Стандарт качества организации внутреннего аудита в кредитных организациях (одобрен Советом АРБ 21.12.2015)

Одобрен
Советом Ассоциации
российских банков
21 декабря 2015 года
СТАНДАРТ КАЧЕСТВА
ОРГАНИЗАЦИИ ВНУТРЕННЕГО АУДИТА В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ
Общие положения
Стандарт качества организации внутреннего аудита (ВА) в кредитных организациях (далее по тексту - "Стандарт") разработан в соответствии с методикой, установленной для стандартов качества банковских процессов согласно документу Ассоциации российских банков "Стандарты качества банковской деятельности. Основные положения и требования".
Стандарт одновременно представляет собой:
- инструмент для менеджмента кредитной организации, используемый для оценки и самооценки эффективности ВА, а также - инструмент для внешней оценки, в т.ч. для целей надзора;
- инструмент управления операционным риском, присутствующим в каждом виде банковской деятельности;
- инструмент повышения уровня корпоративного управления кредитной организации;
- документ, реализующий требования процессного подхода к организации деятельности ВА.
- совокупность требований, отражающих состояние лучшей банковской практики по организации деятельности ВА.
В основе Стандарта лежит структурная модель, разработанная Ассоциацией российских банков (АРБ) на основе модели зрелости процессов, определенной стандартом COBIT и методологии стандартов качества АРБ. Соответственно, процесс ВА рассматривается как основной бизнес-процесс, имеющий 3 уровня зрелости (каждый последующий уровень зрелости включает в себя характеристики предыдущих уровней):
- Базовый - соответствует требованиям Положения Банка России N 242-П от 16.12.2003 "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее по тексту - "Положение"), дополненным и уточненным в отношении тех практикоориентированных составляющих, которые не в полной мере раскрыты в Положении.
- Развивающийся - учитывает положения Международных профессиональных стандартов ВА Института внутренних аудиторов;
- Передовой - соответствует действующей передовой практике в области ВА (в т.ч. учитывает принципы Базельского комитета по банковскому надзору), включает в себя положения двух предыдущих уровней - базового и развивающегося.
Требования законодательства Российской Федерации соблюдаются на всех трех уровнях зрелости процессов.
Детальное описание организации процесса, приемов, методов и процедур ВА регламентируются с учетом индивидуальных особенностей кредитными организациями самостоятельно.
Эффективность процесса аудита рекомендуется измерять интегральным показателем, с учетом индивидуальных характеристик и глубины декомпозиции процесса на каждом уровне зрелости. Таким образом, реализуется комплексный подход к выбору количественных и качественных характеристик данного процесса в каждой кредитной организации.
Элементы организации процесса
Уровень зрелости процессов
Базовый
Развивающийся
Передовой
1. Продуктовая составляющая
Требования к результатам деятельности (их качественным и количественным характеристикам), клиентам, стратегии развития банка (клиенты - продукты - конкуренты)
1.1. Сфера деятельности ВА.
В сферу деятельности ВА входит осуществление проверок по всем направлениям деятельности организации.
При этом объектом проверки является любое подразделение и служащий кредитной организации.
ВА проводит оценку и способствует совершенствованию процессов корпоративного управления, управления рисками и контроля, используя систематизированный и последовательный подход.
Сфера деятельности СВА включает в себя проверку и оценку эффективности систем и процессов внутреннего контроля, управления рисками и управления всего банка, включая деятельность, переданную на аутсорсинг, а также дочерние организации и внутренние структурные подразделения.
ВА независимым образом оценивает:
- Эффективность систем внутреннего контроля, управления рисками и управления в контексте текущих и потенциальных рисков;
- Достоверность, эффективность и полноту систем управленческой отчетности и процессов (включая актуальность, точность, полноту, доступность, конфиденциальность и всесторонность данных);
- Мониторинг выполнения требований законов и нормативных актов, включая требования надзорных органов;
- Сохранность активов.
ВА осуществляет контроль соблюдения положения о ВА внешними специалистами, выполняющими переданные на аутсорсинг функции.
1.2. Результаты организации ВА в банках.
Оценки, предоставляемые по результатам проводимых проверок:
- эффективности системы внутреннего контроля в целом, выполнения решений органов управления кредитной организации;
- экономической целесообразности и эффективности совершаемых операций и сделок;
- эффективности методологии оценки банковских рисков и процедур управления банковскими рисками;
- надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, с учетом мер, принятых на случай нестандартных и чрезвычайных ситуаций в соответствии с планом действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций;
- и тестирования достоверности, полноты и своевременности бухгалтерского учета и отчетности, а также надежности сбора и представления информации и отчетности;
- применяемых способов обеспечения сохранности имущества кредитной организации;
- процессов и процедур внутреннего контроля;
- деятельности службы внутреннего контроля кредитной организации и службы управления рисками кредитной организации,
- соблюдения законодательства Российской Федерации.
По результатам проводимых проверок ВА предоставляет независимые и объективные гарантии <**> и консультации.
Характер консультационных услуг, услуг по предоставлению гарантий <**> определяется Положением о ВА.
Результатом организации ВА являются советы, рекомендации, предоставляемые ВА и нацеленные на оказание помощи и совершенствование процессов управления рисками, контроля и корпоративного управления, исключающие принятие внутренними аудиторами управленческих решений.
ВА:
- является частью непрекращающегося мониторинга системы внутреннего контроля банка и его внутренней процедуры оценки капитала (в этом качестве ВА содействует высшему руководству и Совету в эффективном и действенном исполнении своих обязанностей);
- участвует в оценке процессов до их непосредственного внедрения с целью выявления рисков на раннем этапе;
- проводит специальные аналитику, проверки или оценки по запросу Правления;
- своевременно адаптируется к изменяющейся внешней среде (рискам) и запросам заинтересованных сторон.
