Відповідно до Закону України "Про банки і банківську діяльність" та враховуючи вимоги Положення про організацію внутрішнього аудиту в комерційних банках України, затвердженого постановою Правління Національного банку України від 20.03.98 N 114, а також з метою надання методичної допомоги у роботі служб внутрішнього аудиту банків Правління

1. Затвердити Методичні вказівки щодо застосування стандартів внутрішнього аудиту в банках України (додаються).

2. Департаменту пруденційного нагляду (В.О.Зінченко) довести цю постанову до відома Головного, Кримського республіканського, обласних та по м.Києву і Київській області управлінь Національного банку України та банків для використання і керівництва в роботі.

3. Контроль за виконанням цієї постанови покласти на заступника Голови Правління О.І.Кірєєва.

4. Постанова набуває чинності з дня її підписання.

1.1. Методичні вказівки визначають застосування стандартів внутрішнього аудиту, якими необхідно керуватися службі внутрішнього аудиту банку при проведенні систематичних аудиторських перевірок.

1.2. Стандарти внутрішнього аудиту (далі - стандарти) в банках впроваджуються з метою регулювання роботи служби внутрішнього аудиту щодо виконання покладених на неї функціональних обов'язків.

1.3. Стандарти є обов'язковими для безумовного дотримання їх банками, розташованими на території України.

1.4. Служба внутрішнього аудиту в процесі проведення перевірок керується чинним законодавством України та нормативними актами Національного банку України.

Аудиторський висновок - це документ, в якому викладається мета, вказується обсяг та результати аудиторської перевірки.

Конструктивні висновки - ті, що сприяють суб'єкту аудиту та керівництву в управлінні банком.

Об'єктивні висновки - ті, що грунтуються лише на фактах, тобто неупереджені висновки.

Стислі висновки - ті, що містять тільки найвагоміші факти.

Своєчасні висновки - ті, що надаються без невиправданих затримок і дають змогу діяти швидко й ефективно.

Незалежність - це можливість здійснювати об'єктивний і незалежний аудит, оцінювати отримані результати і складати неупереджений аудиторський висновок. Одна з незаперечних вимог до внутрішніх аудиторів - не бути зв'язаними з тими видами діяльності, які вони перевіряють.

Об'єктивність - незалежна позиція, яку повинні займати внутрішні аудитори при здійсненні відповідних перевірок.

Обстеження - це процес загального збирання інформації (без її детальної перевірки) про напрями діяльності відповідного підрозділу з метою ознайомлення з його роботою (проведеними операціями); виявлення конкретних питань, що потребують особливої уваги; отримання інформації щодо доцільності проведення додаткової аудиторської перевірки.

Оцінка ризику - це систематичний процес оцінки ризику з використанням професійних знань фахівців, які можуть передбачати вірогідність виникнення негативних ситуацій, а також комплекс відповідних засобів та інструментів.

Робоча документація аудиторської перевірки - це сукупність уніфікованих документів, у яких у письмовому вигляді відображається інформація, одержана в результаті перевірки, а також рекомендації аудитора, що викладаються у відповідному висновку.

Стандарти внутрішнього аудиту - це критерії визначення процедур аудиту, за якими здійснюється оцінка діяльності системи внутрішнього контролю.

3.1. Внутрішній аудит у банку здійснюється на підставі дотримання працівниками служби внутрішнього аудиту правил внутрішнього розпорядку банку та цих методичних вказівок.

3.2. Стандарти внутрішнього аудиту впроваджуються в діяльність банку з метою:

- вдосконалення практики проведення внутрішнього аудиту;

- забезпечення якісного аналізу й оцінки системи внутрішнього контролю;

- здійснення постійного моніторингу банківських ризиків;

- перевірки відповідності здійснених банківських операцій політиці та встановленим процедурам банку, а також чинному законодавству України;

- інформування Правління банку та Ради банку про виникнення певних проблем, розроблення і вживання упереджувальних заходів, спрямованих на запобігання виникненню ризиків у діяльності банку;

- складання уніфікованих аудиторських висновків і звітів;

- дотримання працівниками служби внутрішнього аудиту правил поведінки та етичних професійних норм.

3.3. Служба внутрішнього аудиту банку при виконанні функціональних обов'язків має керуватися такими стандартами:

1. Керівництво службою внутрішнього аудиту.

2. Незалежність.

3. Професійна компетентність.

4. Обсяг роботи.

5. Планування і виконання аудиторської перевірки.

6. Складання аудиторського висновку.

3.4. Застосування стандартів внутрішнього аудиту має забезпечуватись із дотриманням працівниками служби внутрішнього аудиту банку (внутрішніми аудиторами) Кодексу професійної етики внутрішніх аудиторів банківських установ.

4.1. Кандидатура керівника служби внутрішнього аудиту повинна погоджуватися з Радою банку і відповідати вимогам, встановленим Національним банком України. Рішення про призначення на цю посаду затверджується наказом керівника банку.

