Аудит эффективности ВПОДК: практическое руководство по подготовке к проверке Банка России

Нормативные требования ЦБ РФ к ВПОДК и фокус внимания аудитора

Почему банки с безупречной отчётностью всё равно получают предписания по ВПОДК? Ответ прост: регулятор проверяет не цифры в формах, а процесс — как банк пришёл к этим цифрам, кто за это отвечает и насколько система способна работать в кризис. Именно поэтому внутренний аудитор, готовящийся к проверке Банка России, должен понимать архитектуру требований, а не просто сверять ячейки в отчёте.

Нормативная база: что лежит в основе

Центральный документ — Указание Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы». Оно устанавливает требования к организации внутренних процедур оценки достаточности капитала (ВПОДК). Указание неоднократно корректировалось, ключевые изменения внесены Указанием № 4838-У от 27.06.2018, которое обновило структуру отчётности и усилило требования к раскрытию информации о результатах ВПОДК.

Помимо 3624-У, аудитор должен ориентироваться на:

Положение № 670-П — методика расчёта собственных средств (капитала)

Положение № 716-П — требования к системе управления операционным риском

Инструкцию Банка России № 139-И — обязательные нормативы и надзорные буферы

Разъяснения и письма Банка России, содержащие методические рекомендации по ВПОДК

Для банков с универсальной лицензией требования расширены: они обязаны проводить оценку по всем значимым рискам, включая кредитный, рыночный, операционный, риск ликвидности и страновой риск. Банки с базовой лицензией могут применять упрощённый подход, но это не освобождает их от необходимости иметь документально оформленную систему ВПОДК.

Структура требований 3624-У: четыре столпа

Требования Указания № 3624-У можно разбить на четыре логических блока, каждый из которых становится зоной проверки регулятора.

Организация ВПОДК. Банк должен определить органы управления, ответственные за ВПОДК, закрепить полномочия в внутренних документах, обеспечить независимость подразделений, участвующих в оценке. Ключевой вопрос аудитора: есть ли утверждённый регламент ВПОДК с чётким распределением ролей между подразделениями риск-менеджмента, казначейства, финансового департамента и комитетами?

Методология оценки значимых рисков. Для каждого значимого риска банк обязан разработать методологию количественной оценки, определить источники данных, подходы к моделированию и критерии значимости. Аудитор проверяет: методология не просто существует, но и применяется на практике, результаты согласуются с данными бухгалтерского учёта, а подходы пересматриваются при существенных изменениях в деятельности.

Стресс-тестирование. Банк обязан проводить стресс-тестирование капитала по макросценариям и идиосинкразическим сценариям. Результаты должны учитываться при принятии решений о достаточности капитала. Аудитор смотрит: сценарии актуальны, охватывают ключевые риски, результаты доведены до органов управления и повлияли на конкретные решения.

Отчётность и раскрытие. Банк формирует отчёт ВПОДК по форме Приложения 2 к 3624-У. Отчёт содержит четыре раздела: организация ВПОДК, информация о системе управления рисками и результатах оценки, документы, разработанные в рамках ВПОДК, и информация о несоответствиях. Именно этот отчёт становится основным предметом проверки регулятора.

Фокус внимания аудитора: на что смотрит Банк России

Практика проверок показывает, что регулятор сосредоточен не на формальном соответствии, а на содержательной работе системы. Вот ключевые зоны, на которые аудитор должен обратить внимание при подготовке.

Качество идентификации значимых рисков. Регулятор проверяет, не пропущен ли значимый риск. Например, банк активно развивает цифровые каналы, но не включил в перечень значимых киберриск или риск потери репутации. Аудитор должен сверить перечень значимых рисков со стратегией банка и фактической деятельностью.

Обоснованность подходов к оценке. Методология должна быть адекватна масштабу и сложности банка. Малый банк может использовать упрощённые подходы, но должен обосновать их выбор. Крупный банк не может ограничиться экспертными оценками — регулятор ожидает количественных моделей.