Отчеты по ВА периодически предоставляются органу банковского надзора в рамках реализации права надзорного органа запрашивать у СВА указанные документы.
1.3. Пользователи результатов деятельности ВА.
- Совет,
- Единоличный и коллегиальный исполнительные органы,
- Руководители структурных подразделений кредитной организации, в которых проводились проверки,
- Комитет по аудиту (в случае его наличия в кредитной организации),
- Орган банковского надзора.
- Высшее исполнительное руководство
- Совет, в т.ч. через Комитет по аудиту,
- внутренние и внешние стороны, оказывающие услуги по предоставлению гарантий <**> и консультаций (служба управления рисками, комплаенс-служба, внешние аудиторы).
- Другие заинтересованные стороны.
Осуществляется двустороннее взаимодействие пользователей результатов деятельности ВА и самого ВА.
ВА выполняет координационные функции в отношении всех проверяющих подразделений и проводимых проверок.
СВА анализирует и обобщает все акты проведенных проверок.
1.4. Поддержка со стороны Руководства организации.
В отношении ВА кредитная организация обеспечивает постоянство деятельности, независимость и беспристрастность СВА, профессиональную компетентность ее руководителя и служащих, создает условия для беспрепятственного и эффективного осуществления СВА своих функций, обеспечивает отсутствие конфликта интересов.
(п. 4.5 Положения)
СВА действует под непосредственным контролем Совета.
Руководитель СВА информирует Совет, единоличный и коллегиальный исполнительный орган о всех случаях, которые препятствуют осуществлению СВА своих функций.
Советом принимаются меры, обеспечивающие оперативное выполнение исполнительными органами кредитной организации рекомендаций и замечаний СВА.
Руководитель ВА имеет прямой и свободный доступ к Высшему исполнительному руководству и Совету кредитной организации с целью обсуждения вопросов, связанных с непосредственным осуществлением функционала ВА, в том числе вопросов, касательно независимости ВА, о фактах, препятствующих выполнению аудиторского плана в полном объеме и пр.
Обеспечивается доступ ВА к документации, сотрудникам и материальным активам. Права доступа закрепляются в Положении о внутреннем аудите.
Высшее исполнительное руководство организации активно взаимодействует с ВА по вопросам, относящимся к компетенции ВА, и проводит политику, обеспечивающую соответствующий статус ВА в периметре организации.
Совет совместно с исполнительными органами и подразделением ВА проводит регулярный анализ политики и системы контроля для выявления пробелов и их устранения, а также для идентификации рисков.
СВА имеет возможность обсуждать свои мнения, выявленные факты и сделанные выводы напрямую с Комитетом по аудиту и Советом, тем самым, способствуя осуществлению Советом контроля за деятельностью исполнительных органов.
1.5. Миссия, стратегия ВА.
Банковское законодательство не содержит требований о формулировании миссии и стратегии.
Кредитная организация принимает самостоятельное решение о включении данных направлений во внутренние регламенты.
Миссия внутреннего аудита заключается в оказании необходимого содействия высшим органам руководства.
Миссия внутреннего аудита заключается в оказании необходимого содействия Совету директоров.
Стратегия ВА в банковской группе или банковском холдинге определяется руководителем ВА головной организации.
Миссия и стратегия ВА должны быть определены в соответствии с миссией и стратегией кредитной организации и способствовать достижению конкретных общецелевых показателей.
Стратегия ВА направлена на независимую оценку эффективности и качества систем и процессов внутреннего контроля, управления рисками и управления в бизнес-подразделениях и инфраструктурных подразделениях, а также гарантию <**> адекватности этих систем и процессов.
Стратегия ВА предусматривает его постоянную самооценку и самосовершенствование.
2. Технологическая составляющая (методика работы)
Процессы ВА (планирование и проведение проверок (в т.ч. с применение риск-ориентированных подходов), контроль устранения нарушений/недостатков, применения рекомендаций, методология и т.п.)
2.1. Основные принципы планирования.
Проверки СВА планируются и осуществляются исходя из принятой органами управления кредитной организации методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности кредитной организации.
План работы ВА основывается на формализованной оценке рисков, проводимой по крайней мере 1 раз в год.
Руководитель ВА составляет риск-ориентированный план (определяющий приоритеты ВА в соответствии с целями организации), принимая во внимание концепцию управления рисками, принятую в кредитной организации, включая использование определенных менеджментом уровней приемлемости риска для различных видов деятельности или подразделений организации.
В отсутствие концепции, руководитель ВА применяет собственное суждение о рисках, принимая во внимание предложения высшего исполнительного руководства и Совета.
Используется количественная и формализованная методика оценки рисков.
ВА использует риск-ориентированный подход при разработке своих планов работы и действий.
ВА, подразделение по управлению рисками используют общие принципы управления рисками, а также единые критерии оценки рисков, что позволяет обеспечивать комплексное рассмотрение рисков и подготовку планов ВА.
ВА, при достаточной поддержке со стороны руководства и Комитета по аудиту, активно участвует во встречах и заседаниях руководства, что позволяет ему предлагать новые инициативы и давать комментарии в отношении рисков уже на ранних этапах. Используется количественная и формализованная методика оценки рисков, применяемая на периодической основе.
2.2. Годовое и операционное планирование.
Планы работы СВА разрабатываются службой самостоятельно, утверждаются Советом кредитной организации (могут согласовываться с единоличным и (или) коллегиальным исполнительным органом).
План проведения проверок, осуществляемых СВА, должен включать график осуществления проверок и составляться исходя из принятой органами управления кредитной организации методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности кредитной организации.
График проверок СВА должен учитывать установленную в кредитной организации периодичность проведения проверок по направлениям деятельности подразделений и кредитной организации в целом.
При этом проверка каждого из структурных подразделений кредитной организации или каждого из видов осуществляемых операций и сделок осуществляется не реже одного раза в три года.
