- Непередбачені зобов'язання та позабалансові статті

33.       Банк зазвичай здійснює також операції, які:

•                 мають низький доход у вигляді комісії чи елемент прибутку як відсоток від основного активу чи зобов'язання;

•                 не потребують розкриття інформації в балансі або навіть у примітках до фінансових звітів згідно з національним законодавством;

•                 відображаються лише на позабалансових рахунках;

• пов'язані з сек'юритизацією та реалізацією активів, отже, вони більше не відображаються у фінансових звітах банку.

Прикладом таких операцій можуть бути послуги з безпечного зберігання, гарантії, листи-поручительства і акредитиви, відсоткові й валютні "свопи", а також узяті зобов'язання й опціони на придбання і продаж іноземної валюти.

34.       Аудитор робить огляд джерел доходів банку та отримує відповідні та достатні аудиторські докази щодо:

а)          точності та повноти облікових записів про такі операції;

б)         наявності відповідних заходів контролю, призначених обмежувати банківські ризики, що виникають від таких операцій;

в)         достатності будь-яких необхідних резервів на покриття збитків;

г)          достатності розкриття будь-якої інформації в фінансових звітах, яка може знадобиться.

35.           Положення з міжнародної аудиторської практики 1004 надає інформацію та рекомендації з питань взаємовідносин між зовнішніми аудиторами та інспекторами з банківського нагляду. Базельський комітет видав рекомендації з нагляду щодо раціональної банківської діяльності у сфері управління ризиками, систем внутрішнього контролю, обліку та розкриття інформації про позики, розкриття іншої інформації та інших видів банківських операцій. На додаток Базельський комітет видав рекомендації з оцінювання достатності капіталу та інших важливих питань нагляду. Аудитори та всі бажаючі можуть знайти ці рекомендації на сайті Банку міжнародних розрахунків (БМР) в Інтернеті.

36.           Згідно з МСА 310² аудитор розглядає, чи відповідають твердження у фінансових звітах знанням аудитора про бізнес. Згідно з багатьма нормативними базами рівень та типи діяльності, які дозволяється здійснювати банкам, залежать від рівня активів та зобов'язань, а також типів ризиків, властивих таким активам та зобов'язанням (концептуальна основа капіталу, зваженого за рівнем ризику). За таких обставин управлінський персонал можуть більш примушувати до участі в шахрайстві з фінансовою звітністю шляхом неправильної класифікації активів та  зобов'язань чи визначення їх як менш

МСА 310 «Знання бізнесу» було відкликано в грудні 2004 р. після набуття чинності МСА 315 «Розуміння суб'єкта господарювання та його середовища та оцінка ризиків суттєвих викривлень».

ризикованих, ніж вони є фактично, особливо, якщо банк здійснює діяльність при мінімальних (або близьких до них) рівнях необхідного капіталу.

37.       Аудитори та інспектори з банківського нагляду виконують багато процедур, включаючи:

•                 виконання аналітичних процедур;

•                 отримання доказів щодо функціонування системи внутрішнього контролю;

•                 аналіз якості активів банку та оцінювання банківських ризиків.

Тому аудитор може вважати корисним взаємодіяти з інспекторами й мати доступ до інформації, яку інспектори могли адресувати управлінському персоналові банку про результати їхньої роботи. Оцінювання, проведене інспекторами на важливих ділянках (наприклад, адекватність практики управління ризиками та резерви на позики), а також пруденційні коефіцієнти, що використовують інспектори, можуть допомогти аудиторові у виконанні аналітичних процедур, сфокусувавши його увагу на конкретних ділянках, важливих з точки зору нагляду.

Обсяг використання ІТ та інших систем

38.       Великий обсяг операцій і стислі терміни, протягом яких їх треба обробити, як правило, спричиняють широке використання банками ІТ, ЕПК та інших телекомунікаційних систем.