Интеграция ВПОДК в процесс принятия решений. Результаты ВПОДК должны реально влиять на решения органов управления: о распределении прибыли, об эмиссии субординированных облигаций, о дивидендной политике. Аудитор проверяет протоколы заседаний правления и наблюдательного совета — есть ли ссылки на результаты ВПОДК.

Качество документального обеспечения. Регулятор обращает внимание на полноту, актуальность и внутреннюю согласованность документов. Распространённая проблема: политика управления рисками противоречит процедурам стресс-тестирования, а методология оценки кредитного риска ссылается на устаревший внутренний документ.

Практический подход к аудиту: с чего начать

Внутренний аудитор, планирующий проверку эффективности ВПОДК, должен действовать последовательно.

Получите и изучите отчёт ВПОДК за последний отчётный период — это отправная точка, из которой вытекают все дальнейшие проверочные процедуры.

Составьте карту нормативных требований — сопоставьте каждый пункт 3624-У с документами и процедурами банка.

Проведите интервью с владельцами процессов — руководителями подразделений риск-менеджмента, казначейства, финансового департамента. Выясните, понимают ли они свою роль в ВПОДК.

Выберите выборку — для детальной проверки отберите 2–3 значимых риска и проверьте полноту цикла: от идентификации через оценку и стресс-тестирование до отчётности.

Сопоставьте данные — сверьте результаты оценки рисков с данными бухгалтерского баланса, отчётности по формам 0409115 и 0409135, внутренними отчётами подразделений.

Такой подход позволяет не просто зафиксировать формальные нарушения, а оценить реальную эффективность системы — именно то, что интересует регулятора.

> Главная ловушка для аудитора — проверять ВПОДК как набор документов, а не как живую систему управления. Банк России смотрит на процесс, а не на бумаги.

Аудит методологии управления значимыми рисками

Банк утверждает перечень из семи значимых рисков, но при детальном разборе выясняется, что для трёх из них методология оценки — это три абзаца в политике управления рисками без конкретных формул, пороговых значений и источников данных. Именно такие ситуации регулярно выявляет Банк России при проверках ВПОДК. Аудитор должен уметь отличить формально существующую методологию от реально работающей.

Что такое значимый риск и почему это важно

Значимый риск — это риск, который может оказать существенное влияние на финансовое положение банка и достаточность его капитала. Перечень значимых рисков определяет сам банк, но регулятор оставляет за собой право не согласиться с этим перечнем. Если банк не включил в перечень риск, который по объективным критериям является существенным, это расценивается как нарушение.

Критерии значимости прописаны в 3624-У и включают:

объём активов и обязательств, подверженных данному риску

долю доходов и расходов, связанных с деятельностью, генерирующей риск

масштаб операций, создающих риск

результаты стресс-тестирования

Аудитор проверяет не только сам перечень, но и процедуру его формирования: кто инициировал включение или исключение риска, на основании каких данных, как часто перечень пересматривается.

Структура проверки методологии

Аудит методологии оценки значимых рисков — это проверка по четырём направлениям.

Полнота охвата. Для каждого значимого риска должна быть разработана методология. Аудитор составляет матрицу: по строкам — значимые риски, по столбцам — элементы методологии (подход к оценке, источники данных, частота расчёта, пороговые значения, ответственное подразделение). Пустые ячейки — это нарушения.

| Элемент методологии | Кредитный риск | Рыночный риск | Операционный риск | Риск ликвидности | |---|---|---|---|---| | Подход к оценке | VaR, ожидаемые убытки | VaR, стресс-VaR | AMA / стандартный | GAP-анализ | | Источники данных | Кредитный реестр | Торговая система | База событий ОР | Управленческий баланс | | Частота расчёта | Ежедневно | Ежедневно | Ежеквартально | Ежедневно | | Пороговые значения | N6.0, N7.0 | Лимит VaR | КПУР | Норматив ликвидности | | Ответственное подразделение | УКР | Казначейство | УОР | УЛиП |

Адекватность подходов. Методология должна соответствовать масштабу и сложности банка. Аудитор оценивает: не использует ли крупный банк с торговым портфелем в миллиарды рублей упрощённый подход «процент от активов» для оценки рыночного риска? И наоборот — не перегружен ли малый банк сложными моделями, которые он не в состоянии корректно применять?