При разработке плана выясняются и учитываются ожидания высшего исполнительного руководства, Совета и других заинтересованных сторон.
Планы работы ВА направляются на рассмотрение и утверждение высшему руководству и Совету ежегодно и должны включать основные положения годового плана работы ВА, планы-графики работ, штатное расписание, финансовый бюджет, а также информацию о существенных изменениях планов в течение отчетного периода.
Руководитель ВА должен сообщать о влиянии ограничений в ресурсах на деятельность ВА.
Руководитель СВА при необходимости пересматривает и корректирует план в случае изменений бизнеса организации, ее рисков, операций, программ, систем и контрольных процедур.
План работы ВА - стратегическая концепция, которая соответствует ожиданиям заинтересованных сторон, где указаны основополагающие принципы, которых придерживается служба в своем стремлении обеспечить высокую эффективность работы, который связывает кадровые потребности (подбор и расстановка кадров, повышение их квалификации) со стратегическим планом развития бизнеса.
Деятельность ВА адекватным образом охватывает все актуальные вопросы регулирования деятельности банка в рамках плана аудиторских проверок.
Ежегодный план аудиторских проверок, который может быть частью перспективного плана на несколько лет, разрабатывается руководителем ВА. План основывается на тщательной оценке рисков (включая данные, полученные от исполнительных органов и Совета) и пересматривается не реже одного раза в год (или чаще для осуществления текущей оценки источников значимых рисков в режиме реального времени).
Утверждение Советом плана аудиторских проверок означает выделение соответствующего бюджета для осуществления СВА своей деятельности.
Бюджет должен быть достаточно гибким, чтобы учитывать изменения в плане аудиторских проверок в соответствии с изменениями в профиле рисков банка.
2.3. Детальное планирование аудиторской проверки.
СВА разрабатывает программы проверок каждого направления деятельности кредитной организации, включающие цели проверки, ключевые банковские риски и механизмы обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.
ВА составляется и документируется план выполнения каждого аудиторского задания, включающий цели, объем задания, его сроки и распределение ресурсов.
ВА разрабатывает программы проверок, включающие цели, процедуры ВА в части сбора и анализа информации, описывает риски операции, процессы, а также определяет объем необходимого детального тестирования.
ВА заранее определяются объекты проверки и правила составления выборок.
Руководитель ВА несет общую ответственность за контроль над выполнением задания, которое делается самим ВА или для ВА. Надлежащие свидетельства осуществления контроля документируются и хранятся.
Использование метода анализа данных и его совершенствование дает представление о рисках, помогает понять практическое применение для целей выявления новых тенденций и более оперативного принятия соответствующих мер.
ВА при планировании использует единый подход.
Формирует план проверок в соответствии с рисками объектов аудита и результатами предыдущих проверок, а также ведет базу "лучших программ проверок" для отдельных областей, из которых формируется программа проверки.
Правила составления выборок основываются на статистических данных и расчетных оценках вероятности возникновения ошибок и нарушений.
2.4. Методологические принципы проведения аудиторских проверок.
Основные способы (методы) осуществления проверок:
- финансовая проверка - в целях оценки надежности учета и отчетности;
- проверка соблюдения законодательства Российской Федерации (банковского, о рынке ценных бумаг, по вопросам противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, о налогах и сборах, др.) и иных актов регулирующих и надзорных органов, внутренних документов кредитной организации и установленных ими методик, программ, правил, порядков и процедур, целью которой является оценка качества и соответствия созданных в кредитной организации систем обеспечения соблюдения требований законодательства Российской Федерации и иных актов;
- операционная проверка - в целях оценки качества и соответствия систем, процессов и процедур, анализа организационных структур и их достаточности для выполнения возложенных функций;
- проверка качества управления - в целях оценки качества подходов органов управления, подразделений и служащих кредитной организации к банковским рискам и методов контроля за ними в рамках поставленных целей кредитной организации.
Руководителем ВА разрабатываются политики и процедуры, регулирующие деятельность подразделения ВА, форма и содержание которых зависят от размера и структуры подразделения ВА и сложности выполняемой им работы.
С учетом целей аудиторских заданий (заданий по консультированию) ВА разрабатываются и документируются программы работ, позволяющие достичь целей заданий по консультированию.
Программами определяются процедуры сбора, анализа, оценки и документирования информации в процессе выполнения задания.
Программы (а также любые изменения в программы) должны быть своевременно утверждены.
Цели заданий по консультированию:
- включают рассмотрение процессов корпоративного управления, управления рисками и контроля в оговоренных с клиентом пределах;
- должны соответствовать ценностям, стратегии и целям организации.
ВА проводит анализ деятельности основных подразделений по управлению рисками, контролю за достаточностью капитала и ликвидностью, представлению внешней и внутренней отчетности, выполнению комплаенс-функции, а также финансовых подразделений банка.
ВА осуществляет проверки по следующим направления деятельности (перечень является открытым):
- организация и задачи финансового блока;
- адекватность и точность исходных финансовых данных, а также качество системы финансов для надлежащего отражения и оценки ключевых данных, в том числе финансовых результатов, оценка финансовых инструментов и снижения их стоимости;
- утверждение и применение моделей ценообразования, включая проверку последовательности, актуальности, независимости и точности данных, используемых в этих моделях;
- контроль на местах для предотвращения и выявления нарушений правил осуществления операций;
- контроль бухгалтерского учета, включая осуществление сверки, а также последующий контроль (в том числе, внесение поправок).
Используется постоянный, своевременный и эффективный процесс совершенствования методологии, адекватный деятельности кредитной организации.
Риск неэффективного управления комплаенс-рисками должен быть включен в методологию анализа рисков в СВА, и должна быть принята программа аудита для проверки адекватности и эффективности комплаенс-функции в банке, включая тестирование процедур контроля, соразмерное оценочному уровню риска.
