В статье отмечается, что в настоящее время одним из оснований для отзыва лицензии у коммерческих банков служит неадекватная работа подразделений, ответственных за внутренний аудит. Автором рассматривается возможность проверки больших объемов информации путем применения аудитором репрезентативного выборочного метода, хотя на практике в отечественном аудите в основном используется направленный отбор информации, что объясняется простотой реализации.
Можно полагать, что внутренний аудит, его надежность, применяемые методики и возможности для совершенствования стали объектом усиленного внимания после серии банкротств банков, хеджевых фондов, ипотечных институтов, наблюдавшихся за рубежом в последние два десятилетия1. После старта мирового финансового кризиса в 2007-2008 годах важность этих проблем, естественно, должна возрасти. В частности, на необходимость систематического поддержания внутреннего аудита в надлежащем рабочем состоянии весьма наглядно указывается в одной из недавних методических рекомендаций Deloitte Touche, посвященной внутреннему аудиту: «Как человеку необходимы регулярные медицинские осмотры, чтобы поддержать здоровье, так и служба внутреннего аудита нуждается в оценке своей деятельности»2. В упомянутом пособии подчеркивается роль внутреннего аудита и содержатся рекомендации, в основном относящиеся к обнаружению мошенничества: «Мошенничество, касающееся как составления финансовой отчетности, так и присвоения активов, должно находиться в фокусе внимания любой службы внутреннего аудита».
В качестве наиболее важной меры по борьбе с мошенничеством в пособии указывается организация «горячей линии», которая «должна быть анонимной и доступной в постоянном режиме». Второй элемент программы — разработка процедур для оценки рисков искажений финансовой отчетности: «Без комплексной оценки рисков внутренний контроль за финансовой отчетностью не может считаться эффективным». Названные процедуры должны учитывать особенности финансовой отчетности, практикуемой в организации. Однако какие-либо конкретные методики по оценке риска в данной публикации, естественно, отсутствуют.
Перейдем к более общим вопросам, относящимся к измерению аудиторского риска. Вероятность того, что аудитор сделал неверное заключение, называют аудиторским риском (audit risk). В западной литературе для описания механизма формирования аудиторского риска (AR) последний представляют в виде произведения трех вероятностей, относящихся к различным элементам процесса тестирования3:
AR = IR x CR x DR,
где IR — риск содержания ошибок в представленных сведениях; такой риск обычно называют внешним риском (inherent risk). Он отражает вероятность того, что внешние условия (не деятельность аудитора) могут привести к существенным ошибкам;
CR — риск средств контроля (control risk) , вероятность того, что система внутреннего контроля не предупреждает появления существенных ошибок;
DR — риск необнаружения (detection risk) , измеряется вероятностью того, что аудитор не обнаружит имеющейся существенной ошибки.
Наряду с аудиторским риском применяют и противоположное понятие — аудиторская надежность (audit assurance). Очевидно, что между аудиторским риском (AR) и аудиторской надежностью (AS) существует простая зависимость: AR = 1 — AS.
Рассмотренная выше модель аудиторского риска не является единственно возможной. Существуют и другие ее варианты4. В некоторых отечественных публикациях компоненты мультипликативной модели риска разлагаются на десятки (!) множителей, отражающих влияние соответствующих факторов. Приведем некоторые из таких факторов: риск, связанный с отсутствием в фирме четкого распределения обязанностей, риск утраты данных, риск использования нелегальных копий системы электронной обработки данных и т.п. Не будем останавливаться на подобного рода вариантах, поскольку приведенные выше и другие аналогичные модели, на наш взгляд, являются чисто умозрительными и не могут быть применены на практике. Во-первых, потому что используемые здесь вероятности не могут быть однозначно и объективно оценены. Ну как, например, может быть определен уровень вероятности, характеризующий внешний риск или риск утраты данных? Только интуитивно и весьма условно. Сказанное относится и к остальным элементам модели. Во-вторых, само произведение указанных вероятностей, строго говоря, не имеет достаточного теоретического обоснования, если не спорно.