Согласованность данных. Результаты оценки рисков должны быть согласованы с данными бухгалтерского учёта и отчётностью. Аудитор проводит встречную проверку: берёт объём кредитного портфеля из отчёта по форме 0409115 и сравнивает с данными, использованными при расчёте кредитного риска в рамках ВПОДК. Расхождения — сигнал о проблемах в качестве данных.

Периодический пересмотр. Методология не может быть зафиксирована раз и навсегда. Аудитор проверяет: когда последний раз пересматривалась методология для каждого значимого риска? Были ли изменения в связи с новыми продуктами, изменением рыночных условий, замечаниями регулятора?

Типичные ошибки при оценке кредитного риска

Кредитный риск — наиболее значимый для большинства российских банков. Типичные проблемы, которые выявляет аудит:

Неполнота оценки. Банк оценивает только ожидаемые убытки по сформированным резервам, но не рассчитывает непредвиденные убытки, которые должны покрываться капиталом. По сути, банк подменяет оценку кредитного риска в рамках ВПОДК расчётом резервов по МСФО или РСБУ — это разные задачи.

Отсутствие сегментации. Единая модель оценки для всех типов заёмщиков — корпоративных, розничных, МСБ — не позволяет уловить специфику рисков. Аудитор проверяет: есть ли отдельные подходы для разных сегментов портфеля?

Игнорирование концентрационного риска. Банк может иметь приемлемый уровень кредитного риска в целом, но критическую концентрацию по отдельным отраслям, регионам или крупным заёмщикам. Методология должна включать оценку концентрации.

Оценка операционного риска: особенности аудита

Операционный риск — наименее формализованный, и именно здесь чаще всего встречаются проблемы. Положение Банка России № 716-П устанавливает требования к системе управления операционным риском, которые напрямую связаны с ВПОДК.

Аудитор проверяет:

полноту ведения базы событий операционного риска — все ли инциденты фиксируются, включая «события-близнецы» и «события без убытков»

корректность классификации событий по типам операционного риска (внутреннее мошенничество, внешнее мошенничество, трудовые отношения, безопасность клиентов, повреждение физических активов, сбои в бизнесе и системах, исполнение и управление)

качество самооценки рисков и контрольных процедур (СОРиКП) — проводится ли она регулярно, охватывает ли все бизнес-процессы, используются ли результаты при оценке достаточности капитала

наличие и корректность контрольных показателей уровня риска (КПУР) — утверждены ли они органами управления, проводится ли мониторинг

Формирование доказательной базы

По результатам аудита методологии аудитор формирует доказательства, которые впоследствии станут основой аудиторского заключения. Ключевые документы:

выписки из внутренних документов, подтверждающие наличие методологии

распечатки расчётов с указанием входных данных и результатов

протоколы согласования методологии и результатов оценки

сопоставительные таблицы данных ВПОДК и бухгалтерской отчётности

записи интервью с ответственными сотрудниками

Каждое выявленное несоответствие должно быть описано по схеме: факт (что обнаружено) → требование (какой пункт нормативного акта нарушен) → риск (какие последствия может повлечь) → рекомендация (что нужно исправить).

> Аудит методологии — это не проверка наличия документов, а оценка того, насколько методология позволяет банку адекватно понимать свои риски и принимать обоснованные решения о капитале.

Проверка процедур стресс-тестирования капитала

Банк провёл стресс-тест по макросценарию «падение ВВП на 8%», получил результат — снижение достаточности капитала на 1,2 процентных пункта, и на этом работа закончилась. Никаких решений, никаких планов действий, никакого влияния на стратегию. Для Банка России это классический пример неэффективного стресс-тестирования: процедура формально выполнена, но не работает как инструмент управления.

Зачем стресс-тестирование встроено в ВПОДК

Стресс-тестирование — это не отчёт для регулятора, а инструмент принятия решений. Его цель — ответить на вопрос: «Выживет ли банк при неблагоприятном сценарии, и если нет, то что нужно сделать заранее?» Указание 3624-У требует, чтобы результаты стресс-тестирования учитывались при:

определении потребности в капитале

формировании стратегии управления капиталом

принятии решений о распределении прибыли и выплате дивидендов

определении лимитов на принятие рисков

Аудитор проверяет именно эту связь — от сценария через результат к решению.