Проблеми контролю, що виникають через використання банком ІТ, подібні до тих, які виникають при використанні цих систем іншими організаціями. Проте аудиторові слід звернути особливу увагу на:

•                 використання ІТ для обчислення й обліку практично всіх видів відсоткового доходу і витрат на відсотки, які звичайно є найважливішими елементами для визначення доходу банку;

•                 використання ІТ та інших телекомунікаційних систем для визначення позицій цінних паперів в іноземній валюті та операцій з похідними фінансовими інструментами, а також для підрахунку та обліку прибутків і збитків, що виникають у результаті цього;

•                 значну та у деяких випадках майже повну залежність від облікових записів, зроблених за допомогою ІТ, оскільки вони є єдиним легкодоступним джерелом докладної найновішої інформації про стан банківських активів і зобов'язань (зокрема, про позики клієнтам і депозитні рахунки);

•                 застосування складних моделей оцінки, об'єднаних системами ІТ;

•                 моделі, використані для оцінки вартості активів, та дані, що використовуються у цих моделях, часто зберігають у вигляді підсумкової інформації про фінансовий стан, яку складають на персональних комп'ютерах, не зв'язаних з основними системами ІТ банку і до яких не застосовують заходи контролю, подібні до застосованих до таких систем. ПМПА 1001 "Середовище ІТ: автономні персональні комп'ютери"³ надає рекомендації аудиторам з таких прикладних програм;

•                 використання різних систем ІТ, що призводять до ризику втрати аудиторського сліду та несумісності різних систем.

Банки використовують системи ЕПК для внутрішніх операцій (наприклад, для переказу грошових коштів між філіями чи між банкоматами і комп'ютерними файлами, які реєструють облікові операції) і для зовнішніх операцій між банком й іншими фінансовими установами (наприклад, з використанням мережі SWIFT - міжнародної міжбанківської електронної системи передачі інформації та здійснення платежів), а також між банком та його клієнтами через Інтернет або середовище електронної комерції.

39.           Аудитор отримує розуміння щодо основних прикладних програм з ІТ, ЕПК та телекомунікацій та зв'язків між цими прикладними програмами. Аудитор застосовує його до основних процесів діяльності чи позицій у балансі для визначення факторів ризику для організації та, отже, для аудиторської перевірки. Крім того, важливо визначити, якою мірою використовуються самостійно розроблені прикладні програми чи інтегровані системи, що матимуть прямий вплив на підхід до аудиторської перевірки. (Самостійно розроблені системи вимагають від аудитора приділяти особливу увагу заходам контролю за змінами програми).

40.           При проведенні аудиторської перевірки у середовищі розподіленої системи ІТ, аудитор має знати, де розміщені основні прикладні програми ІТ. Якщо глобальна мережа (ГМ) банку розосереджена серед кількох країн, до транскордонної обробки даних можуть застосовуватися особливі законодавчі норми. У такому середовищі робота з аудиторської перевірки системи контролю за доступом, особливо за системою запобігання порушенням права доступу, є важливою складовою частиною аудиторської перевірки.

41.       Середовище електронної комерції суттєво змінює способи ведення операцій банком. Електронна комерція пов'язана з новими аспектами ризику та іншими міркуваннями, які враховує аудитор. Наприклад, аудитор розглядає таке:

•                 ділові ризики, які являє собою стратегія банку з е-комерції;

•                 ризики, властиві технології, яку банк обрав для впровадження стратегії з е-комерції;

•                 реакцію управлінського персоналу на певні ризики, включаючи міркування з контролю:

о відповідність юридичним та нормативним вимогам щодо транскордонних операцій;

о       безпека та таємність передачі даних через Інтернет;

о повнота, точність, своєчасність та санкціонування операцій через Інтернет, оскільки вони реєструються у системі бухгалтерського обліку банку;

•           рівень навичок та компетентності з ІТ та е-комерції, якими володіють аудитор та асистенти.

42.       Організація може передавати види діяльності, пов'язані з ІТ чи ЕПК, зовнішнім постачальникам послуг в Інтернеті. Аудитор отримує розуміння про послуги, передані зовнішнім постачальникам, та системи заходів внутрішнього контролю в межах залученого банку та постачальника послуг, щоб визначити характер, обсяг та час виконання процедур по суті. МСА 420 надає подальші рекомендації з цього питання.

