работы с этими инструментами?
Финансовые инструменты
10. 1.
Существует ли методика определения убытков вследствие несоблюдения одной из сторон условий сделки и неадекватной стоимости залога?
11. 2.
Существует ли система выявления сфер большой концентрации кредитного риска по всем операциям с финансовыми инструментами, включая методики предоставления следующей информации:
* детальная информация о деятельности, регионе или экономических характеристиках, которые указывают на концентрацию риска;
* данные о возможных убытках в случае несоблюдения одной из сторон условий договора и неадекватной стоимости залога?
12. 3.
Опишите политику банка касательно обеспечения по финансовым инструментам, представляющим кредитный риск.
13. 4.
Как описывается предмет залога? Насколько сложно для банка получить доступ к предмету залога?
14. 5.
Существует ли метод проверки «справедливой стоимости» финансовых инструментов?
15. 6.
Существует ли при осуществлении фьючерсных сделок и их хеджировании методика проверки следующих позиций:
* характера хеджируемых активов, пассивов или обязательств;
* методов бухгалтерского учета фьючерсных сделок, включая описание событий, в результате которых изменение стоимости фьючерсных контрактов отображается как доход?
16. 7.
Если банк владеет производными ценными бумагами или эмитирует их, существует ли политика проверки полного понимания банком характера таких операций?
Обязательства и гарантии
17. 8.
Существует ли порядок проверки наличия, характера и стоимости, а также раскрытия в финансовой отчетности следующих видов обязательств и гарантий:
* всех видов принятых обязательств и выданных гарантий банка относительно операций финансирования торговли, валютных сделок, кредитных операций, аккредитивов;
* принятых обязательств и предоставленных гарантий относительно операций покупки ценных бумаг;
* обязательств и гарантий, полученных банком;
* гарантий или обязательств относительно любых других операций?
18.
При частом колебании процентных ставок оцениваются ли результаты предоставления кредитов по фиксированной процентной ставке? Отображаются ли результаты изменения процентных ставок на внебалансовых счетах?
19.
Учитываются ли комиссионные сборы, полученные банком, в соответствии с принципами МСФО (осмотрительность и последовательность)?
20.
Учитывается и охраняется ли надлежащим образом предмет залога, полученный банком за принятые на себя обязательства или предоставленные гарантии? Проводит ли банк регулярную оценку предмета залога для того, чтобы убедиться, что его стоимость адекватна степени риска невыполнения обязательств другой стороной?
21.
Существует ли методики резервирования банком необходимой суммы, когда становится известно о необходимости выполнения банком своих обязательств по гарантиям?
События после отчетной даты
22.
Существуют ли методика проверки событий, происшедших после отчетной даты, помогающая определить существенность влияния этих событий на финансовую отчетность банка? (Отображаются ли в примечаниях к внебалансовым операциям события, которые имеют существенное влияние на точность балансового отчета?)
X. Аудит компьютерных систем
а. Введение
Когда-то для внутреннего аудитора было лишь желательно уметь работать на компьютере; в наше время это необходимость. Аудитор должен понимать и оценивать риски и возможности, связанные с компьютерной технологией.
Аудит компьютерных систем начинается с того, что аудитор должен хорошо знать саму систему. Здесь также применим вышеописанный подход, состоящий из трех этапов:
* Проверка и оценка систем внутреннего контроля.
* Аудит соответствия требованиям систем внутреннего контроля.
* Детальное тестирование.
В ходе аудита следует в обязательном порядке проверить, как минимум, следующие параметры:
* оборудование;
* программное обеспечение;
* организационные вопросы;
* доступ к системам;
* средства контроля систем и разработки программ;
* операционный контроль;
* планы на случай чрезвычайных обстоятельств.
Нижеприведенный список вопросов поможет описать существующие контрольные процедуры и определить слабые или отсутствующие звенья в системе контроля.
АВК: Компьютерные системы
№ Основные системы контроля
Наличие:
Да/Нет
Комментарии
Стратегическое планирование
1.
Существует ли в банке общий порядок приобретения и использования компьютерного оборудования?
2.
Есть ли в банке группа технической поддержки, которая предоставляет консультации относительно любых вопросов по компьютерному оборудованию, для помощи руководству при выборе и приобретении наиболее подходящего оборудования?
3.