В подтверждение сказанного достаточно привести один пример. Пусть вероятность, относящаяся к любому элементу в правой стороне уравнения, представляющего модель, равна нулю. В этом случае формально, следуя формуле, аудиторский риск полностью отсутствует. Таким образом, представленную выше модель, на наш взгляд, следует рассматривать не как уравнение, а как своеобразное указание на то, что перечисленные факторы совместно (мультипликативно) влияют на величину риска, а изменение любого из них увеличивает или сокращает величину аудиторского риска. Можно полагать, что такого рода модели приводятся в публикациях, скорее, для придания некоторой «научности» обсуждению проблемы, чем для практического применения. Вместе с тем многие руководства по аудиту содержат практические рекомендации, нацеленные на сокращение влияния выделенных факторов аудиторского риска, что, разумеется, полезно. Однако в таких руководствах не демонстрируется, да и не может быть показана, сама возможность объективного их измерения.
Во многих практических ситуациях реальным способом проведения внутреннего аудита является выборочное тестирование. Во-первых, оно единственно возможное при больших размерах проверяемой совокупности документов (единиц наблюдения). Кроме того, оно резко сокращает издержки на проведение проверки, позволяет заметно уменьшить сроки его проведения. Вместе с тем выборочный контроль неизбежно связан с некоторыми погрешностями в получаемых результатах, так как при выборочном наблюдении получают не точные значения необходимых параметров для тестируемой совокупности, а их оценки. Такие погрешности (ошибки выборки) в определенных условиях имеют объективное измерение и их можно корректировать, связав с приемлемыми уровнями вероятностей. Эти вероятности можно рассматривать как специфический вид аудиторского риска.
Поскольку аудитор в основном имеет дело со стоимостными характеристиками, то он в зависимости от специфики проверяемых объектов использует как стандартные выборочные методы, так и специальные методы выборочного контроля, которые нигде более не встречаются. По способу отбора информации для контроля их можно объединить в две группы: репрезентативный (представительный) и нерепрезентативный отбор. Выборка (отобранные документы) является репрезентативной только тогда, когда она получена при соблюдении определенных условий, основным из которых является равная вероятность для каждой единицы проверяемой совокупности сведений (документов) попасть в выборку. В этом случае полученная в ходе выборочного тестирования информация может быть распространена без больших погрешностей на всю проверяемую совокупность документов.
Специальным методом репрезентативного отбора, применяемым только в аудите, является монетарная выборка (monetary unit sampling). При монетарной выборке внимание аудитора в большей мере сосредоточивается на документах с более высокими стоимостными характеристиками. Чем она больше, тем выше вероятность для этого документа попасть в выборку5. Соответственно уменьшается риск пропустить значительную погрешность в денежном измерении. Более того, такой метод отбора увеличивает охват по стоимости тестируемой совокупности без увеличения размера выборки6.
В свою очередь нерепрезентативный отбор (non-representative sampling) производится на основе субъективных суждений аудитора. Основанием для отбора могут служить:
— интуиция или «чутье» аудитора в отношении «подозрительности» документов или их источников, опыт прошлых проверок, дополнительная информация со стороны;
— предположение аудитора о том, что отобранные единицы наблюдения наиболее характерны для проверяемой совокупности;
— ориентированность аудитора на проверки наиболее крупных по стоимости документов.
Таким образом, аудитор получает результаты, относящиеся только к заранее сформированной им совокупности документов, которую он проверяет полностью. Такой отбор называют направленным. Аудитор, осуществивший направленный отбор, не имеет оснований для распространения полученных результатов на объекты вне этого отбора. В связи со сказанным уместно отметить некоторую «несимметричность» получаемых результатов при нерепрезентативном отборе. Действительно, если выборка обнаруживает отрицательные факты, то для аудитора это уже данные для заключения. Однако если направленный отбор, да еще при небольшом объеме выборки, не обнаружил отрицательных фактов (например, ошибок или приписок в тестируемых документах) , такой результат мало что дает для аудитора.