Очікувана оцінка властивого ризику та ризику контролю

43.       Характер банківських операцій такий, що аудитор може бути нездатним зменшити аудиторський ризик до прийнятно низького рівня шляхом виконання лише процедур по суті. Це спричиняють такі чинники:

•           широке використання систем ІТ і ЕПК означає, що багато аудиторських доказів існує лише в електронній формі та створюється за допомогою власних систем ІТ суб'єкта господарювання;

•                 географічна розосередженість операцій банків надзвичайно ускладнює достатнє охоплення;

•                 труднощі з розробкою ефективних процедур по суті для аудиторської перевірки складних торговельних операцій.

У більшості ситуацій аудитор не буде спроможним знизити аудиторський ризик до прийнятно низького рівня, якщо управлінський персонал не створить систему внутрішнього контролю, яка дозволить аудиторові оцінити рівень властивого ризику та ризику контролю нижче високого. Аудитор отримує достатні та відповідні аудиторські докази для підтвердження оцінки властивого ризику та ризику контролю. Параграфи 56-70 докладніше розглядають питання, пов'язані з внутрішнім контролем.

- Підрозділ внутрішнього аудиту

44.       Обсяг та цілі внутрішнього аудиту можуть варіюватися залежно від розміру і структури банку, а також вимог управлінського персоналу та найвищого управлінського персоналу банку. Проте призначенням підрозділу внутрішнього аудиту, як правило, є огляд системи бухгалтерського обліку і відповідних заходів внутрішнього контролю, а також моніторинг їхнього функціонування і подання рекомендацій з їхнього удосконалення. Призначення аудиту зазвичай полягає також і в аналізі заходів, що використовуються для визначення, оцінки й надання звітів про фінансову та поточну інформацію, а також у спеціальних запитах про окремі статті, включаючи докладну перевірку операцій, залишки на рахунках і процедур. Чинники, зазначені у параграфі 44, також спонукають аудитора використовувати підрозділ внутрішнього аудита. Особливо це доречно щодо банків, філії яких географічно розосереджені. Часто в банках є відділ з аналізу кредитів (це або частина підрозділу внутрішнього аудиту, або самостійний підрозділ), який подає управлінському персоналові звіти про якість кредитів і про дотримання встановлених щодо них процедур. У будь- якому випадку аудитор часто розглядає можливість використання відділу з аналізу кредитів після відповідної перевірки цього відділу та його роботи. Рекомендації з використання роботи внутрішнього аудитора викладено в МСА 610 "Розгляд роботи внутрішнього аудитора".

Аудиторський ризик

45.       Далі наведено три складники аудиторського ризику:

а)      властивий ризик (ризик виникнення суттєвих помилок);

б)         ризик контролю (ризик того, що система внутрішнього контролю банку своєчасно не запобігає чи не виявляє та не виправляє такі викривлення);

в)         ризик невиявлення (ризик того, що суттєві викривлення, які залишилися, не будуть виявлені аудитором).

Властивий ризик та ризик контролю існують незалежно від аудиторської перевірки фінансової інформації і не піддаються контролю з боку аудитора. Характер ризиків, пов'язаних з банківською діяльністю, що обговорюються у параграфах 21—25, свідчить, що оцінений рівень властивого ризику на багатьох ділянках буде високим. Отже, банкові необхідно мати адекватну систему внутрішнього контролю, якщо треба, щоб рівні властивого ризику та ризику внутрішнього контролю були нижче високого. Аудитор оцінює ці ризики і розробляє процедури перевірки по суті так, щоб забезпечити прийнятно низький рівень аудиторського ризику.

Суттєвість

46.     Оцінюючи   суттєвість   (окрім   питань,   викладених  у   МСА   320 "Суттєвість в аудиті"), аудитор бере до уваги те, що:

•                 через високе співвідношення власних та запозичених коштів порівняно незначні викривлення можуть вплинути на результати періоду й на капітал банку (навіть якщо їхній вплив на загальні активи може бути незначним);

•                 через те, що прибутки банку малі (порівняно із загальною вартістю його активів і зобов'язань, включаючи позабалансові зобов'язання), викривлення, що стосуються лише активів і зобов'язань, включаючи позабалансові, можуть бути менш значущими, ніж ті викривлення, які можуть стосуватися звіту про прибутки та збитки;

•                 банки часто зобов'язані дотримуватися законодавчих вимог, зокрема, вимоги збереження мінімального рівня капіталу. Порушення цих вимог може викликати сумнів щодо відповідності застосування управлінським персоналом припущення про безперервність. Тому аудитор установлює такий рівень суттєвості, який дає змогу ідентифікувати викривлення, які, якщо їх не виправити, можуть спричинити значні порушення цих законодавчих вимог;

•                 відповідність припущення про безперервність часто залежить від питань, пов'язаних з репутацією банку як солідної фінансової   установи,   і   заходів   регулювальних   органів.