Существуют ли письменные стандарты и инструкции по оценке компьютерного оборудования различных поставщиков?
4.
Существует ли в письменной форме политика банка относительно необходимых мер безопасности для различных элементов компьютерного оборудования банка?
Программное обеспечение
5.
Существует ли в письменной форме порядок предоставления разрешения на приобретение различных видов программного обеспечения?
6.
Существует ли в банке стратегия отбора различных типов программного обеспечения (например, операционные системы, приложения, системы управления базами данных)?
7.
Проводится ли оценка надежности различных типов программного обеспечения банка?
8.
Есть ли в банке специалист, отвечающий за координацию потребностей служащих в обучении работе с программными продуктами?
Организационные системы контроля
9.
Является ли управление ИТ независимым от отдела, который оно обслуживает?
10.
Запрещено ли персоналу управления ИТ проводить операции или давать на них разрешение?
11.
Запрещено ли персоналу управления ИТ вносить изменения в исходные файлы базы данных (мастер-файлы)?
12.
Предоставляется ли отделам, сделавшим запрос на внесение изменений в мастер-файлы, отчет о проведении этих изменений?
13.
Запрещено ли персоналу управления ИТ самостоятельно исправлять ошибки, кроме тех ошибок, которые сделаны самим управлением?
14.
Существует ли разделение обязанностей между программистами и операторами ПК?
15.
Отделены ли функции подтверждения и контроля операций от функций, которые выполняют операторы ПК и программисты?
16.
Осуществляется ли периодическая ротация операторов ПК?
17.
Требуется ли от операторов ПК брать обязательный отпуск в течение как минимум одной недели в год?
18.
Если в банке существует функция внутреннего аудита, предоставляется ли аудиторский отчет руководству о дизайне и работе системы бухгалтерского учета, отвечающей целям получения информации для составления таких финансовых отчетов, которые точно отображают финансовое состояние и результаты деятельности банка?
Контроль доступа
19.
Несет ли ответственность за процесс электронной обработки данных только один служащий?
20.
Существуют ли адекватные системы контроля, которые обеспечивают доступ к компьютерному оборудованию только уполномоченного персонала?
21.
Запрещен ли программистам доступ к рабочим программам и рабочим файлам с данными?
22.
Установлен ли порядок, запрещающий тестирование новых или модифицированных программ на рабочих файлах с данными?
23.
Ограничен ли доступ операторам ПК к исходным текстам программ или документации на программные продукты?
24.
Ограничен ли доступ неуполномоченного персонала к параметрам обработки или табличным файлам, и рассматриваются ли надлежащим образом изменения, внесенные в эти файлы?
25.
Контролируются ли надлежащим образом сервисные программы, которые могут изменить данные или прикладные программы, и ведется ли протокол использования программ для информирования руководства?
26.
Используется ли программное обеспечение, установленное для контроля доступа к терминалу, таким образом, что:
* доступ предоставляется только уполномоченным лицам;
* неуполномоченные служащие имеют доступ только к тем программам или файлам, которые необходимы им для выполнения своих обязанностей?
27.
Если для контроля доступа к терминалу используются пароли, то:
* установлен ли порядок подтверждения конфиденциальности и уникальности пароля;
* изменяются ли пароли через равные промежутки времени;
* отменяется ли немедленно пароль для уволенных служащих?
28.
Требуется ли дополнительное подтверждение уполномоченного лица на осуществление следующих операций:
* операций с клиентскими счетами, по которым в течение длительного срока не было движения средств;
* снятие со счетов больших сумм (свыше определенной суммы);
* снятие средств, находящихся в залоге;
* снятие средств со счетов, которые заблокированы по решению судебных органов;
* снятие средств со счетов, которые арестованы;
* закрытие счетов?
29.
Отстраняются ли от выполнения обязанностей те служащие управления ИТ, которые уволились с работы?
30.
Существует ли порядок предупреждения несанкционированного внешнего доступа через систему автоматического набора (например, путем введения системы паролей, идентификационных номеров пользователей, составления списков абонентов)?
31.
Если конфиденциальная информация передается по сетям общего пользования (например, арендованные линии), используются ли методы защиты для предотвращения или обнаружения несанкционированного доступа: метод обеспечения безопасности носителя или иные независимые методы (например: кодирование/ шифрование)?
32.