2.5. Порядок назначения руководителя каждой отдельной проверки.
Определяется с учетом принципа независимости, компетентности, отсутствия конфликта интересов.
Руководитель (его заместители) и служащие СВА, ранее занимавшие должности в других структурных подразделениях кредитной организации, не должны участвовать в проверке деятельности и функций, которые осуществлялись ими в течение проверяемого периода и в течение двенадцати месяцев после завершения такой деятельности и осуществления функций.
(п. 4.8.2 Положения)
Определяется с учетом принципа независимости, компетентности, объективности, отсутствия конфликта интересов.
Определяется с учетом принципа независимости, компетентности, отсутствия конфликта интересов, соблюдения положений кодекса по этике банка (при наличии такового) или международного кодекса по этике внутренних аудиторов (например, кодекса Института внутренних аудиторов).
Осуществляется периодическая ротация служащих в рамках СВА там, где это возможно без ущерба для компетентности и профессионализма служащих.
2.6. Контроль за статусом и качеством выполнения рекомендаций.
СВА осуществляет контроль за эффективностью принятых по результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия решений о приемлемости уровня и сочетания выявленных рисков для кредитной организации.
Кредитная организация устанавливает порядок:
контроля (проведения повторных проверок) за принятием мер по устранению выявленных СВА нарушений.
ВА осуществляет мониторинг за эффективностью предпринимаемых мер по результатам проверок, или документирование принятия решений высшим исполнительным руководством о приемлемости уровня и сочетания выявленных рисков для кредитной организации.
Руководитель ВА разрабатывает процесс последующего мониторинга с целью адекватности, эффективности и своевременности действий, предпринятых руководством в отношении рекомендаций, включая сделанные внешними аудиторами и др. сторонами.
Рекомендации ВА считаются исполненными только после предоставления доказательств о "закрытии" риска.
ВА заблаговременно делится мнениями и дает рекомендации в области внутреннего контроля до наступления риска.
Руководящий состав кредитной организации несет персональную ответственность за должное выполнение аудиторских рекомендаций и как следствие закрытие рисков. СВА определен порядок эскалации рекомендаций в случае их просрочки.
Эффективная СВА должна представлять Совету и исполнительным органам независимую оценку качества и эффективности систем внутреннего контроля, управления рисками и управления, обеспечивая таким образом обоснованность организационной структуры Совета и исполнительных органов и защищая их репутацию.
3. Организационная составляющая
Требования к оргструктуре, наличию и распределению между подразделениями функций (видов деятельности), распределению обязанностей и ответственности между менеджментом банка и коллегиальными органами управления.
3.1. Независимость.
Кредитная организация обеспечивает независимость СВА в соответствии с порядком, которым устанавливается, что СВА:
- действует под непосредственным контролем Совета;
- не осуществляет деятельность, подвергаемую проверкам, за исключением случаев предусмотренных Положением;
- по собственной инициативе докладывает Совету о возникающих в своей деятельности вопросах и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу кредитной организации;
- подлежит независимой проверке аудиторской организацией или Советом, если такая проверка предусмотрена уставом кредитной организации.
ВА является независимым, а внутренние аудиторы - объективными при выполнении своих обязанностей.
Руководитель ВА имеет прямой и свободный доступ к высшему исполнительному руководству и Совету.
Внутренние аудиторы не подчиняют свое мнение по вопросам аудита мнению других лиц, объективны при выполнении своих обязанностей.
Угрозы независимости контролируются на уровнях индивидуального аудитора, аудиторского задания, функциональном и организационном уровнях.
В случае если независимость или объективность подвергаются или воспринимаются как подвергающиеся отрицательному воздействию, информация об этом должна быть раскрыта руководителем ВА высшему исполнительному руководству или Совету в зависимости от характера данного воздействия.
Метод раскрытия информации зависит от характера отрицательного воздействия.
ВА имеет возможность проводить внезапные проверки.
ВА является независимым, а независимые, компетентные и квалифицированные внутренние аудиторы являются важным элементом системы надлежащего корпоративного управления.
Руководство организации понимает, ценит независимость ВА и всецело поощряет и поддерживает это.
ВА проводится периодическая самооценка на предмет соблюдения принципов независимости.
Совет должен следить за тем, подразделение ВА выполняло свои обязанности независимо и эффективно, а также хорошо понимать, что независимые внутренние аудиторы имеют жизненно важное значение для корпоративного управления и реализации поставленных целей.
Комитет по аудиту обеспечивает независимое исполнение СВА своих обязанностей.
Руководитель СВА должен обладать необходимыми лидерскими качествами, а также профессиональными навыками, чтобы обеспечивать независимость и объективность деятельности СВА.
Независимость СВА не препятствует запросу исполнительными органами у СВА ее мнения по вопросам, связанным с управлением рисками и внутренним контролем.
3.2. Организационная структура.
СВА действует на постоянной основе.
Кредитной организацией устанавливается численный состав, структуру СВА в соответствии с характером и масштабом осуществляемых операций, уровнем и сочетанием принимаемых рисков.
СВА состоит из служащих, входящих в штат кредитной организации. Не допускается передача функций СВА сторонней организации (за исключением случаев, предусмотренных законодательством).
Руководитель ВА функционально подотчетен Совету, а административно - руководителю организации.
Руководитель ВА подотчетен органу управления такого уровня, который позволяет подразделению ВА выполнять свои обязанности.
Руководитель ВА подтверждает Совету факт организационной независимости ВА по крайней мере один раз в год.
Структура ВА определяется исходя из требования о том, что исполнительные органы и Совет предпринимают все меры для обеспечения постоянства работы СВА, отвечающей масштабам деятельности банка, характеру его операций и его организационной структуре.