Внаслідок цього, операції між зв'язаними сторонами та інші проблеми, які можуть не бути значущими для інших, ніж банки, суб'єктів господарювання, можуть стати суттєвими для фінансових звітів банку, якщо вони стосуються репутації банку.

- Пояснення управлінського персоналу

47.       Пояснення управлінського персоналу важливі в контексті аудиторської перевірки банку, тому що вони допомагають аудиторові визначити повноту інформації та доказів, отриманих ним для цілей перевірки. Це особливо справедливо щодо банківських операцій, які, як правило, не відображаються у фінансових звітах (позабалансові статті), але можуть підтверджуватися іншими документами, про існування яких аудитор може не знати. Часто аудиторові необхідно одержати від управлінського персоналу пояснення про значні зміни в діяльності банку і ризиках, а також визначити сфери діяльності банку, де передбачувані аудиторські докази, можливо, треба буде доповнити поясненнями управлінського персоналу (наприклад, резерви на втрати за позиками та повнота відповідності вимогам регулювальних органів). МС А 580 "Пояснення управлінського персоналу" містить рекомендації щодо використання таких пояснень, як аудиторські докази, процедури, які виконує аудитор, оцінюючи такі пояснення й документуючи їх, а також умов, за яких пояснення слід одержувати у письмовій формі.

Залучення інших аудиторів

48.           Часто через широке географічне розосередження офісів більшості банків виникає необхідність використання послуг інших аудиторів у різних регіонах, де банки здійснюють свою діяльність. Це можна зробити за допомогою залучення інших відділень аудиторської фірми або інших аудиторських фірм, розташованих у таких регіонах.

49.           До використання роботи іншого аудитора, аудитор:

•                 впевнюється в незалежності цих аудиторів та їхній компетентності з погляду виконання необхідної роботи (включаючи їхні знання банківської справи та відповідних нормативних вимог);

•                 забезпечує повне розуміння умов завдання з аудиторської перевірки, застосовуваних бухгалтерських принципів і системи звітності;

•                 виконує процедури, потрібні для отримання достатніх і відповідних аудиторських доказів, що робота, виконана іншим аудитором, відповідає встановленій меті. Це досягається за допомогою обговорень з іншим аудитором, аналізу письмового стислого звіту про проведені процедури та про виявлені фактичні дані, огляду робочих документів іншого аудитора чи будь-яким іншим способом відповідно до обставин.

МСА 600 "Використання роботи іншого аудитора" дає докладніші рекомендації з питань, які слід розглядати, і процедур, які слід виконувати у подібних ситуаціях.

Координація роботи, яку слід виконати

50.       Для ефективного та результативного проведення аудиторської перевірки потрібна координація виконуваної роботи з огляду на розміри та географічне розосередження офісів більшості банків. Здійснюючи таку координацію, слід ураховувати:

•           роботу, виконувану: о       експертами; о       асистентами;

о       іншими відділеннями аудиторської фірми; о       іншими аудиторськими фірмами;

•           обсяг запланованого використання підрозділу внутрішнього

аудиту;

•                 потрібні дати подання звітності акціонерам і регулювальним органам;

•                 потребу в проведенні будь-якого спеціального аналізу й у наданні управлінським персоналом банку іншої документації.

