Практичний семінар на тему:...

Практичний семінар на тему: “Зовнішній аудит”Національний банк України/GIZ

Вернер Елерс, консультант GIZ

Сутність діяльності з внутрішнього аудиту

- У чому додаткові переваги внутрішнього аудиту

- Як визначається стратегія центробанку?

- Внутрішній аудит: чинник змін, чи їх носій?

- Сучасні дискусії щодо ролі внутрішнього аудиту (зокрема,

щодо врядування та управління ризиками підприємства - УРП−

процес)

- Інтерфейс між внутрішнім аудитом й управлінням ризиками

- Організація управління ризиками та їх контролю

Ehlers, Workshop "Internal Auditing" GIZ/NBU, November 2015

Зовнішні умови

У чому полягають стандарти та кращі практики?

− IIA (IPPF, GAIT, GTAG), ISACA, ITGI (COBIT) IFAC (ISAs, ISAEs, ISRSs, ISQCs), AICPA, PCAOB, COSO, CoCo,, ValIT, CICA, GAO, ISO, ITIL, IMF, NIST, OECD, Basel , MaRisk і т. д., і т. п.

− Загальні проблеми:

− розбіжності у правовому полі та культурному середовищі

− - відмінності організацій за метою діяльності, розміром та структурою

− - мовні проблеми

„IIA не є органом, що встановлює міжнародні стандарти й уособлює

усю мудрість аудиторської справи“.

Так? Чи не так?


Мережі належної практики

−Мета використання мереж належної практики

• Опис стандартних способів та видів діяльності, що можуть бути

використані у різних організаціях. Організація процесів відповідно до

належних практик покликана максимально збільшити переваги, набуті у

конкретній сфері

−Застосування мереж належної практики для цілей аудиту може допомогти

у…

• … плануванні аудиту та визначенні недоліків програми роботи

• … оцінці політики та практики, застосовуваних на об'єкті аудиту

• … визначенні аудитора як еталону

• … створенні підґрунтя для обговорення з об'єктом аудиту


Обов'язкові

Необов'язкові, аледуже рекомендовані

Авторитетні=

Сутність діяльності з внутрішнього аудиту:

основа для лекції з Основних рекомендацій IIA


Запровадження IIA оновленої системи рекомендацій

Посилена IPPF деталізує визначення мети та

Основні принципи для фахівців-практиків

Серед найбільш важливих новацій у IPPF - запровадження Мети

внутрішнього аудиту:

“Посилювати та захищати цінності організації через забезпечення

заснованих на ризиках та об'єктивних заходів контролю, дорадчої

допомоги та гарантій”.

Місія Внутрішнього Аудиту

„Покращувати та захищати цінність організації через надання ризик-

орієнтовних та об’єктивних гарантій, порад та проникливого розуміння її

суті.“

Та деталізація 10 Основних принципів професійного здійснення внутрішнього

аудитуСеред інших вдосконалень IPPF:

•Переведення “Практичних рекомендацій” у більш комплексний блок “Настанов щодо

впровадження”; та

•Групування практичних настанов та глобальних настанов з технології аудиту (GTAGs), у

“Додаткові настанови”.

https://na.theiia.org/standards-guidance/Pages/Mission-of-Internal-Audit.aspx

https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/Pages/Practice-Advisories.aspx

https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Practice-Guides.aspx


Запровадження IIA оновленої системи рекомендацій

Посилена IPPF деталізує визначення мети та

Основні принципи для фахівців-практиків


Основні принципи IPPF для фахівців-практиків

1. Демонстрація цілісності.

2. Демонстрація компетентності й належної професійної

допомоги.

3. Об'єктивність, вільність від неналежного втручання

(незалежність).

4. Узгодження зі стратегіями, цілями діяльності та ризиками

організації.

5. Належне позиціонування й відповідне ресурсне

забезпечення.

6. Демонстрація якості та постійного вдосконалення.

7. Ефективність комунікації.

8. Забезпечення гарантій на основі ризиків.

9. Поглиблене розуміння, активність, орієнтованість на

майбутнє.

10. Сприяння розвитку організації.


Основні принципи IPPF для фахівців-практиків

Основні принципи професійної практики внутрішнього аудиту:

1. Демонструвати цілісність.

2. Демонструвати компетентність та належну професійну старанність.

3. Бути об’єктивним і вільним від надмірного впливу (незалежним).

4. Дотримуватись стратегій, цілей та ризиків організації.

5. Мати коректне підпорядкування та адекватні ресурси.

6. Демонструвати якісне та безперервне вдосконалення.

7. Взаємодіяти ефективно.

8. Надавати ризик-орієнтовну впевненість.

9. бути проникливим, проактивним, та орієнтованим на майбутнє.