4.2. Керівник служби внутрішнього аудиту відповідає за:

- виконання поставленої перед банком мети, яка грунтується на його стабільності, надійності, платоспроможності та ліквідності і контролюється внутрішніми аудиторами;

- роботу внутрішніх аудиторів, спрямовану на досягнення загальної мети та виконання завдань, що поставлені перед банком;

- ефективне та раціональне використання коштів, що передбачені для утримання служби внутрішнього аудиту;

- наявність Положення про службу внутрішнього аудиту банку, затвердженого Правлінням та погодженого з Радою банку. В Положенні зазначаються цілі, повноваження та функціональні обов'язки служби внутрішнього аудиту, механізм організації її роботи, а також своєчасне виконання вимог цього Положення;

- складання планів (графіків), що відображають виконання функціональних обов'язків працівниками служби внутрішнього аудиту. Структура та обсяги роботи, що виконується службою внутрішнього аудиту, повинна відповідати функціям, повноваженням, а також меті та завданням банку і охоплювати всі напрями його діяльності.

4.3. Діяльність банку підлягає повній або частковій перевірці внутрішніми аудиторами. Об'єктами внутрішнього аудиторського контролю повинні бути:

- банківські операції (види діяльності банку) і їх відповідність чинному законодавству України;

- правила й процедури, згідно з якими здійснюються банківські операції, та їх дотримання;

- види банківських операцій, ефективність їх здійснення та оцінка ризиків;

- рівень комп'ютеризації та інформаційно-аналітичного забезпечення діяльності банку;

- внутрішня та зовнішня бухгалтерська і фінансова звітність банку, адекватність відображення в ній банківської діяльності;

- організація бухгалтерського та управлінського обліку, а також їх відповідність меті та завданням діяльності банку;

- управління трудовими та матеріальними ресурсами банку тощо.

4.4. Внутрішні аудитори оцінюють найбільш ризикові види діяльності банку. Ризик важливо не тільки виявити, але й визначити його розмір, а також здійснювати постійний контроль за тенденціями зміни величини ризику та розробити комплекс заходів щодо його мінімізації.

4.5. Причинами виникнення ризиків можуть бути:

- помилково прийняті управлінські рішення в результаті використання неправильної, несвоєчасної, неповної або недостовірної інформації;

- неправильне ведення бухгалтерських записів (свідоме чи несвідоме), помилки в бухгалтерському та управлінському обліку;

- нездатність відповідних підрозділів банку належним чином зберігати активи;

- незадоволення клієнтів банком, їх неправильне уявлення про банк та його репутацію (ризик репутації);

- нездатність службовців банку додержуватися правил, планів, процедур банку і невиконання ними вимог чинного законодавства України та нормативних актів Національного банку України;

- недоцільне, нерентабельне придбання матеріальних ресурсів, коштів та нераціональне і неефективне їх використання;

- нездатність працівників банку досягати відповідних операційних або програмних цілей і виконувати необхідні завдання.

4.6. У процесі аудиторської перевірки внутрішній аудитор повинен звернути увагу на такі фактори ризику:

- моральний клімат у банку, зокрема тиск з боку його керівників на впливових посадових осіб для досягнення відповідної мети;

- компетентність працівників, відповідність посадам, які вони обіймають;

- обсяг активів, ліквідність та обсяг операцій;

- фінансовий стан та виконання економічних нормативів;

- конкурентоспроможність банку;

- складність та змінюваність видів банківських операцій;

- доцільність розширення мережі філій: ефективність окремих філій;

- раціональність витрат на утримання банку;

- ступінь інформаційно-аналітичного забезпечення діяльності банку;

- розгалуженість мережі установ банку;

- адекватність та ефективність процедур внутрішнього контролю;

- організаційні, операційні та економічні зміни в банку;

- визнання негативних фактів, виявлених аудиторською перевіркою, і вжиття відповідних заходів щодо виправлення ситуації.

4.7. Для оцінки ризику керівник служби внутрішнього аудиту повинен отримувати інформацію з різних джерел. Цими джерелами можуть бути не тільки переговори з членами Правління та Ради банку, але й дискусії з керівниками та працівниками служби внутрішнього аудиту, переговори із зовнішніми аудиторами, обговорення законів України та нормативних актів Національного банку України, що використовуються, результати аналізу фінансової документації, огляд попередніх аудиторських перевірок, а також напрямів економічного розвитку банку.

4.8. Оцінка ризиків повинна проводитися щорічно. Однак у разі змін у проведенні банківських операцій черговість аудиторських перевірок протягом року може переглядатися і коригуватися з урахуванням нової інформації.

4.9. Формування груп перевіряючих передбачає визначення кількості внутрішніх аудиторів (а також залучених фахівців та консультантів) і здійснюється згідно з календарними графіками (планами) проведення аудиторської перевірки та кошторисом витрат, затвердженим Радою банку.

4.10. Звіти про результати діяльності служби внутрішнього аудиту періодично подаються на розгляд Правлінню та Раді банку.