51.       Найкращу координацію між асистентами можна забезпечити за допомогою проведення регулярних нарад для обговорення ходу аудиторської перевірки. Проте з урахуванням кількості асистентів, залучених до проведення аудиту, і кількості місць, де вони можуть працювати, аудитор, зазвичай, повідомляє відповідні частини плану аудиторської перевірки письмово. Викладаючи свої вимоги письмово, аудитор розглядає, включаючи коментарі з таких питань:

•                 фінансові звіти та іншу інформацію, що є предметом аудиту (і, за потреби, законні повноваження, згідно з якими проводиться аудиторська перевірка);

•                 будь-які інші необхідні аудиторові додаткові відомості. Це може бути інформація щодо певних позик, структури портфелю, письмові коментарі з роботи, яку слід виконати аудиторові (особливо щодо ризиків, описаних у параграфах 21-25, які відіграють важливу роль для банків), результатів роботи аудитора, можливих пунктів, які слід включити до листа управлінському персоналові з приводу внутрішнього контролю, питань місцевого регулювання, а також, якщо це доречно, форми будь-яких необхідних звітів;

•                 відповідні Міжнародні стандарти аудиту та місцеві нормативні вимоги, які треба застосовувати, виконуючи роботу (і, за потреби, інформацію про ці вимоги);

•                 відповідні принципи бухгалтерського обліку, яких слід дотримуватися складаючи фінансові звіти та іншу інформацію (і, за потреби, докладну інформацію про ці принципи);

•                 вимоги до надання проміжних звітів про хід аудиторської перевірки і терміни їх надання;

•                 докладну інформацію про контактних посадових осіб банку;

•                 плату за послуги і порядок виставлення рахунків;

•                 будь-які проблеми у сфері регулювання, внутрішнього контролю, бухгалтерського обліку чи аудиту, про які мають знати ті, хто виконує аудиторську перевірку.

- Операції зі зв'язаними сторонами

52.       Аудитор завжди обережно ставиться до операцій зі зв'язаними сторонами протягом аудиторської перевірки, особливо у сфері залучення та розміщення коштів. Процедури, виконані на етапі планування аудиторської перевірки, включаючи отримання розуміння щодо банку та банківської справи, можуть бути корисними при визначенні зв'язаних сторін. У деяких юрисдикціях операції зі зв'язаними сторонами підпадають під кількісні чи якісні обмеження. Аудитор визначає обсяг таких обмежень.

Розгляд припущення про безперервність

53.       МСА 570 "Безперервність" надає рекомендації з розгляду аудитором відповідності застосування припущення про безперервність управлінським персоналом. На додаток до питань, зазначених у цьому МСА, події чи умови такі, як наведені далі, також можуть викликати значні сумніви в спроможності банку продовжувати безперервно свою діяльність.

•           Швидке збільшення рівня операцій з похідними фінансовими інструментами. Це може вказувати на те, що банк проводить операції без необхідних діючих заходів контролю.

•                 Показники прибутковості чи прогнози, які припускають серйозне зменшення прибутковості, особливо, якщо достатність регламентованого капіталу чи рівень ліквідності банку є мінімальними.

•                 Ставки проценту, сплачувані на грошовому ринку, та за зобов'язаннями вкладників вище звичайних ринкових ставок. Це може свідчити про те, що банк має підвищений рівень ризику.

•                 Значне зменшення депозитів від інших банків чи інші форми фінансування ринку короткострокових капіталів. Це може свідчити про втрату довіри до цього банку з боку інших учасників ринку.

•                 Заходи, вжиті регулювальними органами чи такі, що загрожують, можуть мати негативний вплив на здатність банку продовжувати свою діяльність безперервно.

•                 Збільшення сум до сплати центральним банкам, що може вказувати на те. що банк був нездатний отримати ліквідні кошти зі звичайних ринкових джерел.

•                 Висока концентрація залежності від позичальників або джерел фінансування.

54.       МСА 570 також надає рекомендації аудиторам у разі виявлення подій чи обставин, які можуть стати підставою для значних сумнівів у здатності банку продовжувати безперервно свою діяльність. МСА 570 зазначає багато процедур, що можуть бути прийнятними; крім того, доречними також можуть бути такі процедури:

•                 огляд листування з регулювальними органами:

•                 огляд звітів, наданих регулювальними органами як результат інспекції з дотримання нормативних та законодавчих актів;

•                 обговорення результатів будь-яких інспекцій, що зараз відбуваються.

55.       Нормативна база, згідно з якою банк здійснює свою діяльність, може вимагати від аудитора розкриття інформації регулювальному органу про намір надати модифіковану думку чи про будь-які сумніви щодо здатності банку продовжувати безперервну діяльність. ПМПА 1004 надає подальші рекомендації з взаємовідносин між аудитором та інспектором з банківського нагляду.