10.Сприяти вдосконаленню організації

Сутність діяльності з внутрішнього аудиту

Визначення внутрішнього аудиту:

- незалежність, об'єктивність

- забезпечення гарантій та консультативної допомоги

- розроблений для створення додаткових переваг, та

- поліпшення діяльності організації.

Допомагає організації досягати цілей діяльності завдяки:

- запровадженню систематизованого, дисциплінованого підходу до:

- оцінки та підвищення ефективності:

- управління ризиками

- контролю; та

- процесами врядування


Визначення внутрішнього аудиту


Внутрішній аудит – це незалежна, об'єктивна діяльність

з надання впевненості та консультаційних послуг, що

має приносити користь організації та покращувати її

діяльність. Внутрішній аудит допомагає організації

досягати поставлених цілей за допомогою

системного,упорядкованого підходу до оцінки і

підвищення ефективності процесів управління

ризиками, контролю, і корпоративного управління.

Що таке “додаткові переваги”? Зміна поняття


Додаткові переваги

Переваги забезпечуються за рахунок покращення можливостей досягненя

цілей діяльності організації, визначення варіантів покращення діяльності

та/чи зменшення залежності від ризиків завдяки наданню послуг

гарантування та консультування.

Діяльність з внутрішнього аудиту створює для організації (та її основних

зацікавлених осіб) додаткові переваги через забезпечення об'єктивних та

відповідних гарантій та внесок у забезпечення дієвості та ефективності

урядування, управління ризиками та процесів контролю.

Результати залежності: Так: 86.2%, Ні: 11.0%, Не знаю: 2.8%

Рішення ради зі стандартизації: змінити рівень залежності11

Урядування (2110)

„Заходи внутрішнього аудиту повинні забезпечувати оцінку та надання

відповідних рекомендацій щодо покращення процесу урядування для

досягнення наступних цілей:

- Поширення відповідних правил етики та цінностей всередині організації

- Забезпечення дієвого управління ефективністю діяльності організації та

підзвітності

- Повідомлення відповідних структур організації про ризики та заходи

контролю

- Координації діяльності та повідомлення інформації раді, зовнішнім та

внутрішнім аудиторам та керівництву“.


Новації в урядуванні


УрядуванняКодекс етики та забезпечення відповідності як складові процесу врядування

Кодекс етики має більшість центробанків

Чимало центробанків нещодавно посилили свої зобов'язання щодо дотримання етичних цінностей поза межі звичайної відповідності законодавчим вимогам

Відповідальний за забезпечення відповідності політиці корпоративного управління у Бундесбанку: нагляд за забезпеченням відповідності правилам корпоративного управління, які стосуються Ради директорів

Правила поведінки Наглядової ради ЄЦБ

Правила поведінки стосовно особистих операцій, здійснюваних працівниками

Дорадча рада з питань етики в Департаменті аудиту

Етичні цінності


В ході опитування, проведеного серед 70 керівників

аудиторських служб під час круглого столу в Центрі

аудиту 17 березня, 32% опитаних визнали, що

“виявляли чи були свідками неетичної поведінки”

під час виконання функцій внутрішнього аудиту.

(Річард Чемберс, Президент та керівник IIA,

1 квітня 2013 р.)

Управління ризиками (2120)

„Діяльність з внутрішнього аудиту повинна оцінювати ефективність та

сприяти покращенню процесів управління ризиками“


Тлумачення:

Визначення ефективності процесів управління ризиками є судженням, що

випливає з оцінки внутрішнім аудитором, наскільки:

• Цілі діяльності організації підтримують та узгоджуються з метою її

існування;

• Визначаються та оцінюються значні ризики;

• Відповідними є вибрані способи реагування ризики з точки зору

співвіднесення ризиків з рівнем готовності організації брати на себе

ризики; та

• Актуальною є інформація про ризики з точки зору своєчасності її збору

та повідомлення всередині організації з тим, аби працівники, керівники та

рада могли виконувати свої обов'язки.

Діяльність з внутрішнього аудиту може збирати інформацію для обґрунтування

таких оцінок під час аудиторських перевірок. Результати перевірок під час їх

спільного розгляду надають розуміння процесів управління ризиками в організації

та їх ефективності.