В практике отечественного аудита в основном применяют направленный отбор. В какой-то мере это можно объяснить тем, что такой отбор очень прост при реализации. Не менее важным является и то, что применяемые здесь понятия не выходят за рамки бухгалтерского учета. В связи с этим он не вызывает вопросов у бухгалтера. Однако за простоту, как известно, надо платить. Платой является получение крайне ограниченной информации и, главное, невозможность ее распространения на проверяемую совокупность информации в целом. Иное дело — репрезентативная выборка, которая дает аудитору обобщенные данные, относящиеся к тестируемой совокупности. Вместе с тем для осуществления подобного рода выборок аудитору надо быть знакомым с рядом статистических понятий и методов выборочного контроля, которые никак не связаны с бухгалтерией. Ну как можно увязать с бухучетом (и соответствующим менталитетом) такие понятия, как «доверительная вероятность», «стандартная ошибка» и тому подобное. Последнее обстоятельство может вызвать естественное внутреннее сопротивление аудитора. Однако при необходимости проверки больших объемов информации иного пути, кроме применения репрезентативного выборочного метода, у аудитора нет.
Перейдем к одному частному, но весьма важному вопросу — качеству функционирования внутреннего аудита в российских банках. Об этом, вероятно, можно судить по количеству отзыва лицензий. Прискорбно, но таких случаев в последнее время набралось довольно много. Количество отзывов значительно превысило сотню. Например, за период с 10 по 27 ноября 2008 года ЦБ РФ отозвал лицензии у 13 банков. Назовем только несколько причин отзыва:
— существенная недостоверность отчетных данных; у ряда банков отмечена недостоверность данных, скрывающая основания для осуществления мер по предупреждению банкротства;
— нарушение правил ведения бухгалтерского учета;
— неисполнение федеральных законов, регулирующих банковскую деятельность, и нормативных актов Банка России;
— неспособность удовлетворять требования кредиторов по денежным обязательствам.
Как видим, одним из оснований для отзыва лицензии служит неадекватная работа подразделений, ответственных за внутренний аудит. Между тем в отчетах соответствующих банков содержатся многочисленные утверждения о надлежащем уровне выполнения обязанностей этих подразделений. Любопытно сопоставить объявленные причины отзыва лицензии и обязательства, которые должна выполнять служба внутреннего аудита в этих банках. Ограничимся двумя примерами.
Коммерческий банк «Юнитбанк». Лицензия отозвана в связи с установлением фактов существенной недостоверности отчетных данных банка, несоблюдением значений обязательных нормативов, неадекватным оцениванием рисков по ссудной задолженности, нарушением правил ведения бухгалтерского учета и т.д. В свою очередь в уставе банка находим множество позиций, при надлежащем выполнении которых перечисленные недостатки не должны были бы иметь место. Например, при перечислении функций службы внутреннего контроля упоминается: «проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование», «проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками», «… обеспечивать осуществление постоянного мониторинга рисков банковской деятельности и операционных рисков, текущий анализ финансового положения банка».
Коммерческий банк «Интегро». Ограничимся одной позицией в причинах отзыва лицензии: «… в связи с проведением высокорискованной кредитной политики в ноябре 2008 года банк полностью утратил собственные средства». В одном из отчетов банка находим: «В банке сформирована и успешно функционирует система внутреннего контроля, … разработаны и утверждены внутрибанковские документы, устанавливающие порядок выявления, оценки и управления рисками банковской деятельности».
При ознакомлении с уставами ряда отечественных банков, лишенных лицензий, создается впечатление, что в этих документах задачи службы внутреннего аудита представлены в самом общем виде, а соответствующие разделы уставов заполнены общими фразами, часто содержат лишние, а иногда противоречивые рекомендации и указания.
Есть основания полагать, что в современных условиях требования к качеству работы подразделений внутреннего аудита, особенно в финансовых институтах, должны быть повышены. Более того, стало очевидным, что недостаточно выявить в ходе внутреннего контроля те или иные погрешности в учете и отчетности. Необходимо расширить круг задач, решаемых внутренним аудитом, в том числе повысить его роль при оценке некоторых обобщающих деятельность финансового института показателей. Разработку соответствующих правил и рекомендаций для банков взял на себя Банк международных расчетов (Bank for International Settlements) в Базеле. Итоги его работы представлены в Новом Базельском соглашении (New Basel Capital Accord, Базель II) , к которому присоединились более 100 стран, включая Россию7.