4.11. Керівник служби внутрішнього аудиту повинен:

- підготувати Положення про службу внутрішнього аудиту, в якому визначаються правила та процедури, відповідно до яких проводиться аудиторська перевірка;

- скласти програму відбору і підвищення професійного рівня працівників підрозділу;

- підтримувати зв'язок із зовнішніми аудиторами;

- здійснювати координацію роботи внутрішніх та зовнішніх аудиторів, яка необхідна для забезпечення максимального охоплення аудитом всіх напрямів діяльності банку та недопущення випадків дублювання аудиторської перевірки;

- надавати зовнішнім аудиторам інформацію щодо методів, засобів та термінології, які використовуються внутрішніми аудиторами;

- організовувати тестування працівників свого підрозділу та розробляти програму проведення аудиторської перевірки з метою забезпечення дотримання внутрішніми аудиторами відповідних стандартів, а також належного виконання ними функціональних обов'язків;

- не менше одного разу на рік, а також на вимогу Правління та Ради банку подавати звіти про роботу свого підрозділу, в яких відображати виявлені в ході аудиторської перевірки факти недоліків у діяльності банку та відповідні рекомендації щодо їх усунення;

- щорічно подавати Правлінню банку для затвердження і Раді банку для погодження плани (графіки) проведення аудиторських перевірок, проекти формування штату та планування кошторису витрат свого підрозділу.

4.12. Зовнішні аудитори здійснюють перевірки з метою підтвердження достовірності щорічних фінансових звітів. Внутрішні аудитори відповідають за оцінку адекватності застосованих процедур і отриманих фактів, що використовувалися у їх висновках щодо річного фінансового звіту.

4.13. Правління банку може звернутися до керівника служби внутрішнього аудиту з проханням дати оцінку результатам діяльності зовнішніх аудиторів. Висновок керівника служби внутрішнього аудиту повинен бути аргументованим.

4.14. За необхідності керівник служби внутрішнього аудиту разом із зовнішніми аудиторами обговорює напрями взаємодії на підставі наданих документів. Ці документи можуть стосуватися:

- суттєвої недостатності контролю;

- помилок та порушень;

- протизаконних дій;

- рішень керівників банку;

- суперечностей із керівниками;

- труднощів, що виникають під час аудиторської перевірки, тощо.

4.15. Зовнішні аудитори можуть користуватися висновками внутрішніх аудиторів, відповідями керівників на ці висновки та звітами, що свідчать про результати діяльності служби внутрішнього аудиту. Ці матеріали використовуються зовнішніми аудиторами при визначені обсягів їх роботи.

5.1. Незалежність дає змогу внутрішнім аудиторам робити правдиві й неупереджені висновки, що необхідні для належного проведення аудиторської перевірки. Це досягається в результаті організаційного визначення статусу та об'єктивності служби внутрішнього аудиту.

Для повної ефективності виконання службових обов'язків служба внутрішнього аудиту банку (внутрішній аудитор) має бути незалежною від щоденного процесу проведення внутрішнього контролю.

5.2. Організаційний статус повинен передбачати:

- безпосередню підпорядкованість служби внутрішнього аудиту в процесі її діяльності Правлінню банку та Раді банку у питаннях, що стосуються стратегічних напрямів його розвитку;

- процедури затвердження Радою банку штатного розпису підрозділу внутрішнього аудиту та бюджету на наступний рік, а також уніфікованих висновків і звітів про результати його діяльності;

- виконання службою внутрішнього аудиту своїх функціональних обов'язків без будь-яких перешкод;

- постійну участь керівника підрозділу внутрішнього аудиту банку в засіданнях Правління банку, що стосуються аудиторської діяльності, фінансової звітності, управління, організації внутрішнього контролю.

5.3. Об'єктивність:

- при проведенні аудиторських перевірок внутрішні аудитори повинні бути об'єктивними;

- внутрішні аудитори відстоюють власну думку з питань аудиту, яка може не збігатися з думкою інших працівників банку, зовнішніх аудиторів тощо;

- керівник служби внутрішнього аудиту періодично отримує від своїх працівників інформацію про можливий конфлікт інтересів і т. ін.;

- внутрішні аудитори банку не несуть відповідальності за проведення банком будь-яких банківських операцій;

- працівники служби внутрішнього аудиту, які раніше працювали в якихось підрозділах цього банку, не можуть призначатися для проведення аудиторської перевірки цих підрозділів протягом року (або більш тривалий час) після їх зарахування до служби внутрішнього аудиту;

- рівень об'єктивності внутрішнього аудитора не знижується, якщо він надає рекомендації працівникам банку щодо застосування стандартів контролю та перевіряє відповідні процедури їх застосування;

- проектування, впровадження та складання різних операційних систем не належить до функцій внутрішнього аудиту. Виконання таких видів діяльності знижує рівень об'єктивності аудиту.

6.1. Аудиторські перевірки мають виконуватися на високому професійному рівні.