Управління ризиками(2120)


Основні рекомендації ЄБА щодо внутрішнього управління (2011):

- Корпоративна організаційна структура

- Орган управління

- Управління ризиками

- Культура поводження з ризиками

- Узгодження винагороди з профілем ризиків

- Рамкові засади управління ризиками

- Нові продукти

- Внутрішній контроль

- Рамкові засади внутрішнього контролю

- Функція забезпечення відповідності

- Функція внутрішнього аудиту

- Функція контролю ризиків (RCF)

- Роль у стратегії та рішення

- Роль у операціях з пов'язаними структурами

- Роль у складності юридичної структури

- Роль у істотних змінах

- Роль у вимірюванні та оцінці

- Роль у моніторингу

-Роль у непогодженій схильності до ризиків

-Головний директор по ризиках

Чітке розмежування між:

- Управлінням ризиками

та

- Контролем ризиків

Зміни, що набули чинностіз 1 січня 2013 р. (2120.A1)

Діяльність з внутрішнього аудиту повинна оцінювати схильність до ризиків

систем управління, операцій та інформаційних систем організації з точки

зору:

- досягнення стратегічних цілей організації

- достовірності та повноти фінансової та операційної інформації

- ефективності та дієвості операцій та програм

- збереження активів; та

- забезпечення відповідності вимогам законодавства, нормативних актів, політик,

процедур і договорів


Інтегроване управління ризиками уцентробанках?

Звіти центробанків про управління ризиками на рівні підприємства (ERM):

Деякі центробанки повідомили, що мають ERM (з різними варіантами тлумачень)

Багато центробанків повідомили про початок розробки ERM чи про намір це зробити, але деякі з них зазначили наявність значних проблем

Майже всі центробанки заявили про існування офіційної системи управління ризиками(багато з них прийняли підхід на основі самооцінки контролю)

Усі мають систему управління фінансовими ризиками (контроль ризиків)

Більшість мають систему управління ІТ-ризиками

Дехто з них має загальнобанкову систему управління операційними ризиками

Але інтегроване?- зростаючий тиск з боку зовнішніх аудиторів?

- Базель-II: 692. “Банки повинні запровадити та підтримувати відповідні системи та способи контролю..” “Ці системи повинні бути інтегрованими у інші системи управління ризиками у межах організації (такими, як система аналізу кредитних ризиків)”.


Інтегроване управління ризиками?


IT-урядування

Управління IT-ризиками

Проекти

Сфери застосування

(продукти)

IRM, ERM

??

Фінансові ризики

Ринок

кредитів

План на випадок

Непередбачуваних

ситуацій

Кризове управління

Інші операційні

ризики

Рейтинг ризиків

внутрішнього

аудиту

Визначення ERM


“… процес, що запроваджується радою директорів, керівництвом та іншими

посадовими особами організації, застосовується на умовах стратегічної

значущості по всій організації. Розробляється для виявлення потенційних

подій, здатних вплинути на організацію, а також для управління ризиками в

межах готовності до ризиків з метою забезпечення обґрунтованих гарантій

досягнення цілей існування організації”.

Джерело: Інтегрована рамкова система управління ризиками підприємств

СOSO-2004. COSO.

Куб ERM COSO



Ці Основні рекомендації відповідають моделі трьох ліній захисту.

Перша „лінія захисту” визначає, що установа повинна мати запроваджені

ефективні процеси для визначення, вимірювання чи оцінки, моніторингу,

реагування на, та звітування про, ризики. Ці процеси називають

управлінням ризиками.

Основні рекомендації ЄБА щодо внутрішнього

урядування (GL 44)

В якості другої “лінії захисту” установа повинна мати належну рамкову

систему внутрішнього контролю

Третя “лінія захисту” складається з функції внутрішнього аудиту

При оцінці ефективності системи внутрішнього контролю установи її

керівний орган повинен мати можливість покладатися на роботу

контрольних функцій, в т.ч., на функцію контролю ризиків, функцію

забезпечення відповідності та функцію внутрішнього аудиту. Ці

функції контролю мають бути організаційно незалежними від

підрозділів, які вони контролюють.

Відповідальність за прийняті рішення має лишатися на підрозділах, які

займаються основною діяльністю та підтримкою, а також на керівному

органі.

Контроль (2130)

„Діяльність з внутрішнього аудиту має допомагати організації у підтриманні

ефективних засобів контролю через оцінку їхньої ефективності та

стимулювання подальших вдосконалень“.

Коли засоби контролю вважаються відповідними?

„…коли керівництво спланувало та організувало (розробило) їх у спосіб, що

забезпечує обґрунтовані гарантії ефективного управління ризиками, з якими

стикається організація, а також ефективного й економічного досягнення

операційних та статутних цілей організації“.


Інтегрована рамкова системавнутрішнього контролю COSO


Оновлена „Інтегрована рамкова системавнутрішнього контролю“

Як очікується, буде випущена у першому кварталі 2013 р.