Основное содержание Базеля II — правила проверки достаточности капитала банка с учетом кредитного, рыночного и операционного рисков. Наряду с этим в Соглашении формулируются принципы контроля банков со стороны надзорных органов и обеспечения прозрачности надзора. Большое внимание уделено внутреннему аудиту, его новым задачам, возникшим в связи с выполнением правил, содержащихся в Соглашении, а также взаимоотношению службы внутреннего аудита банка с надзорными органами, которые должны обеспечить адекватность процессов внутренней проверки реально сложившейся ситуации в банке8.
Существенной для внутреннего аудита является такая функция, как проверка величин рисков, используемых при проверке достаточности капитала банка. Так, при оценке кредитного риска банк может применить внешний или внутренние рейтинги. Если применен базовый или усложненный способ внутреннего рейтингования (Advanced Internal Raiting Based, IRB) , то служба внутреннего аудита обязана проверить выполнение всех установленных минимальных требований, обратив особенное внимание:
— на надежность метода рейтинга, а также истолкование его результатов;
— процедуру оценивания параметров, характеризующих дефолт заемщиков: вероятность дефолта (probability of default, PD) — вероятность дефолта по обязательствам заемщика в течение ближайшего года; потери от дефолта (loss given default, LGD) — ожидаемые средние относительные размеры потерь банка при дефолте; величина принимаемого риска (exposure at default, EAD) — банковское обязательство с потенциальным риском.
Служба внутреннего аудита должна получить собственные оценки и при оценке операционного риска по видам банковской деятельности. Расширение поля работы для внутреннего аудита естественно требует адаптации процесса планирования проверок к новым условиям, в частности, корректировку частоты проведения внутреннего аудита и обеспечение ресурсов для его проведения. План должен включать такие специфические объекты, как полноту и надежность рейтинговых оценок, мониторинг рейтинговых систем, процедуры рейтинга и методы управления кредитным и операционным риском и т.д.
Рассмотренные требования к внутреннему аудиту банков означают, что аудитор должен быть знаком с правилами Базеля II на надлежащем уровне.
1 — Множество подобных примеров приведены в книге: Davis L. Into the Fire. — Harpet Collins, 2000.
2 — Делойт и Туш СНГ. Оптимизация роли внутреннего аудита в эпоху Сарбенса-Оксли. 2007. C. 10 (закон Сарбенса-Оксли, принятый Конгрессом США в 2002 году, регламентирует деятельность компаний, акции которых обращаются на фондовом рынке).
3 — DRT International. DRT International Audit Approach. 1990. P. 256. Аналогичная модель, но с другими обозначениями переменных содержится в отечественной публикации: Научно-методическая конференция «Аудит в соответствии с МСА». Сборник методических материалов. — М.: ИПБ-БИНФА, 2002.
4 — Один из простых вариантов модели представлен в руководстве по банковскому внутреннему аудиту: Giliberti A. Bank Internal Auditing Manual. — N.Y. Vol. 2. Другой вариант обсуждается в учебном пособии: ACCA. Audit Framework. Examination Text. AT Foulks Lynch Ltd. 1993.
5 — За рубежом этот метод отбора иногда обозначают как PPS (probability proportional to size).
6 — Подробнее о монетарной выборке см.: Четыркин Е. М., Васильева Н. Е. Выборочные методы в аудите. — М.: Дело, 2003.
7 — Краткая характеристика Базельских соглашений содержится в статье: Васильева Н. Е., Четыркин А. Е. Приобщение к практике Базель I и II // Бухгалтерия и банки. 2005. № 11. Развернутое резюме содержания Базеля II можно найти в публикации: Bank for International Settlements. Overview of The New Basel Capital Accord // Consultative Document. April 2003.
8 — Ŏsterreichisсhe Nationalbank (ONB) , Financial Market Autority (FMA). Credit Approval Process and Credit Risk Management. — Wienna, 2005. Сh. 5.
Автор: Н.Е. Васильева, ГК «Агентство по страхованию вкладов», начальник службы внутреннего аудита, к.э.н.
Источник: Методический журнал «Bнутренний контроль в кредитной организации»