ВА проводится, как правило, внутренними аудиторами банка, являющимися его штатными сотрудниками. При этом в случае частичного или даже полного аутсорсинга функций СВА конечную ответственность за осуществление ВА в банке несет его Совет директоров.
В банке внедрена матричная организационная структура, в которой кадровые ресурсы выстроены по продуктам и бизнес-процессам, что способствует развитию взаимоотношений с функциональными подразделениями, занимающимися определенными продуктами и выявлению ключевых рисков.
В крупных, а также международных банках в организационную структуру входит Комитет по аудиту, который учреждается Советом.
Учреждение Комитета по аудиту в отношении иных банков является рекомендательным.
В случае отсутствия в банке Комитета по аудиту обязанности Комитета по аудиту выполняет Совет.
4. Управленческая составляющая
Требования к управленческим (регламентирующим действия) документам (политики, планы, инструкции); Требования к организации исполнения функций менеджмента и взаимодействий, в т.ч. к организации и осуществлению ВА, управлению рисками, осуществлению контроля хода реализации процессов (идентификации контрольных точек, способов, периодичности, субъектов контроля, фиксированию инцидентов и измерению отклонений) и т.п.
4.1. Регламентация целей и задач.
В кредитной организации существует внутренний документ, регулирующий деятельность СВА (Положение о СВА), который определяет:
- цели и сферу деятельности СВА,
- принципы и методы деятельности СВА.
Цели и задачи ВА определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем Определению ВА, Кодексу этики и Стандартам.
Цели, задачи, полномочия и ответственность ВА определены (прописаны) во внутреннем документе организации, связаны с миссией и стратегией.
Отношения между бизнес-подразделениями, инфраструктурными подразделениями и СВА представлены в виде модели трех линий защиты (см. сноска <*>).
Совет и исполнительные органы могут ввести порядок представления внутренних аудиторских отчетов Совету и обеспечить внутренним аудиторам прямой выход на Совет или Комитет по аудиту.
А также требовать от исполнительных органов своевременного и эффективного реагирования на проблемы, выявленные ВА; привлекать внутренних аудиторов к оценке эффективности службы управления рисками и комплаенс-службы, включая оценку качества отчетности о рисках, представляемой Совету и исполнительным органам, а также к оценке эффективности других ключевых контрольных служб.
Совет и исполнительные органы головной организации несут ответственность за создание адекватной и эффективной СВА в банковской группе или банковском холдинге, а также за соответствие политики и инструментария ВА структуре, особенностям бизнеса и рискам всех участников банковской группы или банковского холдинга.
4.2. Полномочия и ответственность (роль и обязанности).
Полномочия и ответственность ВА определяются во внутреннем документе кредитной организации, который регулирует деятельность СВА (Положение о СВА).
Положение о СВА утверждается Советом в соответствии со статьями 48 и 65 Федерального закона "Об акционерных обществах" и статьей 32 Федерального закона "Об обществах с ограниченной ответственностью"
Руководитель СВА вправе взаимодействовать с соответствующими руководителями кредитной организации (ее подразделений) для оперативного решения вопросов.
Руководитель и служащие СВА имеют право:
- входить в помещения проверяемых подразделений, а также в помещения, используемые для хранения документов (архивы), наличных денег и ценностей (денежные хранилища), обработки данных (компьютерные залы) и хранения данных на машинных носителях, с соблюдением процедур доступа, определенных внутренними документами кредитной организации;
- получать документы и копии с документов и иной информации, а также любых сведений, имеющихся в информационных системах кредитной организации, необходимых для осуществления контроля, с соблюдением требований законодательства Российской Федерации и требований кредитной организации по работе со сведениями ограниченного распространения;
- привлекать при осуществлении проверок служащих кредитной организации и требовать от них обеспечения доступа к документам, иной информации, необходимой для проведения проверок.
(п. 4.7.2, Приложение 3 к Положению)
Полномочия и ответственность ВА определены в Положении о СВА, который соответствует Определению ВА, Кодексу этики и Стандартам.
В Положении определяются статус СВА в организации, включая характер функциональной подотчетности руководителя СВА Совету; объем и содержание деятельности ВА, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий.
Руководитель ВА поддерживает отношения и напрямую взаимодействует с Советом.
Руководитель ВА на регулярной основе рассматривает вопрос о необходимости внесения изменений в действующее Положение и представляет документ на одобрение Высшему исполнительному руководству и Совету. Решение об окончательном одобрении Положения о внутреннем аудите принимает Совет.
Полномочия и ответственность ВА определены (прописаны) во внутреннем документе организации, а также поддерживаются руководством банка.
СВА банка имеет высокий статус и необходимые полномочия. Полномочия ВА должны обеспечивать его независимость от деятельности, подвергаемой проверке и, соответственно, - объективное выполнение своих обязанностей СВА.
Полномочия СВА должны распространяться на все направления деятельности (включая переданные на аутсорсинг) и на все подразделения банка.
Полномочия ВА определяются Положением о СВА.
СВА информирует Совет и исполнительные органы о состоянии системы внутреннего контроля и, тем самым, способствует снижению вероятности возникновения убытков и потери банком деловой репутации.
ВА выполняет роль доверенного консультанта высшего руководства и др. органов организации на этапе выдвижения инициатив, а также роль партнера по бизнесу в ходе выполнения проектов, который предлагает компетентные и своевременные рекомендации.
KPI руководителей детерминируется результатами оценки качества рекомендаций ВА.
В функции учрежденного Комитета по аудиту входят:
- контроль работы СВА,
- анализ и утверждение плана аудиторских проверок, направлений деятельности и бюджета СВА;
- анализ ключевых аудиторских отчетов и контроль своевременного принятия исполнительными органами банка мер по устранению недостатков в системе контроля, обеспечению соответствия требованиям законодательства и нормативных актов,
- анализ реакций на иные факты, выявленные СВА.
4.3. Оценка деятельности.