Основні концепції: – не має часових обмежень•Є процесом•На який впливають люди•Забезпечує обґрунтовані гарантії•Спрямована на досягнення цілей, пов'язаних із: (1) операціями; (2)

забезпеченням відповідності; та (3) фінансовою звітністю

•П'ять складових внутрішнього контролю: –Середовище контролю–Оцінка ризиків–Контрольні заходи–Інформація та комунікація–Моніторинг

Зв'язок з Інтегрованою рамковою системою управління ризиками підприємств COSO?Достеменно визначити та зрозуміти відмінності складно! Треба об'єднати обидві системи.


Застосування COSO у Бундесбанку та його Департаменті аудиту


Бундесбанк

• Офіційно COSO Бундесбанком не застосовується

Департамент аудиту

• Аудиторські перевірки явно не базуються на COSO

• Аудиторські звіти не структуруються, приміром,

за компонентами COSO

Застосування COSO у Бундесбанку та його Департаменті аудиту


• Але усі компоненти та цілі COSO охоплюються

аудиторськими перевірками, що проводяться у банку

(юр. особи, структ. підрозділу, бізнес-одиниці, дочірньої

структури)

Загальне звітування про ICS/ERM у Бундесбанку


• З 2002 р. по 2006 р. Департамент аудиту видавав

оснований на COSO звіт про стан ICS / ERM у Бундесбанку

• Починаючи з 2007 р., загальний аудиторський висновок

щодо функціонування ICS / ERM у Бундесбанку є

складовою річного звіту про результати діяльності

Департаменту аудиту

Основні ролі внутрішнього аудитувідносно ERM


1. Надання гарантій щодо процесу управління

ризиками

2. Надання гарантій правильності оцінки ризиків

3. Оцінка процесу управління ризиками

4. Оцінка повідомлення про основні ризики

5. Перегляд управління основними ризиками

Законні ролі внутрішнього аудиту, із запобіжниками


1. Сприяння виявленню та оцінці ризиків

2. Управління наставництвом з питань реагування на ризики

3. Координація діяльності ERM

4. Консолідація звітності про ризики

5. Підтримка і розвиток рамкової системи ERM

6. Підтримка запровадження ERM

7. Розробка стратегії управління ризиками для ухвалення радою

Ролі, які внутрішній аудит НЕ МАЄ перебиратина себе


1. Визначення меж готовності брати на себе ризиків

2. Примусове запровадження процесів управління ризиками

3. Надання гарантій керівництву щодо ризиків

4. Ухвалення рішень про реагування на ризики

5. Виконання заходів реагування на ризики від імені та за

дорученням керівництва

6. Підзвітність за управління ризиками

Координація управління ризикамита забезпечення гарантій

Чимало центробанків використовують традиційні (окремі) заходи

внутрішнього та зовнішнього аудиту, управління ризиками,

врядування та забезпечення відповідності.

Без дієвої координації та звітування про результати діяльність

може дублюватися, а ризики – не помічатися чи невірно

оцінюватися.

Важлива роль внутрішнього аудиту?

Як організовано співпрацю у вашому банку?


Ролі Департаменту аудиту Бундесбанку відносно ERM


Основна роль: оцінка та надання гарантій щодо процесу управління ризиками

Аудити загальних процесів/сфер роботи містять елементи управління ризиками

Аудити конкретних процесів/сфер роботи охоплюють управління ринковими ризиками та ІТ-ризиками

Для Департаменту аудиту є постійна можливість надавати рекомендації/поради на основі регулярних аудитів

Постійне інформування Департаментом контролю про оновлені реєстри ризиків

Загальний аудиторський висновок про ICS / ERM



Основна роль: надання гарантій щодо правильності оцінки

та повідомлення ризиків

Оцінка та повідомлення ризиків департаментами належать

до сфери аудиторських перевірок

• Повнота реєстру ризиків

• Оцінка ризиків (імовірність та вплив)

• Повідомлення та документування ризиків

• Звіт про стан ICS / ERM



Основна роль : розгляд управління основними ризиками

Управління основними ризиками належить до сфери

аудиторських перевірок

Заходи з реагування ризики/ контролю ризиків

Прийняття залишкових ризиків

Звіт про стан ICS / ERM

Обговорення: стратегічне планування у центробанках?

Від бачення/місії до операційного управління?

У Бундесбанку: підхід на основі збалансованої системи показників

1. Стратегічна оцінка на базі SWOT-аналізу

2. Аналіз результатів SWOT-аналізу та уточнення стратегічних цілей

3. Уточнення операційних цілей, заходів та індикаторів

4. Рішення Виконавчої ради

Результат: Стратегічна карта

Виміри:

Адресати: „Публічні коментарі на економічні теми“Процеси: „Невпинна боротьба з бюрократією“Фінанси: „Оптимізація операційної економічної

ефективності“Потенційні можливості: „Пропонування привабливих, орієнтованих на

ефективність умов працевлаштування“


Практичний семінар на тему:...

Documents