Существует ли надлежащий контроль доступа к инструкциям оператора ПК?
Контроль разработки новых систем и программ
(Следующие вопросы относятся ко всем ключевым системам и программам, как разработанных самим банком, так и приобретенным или разработанным сторонними организациями)
33.
Установлен ли порядок разработки новых систем и программ, а также модификации существующих программ и систем?
34.
Уделяется ли достаточное внимание разработке адекватных функций контроля при разработке новых или модификации имеющихся систем и программ?
35.
Требует ли порядок разработки систем и программ активного участия в этом процессе пользователей этих продуктов (сотрудников СВА, если это необходимо)?
36.
Установлен ли формальный порядок тестирования для проверки работы новых или обновленных версий используемых программ (включая тестирование модификаций, сделанных поставщиком программного обеспечения)?
37.
Существуют ли стандарты и процедуры документального оформления новых систем или программ, а также модификаций существующих систем или программ?
Системы операционного контроля
38.
Ведутся ли автоматизированные или документально оформленные протоколы для регистрации действий оператора ПК?
* Существуют ли системы контроля, обеспечивающие полноту и точность протоколов?
* Изучает ли соответствующий персонал надзорного отдела банка эти протоколы, и отслеживаются ли надлежащим образом все необычные записи в протоколах?
39.
Обязаны ли операторы ПК докладывать обо всех случаях сбоя, перезагрузки, восстановления системы или других нештатных ситуациях, и изучают ли соответствующие служащие эту информацию?
40.
Может ли каждый оператор ПК ознакомиться с инструкцией оператора ПК?
41.
Содержат ли инструкции оператора ПК указания относительно следующих вопросов:
* установление пакетных задач и загрузки операционных систем или программного обеспечения (включая соответствующие положения и параметры контроля, которые используются при обработке данных);
* использование компонентов компьютерного оборудования и файлов с данными;
* средства ввода/вывода, которые должны использоваться;
* завершение работы программ?
42.
Существуют ли надлежащие процедуры контроля соответствия между деятельностью операторов ПК и установленным порядком работы?
43.
Существуют ли надлежащие процедуры создания резервных копий и сохранения программ и файлов с данными?
44.
Существуют ли процедуры проверки персональных данных служащих отдела ИТ и документального оформления результатов проверки?
45.
Существует ли подробный письменный порядок ведения ссудных и депозитных счетов персонала управления ИТ в банке?
46.
Проводится ли регулярный инструктаж персонала управления ИТ по мерам безопасности?
Ликвидация последствий аварийных ситуаций / планирование на случай непредвиденных событий
47.
Обеспечивается ли сохранение за пределами территории банка следующей информации:
* мастер-файлы и файлы операций, с которых можно восстановить текущие файлы-оригиналы;
* системы, программы и связанная с ними документация?
48.
Разработан ли план действий на случай прекращения или временной остановки работы системы ИТ?
49.
Если уже разработан план действий в чрезвычайных ситуациях, проверены ли они на адекватность таким ситуациям?
XI. Аудит филиалов
а. Планирование аудиторских проверок филиалов
Начальник отдела внутреннего аудита должен каждый год решать, в каких филиалах будет проводиться аудиторская проверка в следующем году. При выборе филиалов нужно учитывать следующие аспекты:
* филиалы с низким рейтингом нужно проверять чаще;
* размер и важность филиала;
* какая информация была получена в ходе предыдущей аудиторской проверки;
* географическое расположение филиала;
* какие ресурсы имеются в распоряжении службы внутреннего аудита.
На основе такой информации может быть подготовлен план последовательных аудиторских проверок филиалов. В этом плане указывается, какие филиалы будут в течение года проверяться и в каком порядке. Во время подготовки плана-графика аудиторских проверок необходимо также учитывать следующее:
* дата посещения филиала должна год от года меняться;
* следует планировать ряд неожиданных посещений региональных отделений, когда отделения не получают предварительного уведомления об аудиторской проверке.