СВА подлежит независимой проверке аудиторской организацией или Советом, если такая проверка предусмотрена уставом кредитной организации. согласно п. 4.7.1 (абзац 5) Положения 242-П.
Банк России проводит оценку системы внутреннего контроля на основании:
Справки о внутреннем контроле в кредитной организации; письменных уведомлений о существенных изменениях в системе внутреннего контроля, направляемых кредитной организацией в Банк России; письменных уведомлений, содержащих информацию о назначении (освобождении от занимаемой должности) лиц, исполняющих функции руководителя СВА, СВК, о соответствии указанных лиц квалификационным требованиям и требованиям к деловой репутации.
Оценка качества системы внутреннего контроля кредитной организации проводится также на основании: оценки проведения СВА проверок деятельности в совокупности каждого из структурных подразделений или каждого из видов осуществляемых операций и сделок не реже одного раза в три года.
Оценка эффективности деятельности ВА проводится при помощи:
- текущего мониторинга деятельности ВА:
- проведения внутренней оценки, которая включает периодическую самооценку или оценку деятельности внутренних аудиторов, проводимой другими сотрудниками внутри кредитной организации;
- проведения внешних оценок, которые осуществляются не реже 1 раза в 5 лет квалифицированным и независимым внешним оценщиком или группой оценщиков, не являющихся сотрудниками кредитной организации.
Внешняя оценка может проводиться в форме самооценки с внешним подтверждением.
Внутренняя проверка (оценка) деятельности ВА проводится:
- Комитетом по аудиту, высшим руководством организации;
- руководством ВА и коллегами (самооценка).
Внешняя проверка (оценка) деятельности проводится:
- органом банковского надзора, независимой внешней организацией (аудиторской компанией),
- уполномоченным сообществом (СРО, АРБ),
- или независимой комиссией из числа членов независимого сообщества.
4.4. Контроль качества.
Мониторинг и анализ эффективности деятельности СВА осуществляется Советом или Комитетом по аудиту, если такой комитет в кредитной организации образован.
Руководитель ВА разрабатывает программу гарантии и повышения качества, которая охватывает все виды деятельности ВА и подтверждает качество деятельности ВА, который соответствует Определению ВА, Кодексу этики и Стандартам.
Программа гарантии и повышения качества разрабатывается в целях проведения:
- оценки соответствия деятельности ВА Определению ВА и Стандартам и оценку соответствия деятельности внутренних аудиторов Кодексу этики.
- оценку эффективности и результативности ВА и выявление возможностей для совершенствования деятельности.
Программа гарантии и повышения качества включает как внутренние, так и внешние оценки.
Комитет по аудиту и сама СВА разрабатывают и применяют собственные методы оценки качества ВА.
В банке разработана программа гарантий и повышения качества ВА, которая включает внутренние оценки (непрерывный мониторинг и двойной контроль; периодические самооценки), так и внешние оценки.
Программа контроля качества предусматривает оценку эффективности и результативности ВА и выявление возможностей для совершенствования деятельности.
Предложения по итогам действия Программы контроля качества регулярно рассматриваются и внедряются.
Совет каждого банка, входящего в банковскую группу или банковский холдинг, следит за тем, чтобы ВА в банке осуществлялся эффективно.
Качество ВА банка независимо оценивается органом банковского надзора.
5. Информационная/(Коммуникация и отчетность)
Требования к составу, качеству, источникам, способам обработки и хранения информации, требования к организации и управлению информационными потоками
5.1. Коммуникация.
Отчеты и предложения по результатам проверок представляются СВА совету директоров (наблюдательному совету), единоличному (его заместителям) и (или) коллегиальному исполнительному органу, руководителям проверяемых структурных подразделений кредитной организации (филиала).
Если по мнению руководителя ВА уровень риска, принятый руководством, является неприемлемым для Банка или принятые меры контроля неадекватны уровню риска, то руководитель ВА должен проинформировать Совет.
Руководитель ВА доводит результаты задания до сведения сторон, которые могут обеспечить их должное рассмотрение.
Если руководитель ВА приходит к выводу о том, что уровень риска, принятого менеджментом, не может быть приемлемым для организации, руководитель ВА должен обсудить этот вопрос с высшим исполнительным руководством. Если руководитель ВА приходит к выводу, что проблема по прежнему осталась нерешенной, руководитель ВА должен проинформировать Совет по данному вопросу.
Помимо аудиторского отчета, внутренними аудиторами проводятся заключительные встречи и устные обсуждения результатов проверки с руководством кредитной организации.
В целях обеспечения надлежащего охвата и минимизации двойной работы руководителю ВА следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий <**> и консультаций.
Руководитель ВА в целях обеспечения надлежащего охвата и минимизации двойной работы обменивается информацией и координирует свою деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий <**> адекватности систем и процессов, консультаций.
Неисполнительные директора должны иметь право регулярно встречаться с руководителями СВА без участия членов исполнительных органов. Это позволит Совету осуществлять контроль за деятельностью исполнительных органов по реализации политики, а также обеспечить соответствие бизнес-стратегии кредитной организации и уровня принимаемых рисков утвержденным параметрам.
Представители органа банковского надзора регулярно встречаются с сотрудниками СВА в целях обсуждения с ними результатов анализа рисков, выявленных фактов, рекомендаций, а также планов аудиторских проверок.
5.2. Взаимодействие внутри департамента/отдела/подразделения.
Порядок взаимодействий определяется положениями о департаментах/отделах/подразделениях, должностными инструкциями сотрудников, а также внутренними документами, определяющими порядок проведения проверок.
Определяется положениями о департаментах/отделах/подразделениях, должностными инструкциями сотрудников, а также правилами взаимоотношений между сотрудниками в соответствии с кодексами, соглашениями по профессиональной этике, к которым кредитная организация присоединилась и (или) которые разработаны самой кредитной организацией.
Бизнес-процесс взаимодействия выстроен согласно этическим принципам и нормам корпоративного поведения, обеспечивает оптимальный уровень исполнения функций, с учетом периодической ротации служащих в рамках СВА там, где это возможно без ущерба для компетентности и профессионализма.
6. Программно-техническая
Требования к средствам обработки, доставки, хранения управленческой информации (программному обеспечению и техническим средствам)
6.1. Технологии. Хранение данных и принципы конфиденциальности.
- в целях проведения проверки сотрудники СВА должны быть обеспечены программно-техническими средствами с учетом характера и масштаба осуществляемых операций, уровнем и сочетанием принимаемых рисков;
- внутренние аудиторы уважительно относятся к праву собственности на информацию и не разглашают информацию без соответствующих полномочий;
- вся информация, имеющая отношение к заключениям и результатам проверки, должна архивироваться и храниться установленный период времени.
Руководитель ВА обеспечивает наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.
ВА имеет техническое программное обеспечение, обеспечивающее работу с соответствующим программными продуктами с учетом мер безопасности по доступу и хранению информации.
ВА использует специализированные но стандартные программно-технические средства;
- хранение документов по аудиторской проверке осуществляется систематизированно как в бумажном, так и в электронном виде. Права доступа сотрудников кредитной организации к материалам аудита ограничены;
- внутренние документы классифицируются с соблюдением установленной в кредитной организации политикой конфиденциальности.
Руководитель ВА разрабатывает соответствующие внутренним организационно-распорядительным документам организации и нормам законодательства:
- правила хранения документов, относящихся к заданию (независимо от формы носителя информации);
- политику получения, хранения и передачи внутренним и внешним сторонам документов, относящихся к аудиторскому заданию по консультированию.
Исполнительные органы банка предоставляют руководителю СВА в полном объеме необходимые финансовые и иные ресурсы для выполнения службой своих обязанностей в соответствии с годовым планом аудиторских проверок, задачами и бюджетом, утвержденным Комитетом по аудиту.
Осуществляется эффективное использование технологий, аудиторского программного обеспечения и современных систем анализа данных. Внутренние аудиторы должны быть уверенными пользователями аналитических инструментов постоянно, повышая свою квалификацию в этой области.
Для контроля СВА используется автоматизированная программа, позволяющая в частности высылать напоминания о рекомендациях всем сторонам.
При планировании и бюджетировании должно предусматриваться выделение СВА ресурсов, обеспечивающих доступ к автоматизированным информационным системам и внутренним информационным потокам. Программно-технические средства адаптируются под задачи СВА.
Внутренние аудиторы сохраняют конфиденциальность информации, получаемой ими в ходе выполнения служебных обязанностей. Они не могут использовать эту информацию в личных или неблаговидных целях и должны принимать все возможные меры для обеспечения ее сохранности. Принципы конфиденциальности отражены в кодексе по этике.
7. Кадровая
Требования к персоналу - участникам процесса (определение ролей), обучению и мотивации этих сотрудников
7.1. Планирование трудовых ресурсов.
СВА состоит из служащих, входящих в штат кредитной организации. Кредитная организация:
- устанавливает численный состав, структуру СВА в соответствии с характером и масштабом осуществляемых операций, уровнем и сочетанием принимаемых рисков;
- обеспечивает профессиональную компетентность руководителя и служащих СВА.
Руководитель СВА должен соответствовать установленным Банком России квалификационным требованиям и требованиям к деловой репутации.
Руководитель ВА определяет объем ресурсов и сроки, необходимые для достижения целей аудиторского задания, учитывая нормы Стандартов, согласно которым внутренние аудиторы должны обладать достаточными знаниями и профессиональными навыками, необходимыми для выполнения своих обязанностей.
Для эффективного осуществления своей деятельности и должного обеспечения СВА ресурсами, в организации устанавливается соотношение количества внутренних аудиторов к общему количеству сотрудников Банка.
ВА:
- эффективно управляет своим кадровым потенциалом;
- формирует команду специалистов, обладающих разнообразными профессиональными навыками, увязанными с программой трансформации бизнеса, а также достаточным международным опытом.
При планировании и бюджетировании должно предусматриваться выделение СВА достаточных (как по качеству, так и по количеству) кадровых ресурсов, обеспечивающих возможность проводить проверку
Сотрудники СВА должны быть компетентными, следовать принципу осторожности, избегать возникновения конфликта интересов и соблюдать профессиональную этику (кодекс, правила).
Внутренние аудиторы выполняют требования кодекса по этике банка (при наличии такового) или международного кодекса по этике внутренних аудиторов (например, кодекса Института внутренних аудиторов).
В кодексе по этике отражены, по крайней мере, такие принципы, как объективность, компетентность, конфиденциальность и добросовестность.
Внутренние аудиторы, набранные из числа сотрудников банка, не допускаются к проведению аудита подразделений, в которых они ранее работали, до истечения определенного периода "охлаждения". Система вознаграждений организована таким образом, что она не дает повода внутренним аудиторам действовать вразрез с целями и задачами СВА.
7.2. Профессиональное развитие, обучение. Управление знаниями.
Профессиональная подготовка (переподготовка) руководителя и служащих СВА осуществляется на регулярной основе.
(п. 4.9 Положения)
Сотрудники СВА должны обладать достаточными знаниями о банковской деятельности, методах внутреннего контроля и сбора информации, ее анализа и оценки для выполнения служебных обязанностей.
Внутренние аудиторы совершенствуют свои знания, навыки и другие компетенции путем непрерывного профессионального развития, а также ознакомления с последними новостями в области стандартов, процедур и техник ВА.
Руководитель ВА обеспечивает наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.