Такие методики позволяют минимизировать угрозу того, что филиалы смогут утаить действительную ситуацию. Следовательно, эти методики необходимо принимать во внимание при составлении плана посещений филиалов.
b. Аудиторские проверки различных направлений деятельности регионального отделения
Поскольку аудит различных филиалов проводится через разные промежутки времени, необходимо, чтобы все важные направления деятельности филиалов были во время проведения проверки в той или иной степени охвачены. На аудиторскую проверку наиболее важных направлений деятельности выделяется больше ресурсов и больше времени, поскольку они являются ключевыми аспектами операционной работы регионального отделения. Если в них будут недостатки или нарушения, это скажется на деятельности филиала, а, следовательно, и Головного офиса банка.
Следует сосредоточить внимание на следующих областях деятельности филиала:
* депозиты клиентов;
* предоставление кредитов клиентам, включая наличие и качество залога;
* операции с иностранной валютой;
* отчеты Головному офису и качество этих отчетов;
* операции с ценными бумагами (если есть);
* основные средства филиала.
Проводить детальную аудиторскую проверку менее важных направлений деятельности филиала не обязательно. На этот вид аудита затрачивается много времени, и его результаты не имеют большого значения ни для филиала, ни для Головного офиса банка. Внутренний аудитор должен проводить аудит лишь тех направлений деятельности филиала, которые являются важными для банка.
Для того чтобы определить наиболее важные направления деятельности филиала, аудитор должен руководствоваться своим собственным видением дела и распределить эти направления деятельности, в зависимости от их важности, по следующему плану:
1. Определить все важные области деятельности филиала для проведения в них аудита.
2. Оценить банковские риски для каждой из этих областей.
3. Выяснить, что было сделано во время последней аудиторской проверки в этих областях.
На основе этой информации можно составить матрицу рисков для выбора областей деятельности филиала для аудиторской проверки.
с. Матрица рисков для принятия решения об объеме аудиторской проверки филиала
Оценка сферы деятельности
Рейтинг рисков экономической деятельности
по данным предыдущей проверки
Высокий
Средний
Низкий
Плохо
Б
Б
У
Удовлетворительно
У
У
У
Хорошо
У
М
М
Б - уделить большое внимание
У - уделить умеренное внимание
М - сократить объемы аудита до минимума
Также нужно решить вопрос относительно количества ресурсов службы внутреннего аудита, которые будут выделены для проверки наиболее рискованных сфер деятельности филиала. Для этого необходимо:
? Определить по результатам составления матрицы те области деятельности филиала, которые будут проверяться. Аудиторскую проверку нужно начинать с тех отделов, деятельность которых является существенной для филиала.
? Рассчитать количество часов, которые необходимо выделить на аудит каждой выбранной сферы деятельности филиала.
Все приведенные в данном пособии анкеты и рекомендации могут использоваться для планирования аудита отдельно взятого филиала.
Глоссарий терминов (Аудит и Менеджмент)
Анализ риска (Risk Analysis) - формальный метод оценки подверженности конкретной системы или группы систем рискам. (См.: Риск)
Аудит функциональной деятельности (Performance) - аудит экономности, рентабельности и эффективности использования ресурсов подвергаемой аудиту организации при выполнении своих обязанностей.
Аудиторское доказательство (Audit Evidence) - информация, формирующая основу, которая подкрепляет мнения, заключения или отчеты аудитора.
Компетентное(Competent) - информация в достаточном количестве, соответствующая достижению результатов аудита, и качественно беспристрастная, чтобы внушить доверие и надежность.
Уместное (Relevant) - информация, которая соответствует целям аудита.
Разумное (Reasonable) - информация, являющаяся экономичной в том плане, что затраты на ее сбор соразмерны результату, которого пытается достичь аудитор.
Аудиторские процедуры (Audit Procedures) - определенный порядок и последовательность действий аудитора, направленных на получение аудиторских доказательств. Аудиторскими процедурами являются аналитические процедуры, наблюдение, тестирование, сравнение с нефинансовой информацией и др.
Аудит обязательный - аудит, проводимый в силу требований национального законодательства. В России обязательному ежегодному аудиту подлежит финансовая отчетность банков и других кредитных учреждений, страховых организаций, бирж, инвестиционных институтов, благотворительных и иных фондов, открытых акционерных обществ, компаний с иностранным участием в капитале, а также прочих компаний, выручка которых превышает 500 000 минимальных размеров оплаты труда или стоимость активов которых превышает 200 000 МРОТ.
Аудиторский отчет (Audit report) - 1) Совокупность материалов, направляемых аудитором клиенту по окончании исполнения договора оказания аудиторских услуг. Состав таких материалов регламентирован нормативными актами и стандартами аудиторской деятельности. 2) Аналитическая часть аудиторского заключения.
Внешний аудитор (External Auditor) - аудитор, проводящий независимый аудит, то есть аудитор, не связанный с проверяемой компанией никакими отношениями, кроме профессиональных.
Внутренний аудит (Internal Audit) - аудит, проводимый отделом внутреннего аудита компании или уполномоченным работником. Проводится, главным образом, в интересах руководства компании.
Заключение аудитора (Audit Opinion) - 1. Документ, содержащий выраженное в установленной форме мнение аудитора о достоверности финансовой отчетности. Форма и содержание должны отвечать требованиям стандартов аудиторской деятельности, в соответствии с которыми проводился аудит. Должно содержать: общие сведения об аудиторской фирме; объем аудита; аудиторский подход; мнение аудитора о финансовой отчетности. Может быть безусловно положительным, безусловно положительным с поясняющим(и) параграфом(ами), условно положительным или отрицательным, а также содержать отказ аудитора от выражения мнения. 2. Итоговая часть аудиторского заключения.
Значимость (Significance)- см. Существенность
Комитет по аудиту (Audit Committee) - комитет, создаваемый в составе Совета директоров (Наблюдательного совета), и подотчетный ему (в некоторых странах требуется отчитываться и непосредственно перед акционерами). Может иметь различные обязанности в зависимости от местных особенностей деловой культуры и потребностей Совета директоров и руководства компании. Как правило, анализирует: функционирование систем внутреннего контроля и управления рисками; предварительные результаты отчетного года, годовую финансовую отчетность; несоответствия, обнаруженные аудитором, в т.ч. любые существенные предложения по улучшению деятельности, представленные аудитором руководству компании; процесс контроля над соблюдением законодательства (особое внимание уделяется вопросам, которые могут оказать существенное влияние на финансовую отчетность компании); процесс контроля над соблюдением внутреннего кодекса корпоративного управления. Внутренние и внешние аудиторы обладают знаниями и опытом, которые могут содействовать комитету по аудиту в выполнении возложенных на него функций, поэтому он должен поддерживать связь с обеими группами аудиторов.
Компетентность профессиональная (Professional Competence) - принцип аудиторской деятельности, в соответствии с которым аудитор обязан постоянно поддерживать свои профессиональные знания и навыки на уровне, необходимом для качественного предоставления аудиторских услуг.
Контроль качества аудита (Audit Quality Control) - совокупность процедур, выполняемых для обеспечения уверенности в том, что аудит проводится в соответствии со стандартами аудиторской деятельности. Различают контроль качества аудита, осуществляемый самой аудиторской фирмой, и внешний контроль качества аудита, выполняемый органом руководства аудиторской деятельностью.
Контрольные цели (Control Objectives) - Цели контроля, производные из целей управления системой, используемые аудиторами в качестве критериев, по которым оценивается адекватность внутренних видов контроля.
Лицензия на осуществление аудиторской деятельности (Audit License) - документ, наличие которого у аудиторской фирмы или индивидуального аудитора необходимо в соответствии с законодательством для осуществления аудиторской деятельности. В России лицензирование аудиторской деятельности (кроме банковского аудита) осуществляет Министерство финансов. Лицензии выдаются отдельно на осуществление следующих видов аудиторской деятельности: аудит страховых организаций и обществ взаимного страхования (аудит страховщиков); аудит бирж, внебюджетных фондов и инвестиционных институтов; общий аудит (аудит иных юридических лиц и индивидуальных предпринимателей). Лицензирование деятельности в области банковского аудита осуществляет Банк России. Лицензия выдается аудиторской фирме при соблюдении определенных лицензионных требований и условий. В частности, аудиторская фирма не может иметь форму открытого акционерного общества; в уставном капитале аудиторской фирмы доля, принадлежащая аудиторам, имеющим квалификационный аттестат, и/или имеющим лицензии аудиторских фирм, должна составлять не менее 51 процента.
Материальность- см. Существенность
Методы аудита с использованием компьютеров (Computer-assisted Audit Techniques) - процедуры, предусматривающие проверку компьютерных программ клиента для подтверждения предположения об отсутствии ошибок в финансовой отчетности.