В целях получения внутренними аудиторами нового опыта и возможности профессионального развития, руководитель ВА дает аудиторские задания тем сотрудникам ВА, которые пока не обладают всеми необходимыми навыками и опытом для успешного выполнения этого задания.
ВА разрабатывает план по формированию оптимального набора профессиональных навыков, необходимых для того, чтобы ВА мог развиваться вместе с инициативами бизнеса.
План проверок ВА взаимосвязан с планом по обучению аудиторов для подготовки сотрудников к предстоящим направлениям проверок.
В СВА разработана матрица компетенций, которая поддерживается специально разработанным индивидуальным планом развития и обучения для каждого сотрудника СВА.
Сотрудники СВА регулярно проходят процедуру оценки. Внедрена концепция карьерных комитетов, на которых принимаются коллегиальные решения по кадровым вопросам. Совет инициирует установку, что компетентные и квалифицированные внутренние аудиторы имеют жизненно важное значение для корпоративного управления и реализации поставленных целей.
Для эффективного осуществления ВА важное значение имеет уровень профессиональной компетентности внутренних аудиторов, как всех вместе, так и каждого в отдельности, их знания и опыт.
ВА с целью формирования у сотрудников необходимого понимания бизнеса развивает у них навыки устной и письменной коммуникации, презентаций, а также лидерские качества. Сотрудники ВА привлекаются к выполнению сложных заданий, им помогают понять, насколько важны результаты их работы для бизнеса, а также обучает их тому, как добиться успеха в работе и жизни.
Руководитель СВА обеспечивает передачу опыта и знаний от внешних специалистов к внутренним аудиторам, что может быть достижимо путем привлечения последних к работе внешних специалистов.
8. Имущественно-техническая составляющая
Требования к количественным и качественным характеристикам используемого оборудования, техники, транспорта, зданий и сооружений и т.п.
8.1. Материально-техническая база, позволяющая реализовывать основные функции.
Материально-техническая обеспеченность СВА устанавливается кредитной организацией в соответствии с характером и масштабом осуществляемых операций, уровнем регуляторного риска, принимаемого кредитной организацией.
Руководитель ВА обеспечивает наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.
Материально-техническая база СВА обновляется на периодической основе и позволяет осуществлять функции в соответствии с характером и изменениями банковской деятельности, учитывая специфику СВА по отдельным направлениям.
Исполнительные органы банка предоставляют руководителю СВА в полном объеме необходимые финансовые и иные ресурсы для выполнения службой своих обязанностей в соответствии с годовым планом аудиторских проверок, задачами и бюджетом, утвержденным Комитетом по аудиту.
При планировании и бюджетировании должны предусматриваться: - выделение СВА ресурсов; - возможность разработки необходимых систем. Техническое оборудование должно обеспечивать полноценное выполнение функций ВА. Организация материального обеспечения основывается на задачах и планах работы ВА.
9. Информационная составляющая
Раскрытие информации о процессе и его результатах, обеспечение прозрачности процесса для клиентов и других заинтересованных сторон
9.1. Информация о системе внутреннего контроля для клиентов банка и других внешних пользователей (в том числе Internet-сайт банка).
Сведения предоставляются Органу банковского надзора (запрашиваются органом банковского надзора).
Информация для иных пользователей раскрывается только по указанию руководства.
Периодичность актуализации сведений не регламентирована.
Внутренние аудиторы раскрывают в своих отчетах, в соответствии с какими профессиональными стандартами ВА выполнены задания.
Информация о состоянии системы внутреннего контроля доводится ВА до органа банковского надзора.
Все заинтересованные лица банка, а в некоторых случаях (например, если ценные бумаги банка обращаются на организованном рынке) - и внешние пользователи имеют доступ к положению о СВА.
Пользователи информируются в соответствии с отраслевыми стандартами раскрытия информации о результатах ВА, о методах и обо всех существенных изменениях в системе внутреннего контроля.
Раскрывается информация о результатах самооценки банка по выполнению настоящего Стандарта.
--------------------------------
<*> Управленческая составляющая (п. 4.1 "Передовой уровень").
Первая линия защиты - бизнес-подразделения. Они принимают риск в пределах установленных лимитов и отвечают за идентификацию, оценку и контроль за уровнем риска по направлениям своей деятельности.
Вторая линия защиты - инфраструктурные подразделения (служба управления рисками, комплаенс-служба, юридическое, кадровое, финансовое, операционное и технологическое подразделения). Каждое из этих подразделений в тесном сотрудничестве с бизнес-подразделениями контролирует адекватность деятельности бизнес-подразделений по идентификации и управлению рисками. Инфраструктурные подразделения помогают определять стратегию, реализовывать банковскую политику и процедуры, собирать информацию для создания целостной картины рисков банка.
Третья линия защиты - СВА, которая независимо оценивает эффективность процессов, происходящих в первой и второй линиях защиты, и гарантирует эффективность этих процессов.
<**> Понятие "гарантии" принимается в терминологии первоисточника документов Института внутренних аудиторов.
Принятые сокращения и уточнения:
ВА - внутренний аудит,
СВА - Служба внутреннего аудита,
Совет - Совет директоров или Наблюдательный совет в зависимости от принятой практики в каждой организации.

Еще документы:

(утв. Банком России, Протокол от 27.07.2017 N КФНП-26)
(утв. протоколом заседания проектного комитета от 12.09.2017 N 61(11)) (вместе с "Методикой расчета показателя приоритетного проекта "Внедрение риск-ориентированного подхода при осуществлении контрольно-надзорной деятельности": "В отношении 10% подконтрольных субъектов увеличилась периодичность проведения плановых проверок или которые были освобождены от проведения плановых проверок", "Планом мероприятий ("дорожной картой") по актуализации, оптимизации и отмене обязательных требований в сфере гражданской авиации", "Планом мероприятий ("дорожной картой") по актуализации, оптимизации и отмене обязательных требований в сфере торговли")