Независимость (Independence) - принцип аудиторской деятельности, в соответствии с которым аудитор должен быть свободен от какого-либо контроля или влияния со стороны клиента или третьей стороны. Требования и критерии независимости аудитора устанавливаются стандартами аудиторской деятельности, а также кодексом профессиональной этики.
Объект аудита (Audited Entity) - организация, программа, деятельность или функция, подлежащие аудиту.
Объем аудита (Audit Scope) - количество и объем аудиторских процедур. Определяется аудитором самостоятельно на стадии планирования путем установления круга проверяемых статей и подразделений компании, уровня существенности и допустимого аудиторского риска.
Орган руководства аудиторской деятельностью - организация, уполномоченная государством или обществом регулировать аудиторскую деятельность или отдельные ее вопросы. В России регулирование аудиторской деятельности возложено на Комиссию по аудиторской деятельности при Президенте Российской Федерации. Вопросы лицензирования и аттестации находятся в ведении Центральных аттестационно-лицензионных аудиторских комиссий (ЦАЛАК) Министерства финансов и Центрального банка.
Оценка качества работы (Performance Measure) - средства прямой количественной оценки, степени достижения эффективности, рентабельности и экономности, а также уровня качества услуг.
План аудита отдельных статей отчетности - рабочий документ аудитора, в котором определяется круг проверяемых статей и подразделений. Составляется по секциям. Для каждой из них указываются методы проверки: тестирование, аналитические процедуры и др. Конкретизируется в программе аудита, которая иногда объединяется с планом, заменяя его.
План-задание (Assignment Plan) - детальный план по руководству и контролю индивидуального аудиторского задания.
Планирование аудита (Planning) - этап аудита, заключающийся в разработке общей стратегии аудита, разработке программы аудита и выборе конкретных аудиторских процедур.
Полученные данные, заключения и рекомендации (Findings, Conclusions and Recommendations): Полученные данные - это специфические доказательства, собранные аудитором для выполнения целей аудита. Заключения - это формулировки, выведенные аудитором из полученных данных. Рекомендации - это образ действий, предложенный аудитором и относящийся к целям аудита.
Риск (Risk) - вероятность появления нежелательных событий. Риск в системах может определяться как шанс или вероятность невыполнения одной или нескольких целей руководства.
Система (System) - ряд связанных видов деятельности, рассчитанных на совместное выполнение задач, с целью достижения запланированных целей.
Система административного контроля (Administrative Control System) - ряд действий, являющихся составной частью системы внутреннего контроля, связанной с административными процедурами, необходимыми для принятия управленческих решений, достижения наивысшей экономической и административной эффективности и обеспечения реализации управленческой политики независимо от того, относится она к экономическим или другим вопросам.
Система внутреннего контроля (Internal control system) - совокупность процедур, организационных мероприятий и методик, принятых руководством компании для контроля над правильным и эффективным ведением финансово-хозяйственной деятельности. Включает также исполнение приказов и распоряжений руководства компании, разделение ответственности, обеспечение сохранности имущества компании и соблюдения требований законодательства, предотвращение и выявление фактов мошенничества и ошибок, обеспечение точности и полноты бухгалтерских записей, а также своевременности подготовки достоверной финансовой информации. Выходит за рамки вопросов, непосредственно относящихся к функциям системы бухгалтерского учета.
Система контроля учета (Accounting Control System) - ряд действий, считающихся частью общей системы контроля, связанной с реализацией задач субъекта. Она включает соответствие учету и финансовой политике, защиту ресурсов субъекта и подготовку надежных финансовых отчетов.
Средства контроля (Controls) - индивидуальные действия, процедуры или операции, предпринятые или установленные руководством для достижения целей своей деятельности и процедур.
Стандарты аудиторской деятельности (Audit Standards) - система документов, устанавливающих единые требования к проведению аудита и оказанию сопутствующих аудиту услуг, порядку составления и представления заключений и отчетов аудитора, контролю качества аудита, подготовке аудиторов и оценке их квалификации.
Стандарты аудиторской деятельности - система документов, устанавливающих единые требования к проведению аудита и оказанию сопутствующих услуг, порядку составления и представления заключений и отчетов аудитора, контролю качества аудита, подготовке аудиторов и оценке их квалификации.
Существенность (Materiality) - качественная характеристика информации, ее свойство оказывать влияние на решения пользователя финансовой отчетности. Информация считается существенной, если ее отсутствие или искажение могут повлиять на экономические решения пользователя финансовой отчетности, принятые на основе этой отчетности. Информация может быть существенной в силу характера факта хозяйственной жизни или оценки этого факта. Количественное выражение существенности называется уровнем существенности. Применительно к заключению аудитора существенность означает, что в нем изложены все существенные обстоятельства, обнаруженные при проведении аудита; никакие иные существенные обстоятельства не были обнаружены аудитором при проведении аудита. Заключение аудитора не может и не должно трактоваться клиентом и пользователем финансовой отчетности как гарантия аудитора в том, что не существует иных обстоятельств, оказывающих или способных оказать влияние на финансовую отчетность.
Тщательность должная (Due Care) - принцип аудиторской деятельности, в соответствии с которым аудитор должен принять все необходимые меры для исследования проверяемых фактов и установления достоверности финансовой отчетности. Подразумевает внимательное, усердное, ответственное отношение аудитора к своей работе. Соблюдение этого принципа защищает аудитора от возможного преследования в случае выражения ошибочного мнения.
Процедура проверки контроля (Control Procedures) - аудиторская процедура по проверке системы внутреннего контроля компании. Поскольку часть необходимой уверенности аудитора в отсутствии ошибки в финансовой отчетности обеспечивается системой внутреннего контроля, проверка последней позволяет уменьшить объем необходимых процедур проверки по существу. Позволяет проверить гипотезу о том, что система внутреннего контроля компании эффективно предотвращает и выявляет ошибки в бухгалтерском учете и финансовой отчетности. К процедурам проверки контроля относятся наблюдение и тесты контроля
Процедура проверки по существу (Substantive Procedures) - аудиторская процедура по проверке достоверности статей финансовой отчетности. К процедурам проверки по существу относятся аналитические процедуры и детальные тесты.
Наблюдение (Observation) - процедура, при которой аудитор следит за процессом, совершаемым другим лицом. Проводится с целью проверки статей финансовой отчетности (наблюдение за проведением клиентом инвентаризации, выдачей заработной платы, хранением или отпуском ценностей и др.). Помимо наблюдения за процессом, может заключаться в мониторинге действий руководства компании по созданию и поддержанию системы внутреннего контроля. К такому мониторингу относят изучение аудитором организации контроля в компании, опросы руководства компании о том, какие контрольные процедуры и с какой периодичностью оно использует и прочее.
Тест детальный (Detail Test) - тестирование статей финансовой отчетности путем изучения документов и учетных записей.
Тест сквозной (Walk-through Test) - тестирование ряда документов, связанных с цепочкой обусловивших друг друга операций. Например, калькуляция себестоимости продукции сверяется с ведомостью начисления заработной платы, которая подтверждается нарядами на выполнение работ, сопоставляемыми, в свою очередь, с табелями учета рабочего времени.
Тесты контроля (Test of Control) - тестирование эффективности предотвращения и выявления ошибок системами бухгалтерского учета и внутреннего контроля компании. Не носит обязательного характера. Тестирование контроля предполагает изучение документального подтверждения его существования. Из документов, которые подверглись контролю, делается выборка, устанавливается наличие контрольной процедуры и проверяется ее правильность. Например, при проверке правильности оценки материалов необходимо удостовериться в верности применяемых компанией цен оприходования. Когда одновременно с тестированием проводится наблюдение за контролем, проверка цен может быть заменена наблюдением за тем, как сотрудник делает соответствующие отметки и сверяет счета с договором. Если аудитор решил не опираться на систему контроля по причине его неочевидности или в связи с тем, что тесты контроля заняли бы больше времени, чем тест по существу, то тесты контроля не проводятся.
Тест по существу- то же, что Тест детальный.
Цель аудита (Audit Objective) - внешний аудит финансовой отчетности проводится в интересах внешних пользователей финансовой отчетности, а не для руководства компании; руководство компании выступает исключительно как агент внешних пользователей финансовой отчетности, исполняя их волю. Аудитор самостоятельно (независимо от руководства компании) определяет объем аудита, избирает аудиторский подход; при этом он руководствуется только стандартами аудиторской деятельности, профессиональной этикой, своим опытом и знаниями.