Требования к процедурам стресс-тестирования

Процедуры стресс-тестирования должны быть документально оформлены и включать:

Перечень сценариев. Банк обязан использовать как минимум макросценарии (разработанные Банком России или самостоятельно) и идиосинкразические сценарии (специфичные для банка). Макросценарии должны охватывать рецессию, девальвацию, рост процентных ставок, отток вкладов. Идиосинкразические — потерю крупного контрагента, кибератаку, репутационный кризис.

Методику проведения. Для каждого сценария должна быть описана последовательность расчётов: как макропараметры транслируются в финансовые показатели банка, как оценивается влияние на капитал, какие допущения используются.

Критерии оценки результатов. Банк должен определить, при каком уровне снижения капитала ситуация считается критической. Например, если достаточность капитала падает ниже норматива Н1.0 — это красная зона, между нормативом и буфером — жёлтая, выше буфера — зелёная.

План реагирования. Для каждого неблагоприятного результата должен быть предусмотрен план мероприятий: меры по восстановлению капитала, ограничение рисков, изменение стратегии.

Алгоритм аудита процедур стресс-тестирования

Аудитор проверяет стресс-тестирование по следующему алгоритму.

Шаг 1. Проверка документации. Получите и изучите внутренний документ, регламентирующий процедуры стресс-тестирования. Убедитесь, что он утверждён уполномоченным органом управления, содержит все обязательные элементы и согласован с политикой управления рисками.

Шаг 2. Проверка полноты сценариев. Составьте матрицу сценариев и проверьте: охватывают ли они все значимые риски банка? Актуальны ли макропараметры? Учтены ли текущие риски — например, геополитические, санкционные, киберугрозы?

Шаг 3. Проверка корректности расчётов. Выберите один–два сценария и повторите расчёт. Сравните результаты с отчётными данными. Обратите внимание на:

корректность трансляции макропараметров в показатели банка

полноту охвата балансовых и забалансовых позиций

корректность расчёта влияния на капитал с учётом надзорных буферов

использование консервативных допущений

Шаг 4. Проверка связи с решениями. Это самый важный и самый сложный этап. Аудитор проверяет протоколы заседаний комитетов и правления за период после проведения стресс-тестирования. Ключевые вопросы:

Были ли результаты стресс-тестирования представлены органам управления?

Принимались ли решения на основании этих результатов?

Если стресс-тест показал угрозу снижения капитала ниже норматива — был ли разработан и реализован план мероприятий?

Шаг 5. Проверка периодичности. Стресс-тестирование должно проводиться не реже одного раза в год, а при существенных изменениях в деятельности — внеочередно. Аудитор проверяет: нет ли пропусков в графике?

Типичные нарушения, выявляемые при проверке

Практика аудита и проверок Банка России выявляет устойчивый набор нарушений в процедурах стресс-тестирования.

Формальный подход к сценариям. Банк использует одни и те же сценарии из года в год, не адаптируя их к текущей экономической ситуации. Например, в 2024 году банк продолжает тестировать сценарий роста курса доллара до 80 рублей, хотя фактический курс уже выше 100.

Отсутствие обратной связи. Результаты стресс-тестирования не влияют на решения органов управления. Аудитор обнаруживает, что отчёт о стресс-тестировании был подготовлен, но не представлен на заседание правления, или представлен формально без обсуждения.

Неполнота охвата. Стресс-тестирование проводится только по кредитному риску, хотя значимыми являются также рыночный риск и риск ликвидности. Или банк тестирует каждый риск изолированно, но не проводит комплексное стресс-тестирование, учитывающее одновременное воздействие нескольких факторов.

Недостаточная глубина расчётов. Банк использует упрощённый подход «процентное изменение → процентное влияние на капитал» без детальной проработки трансляционных механизмов. Например, при сценарии роста просрочки на 5 процентных пунктов банк просто увеличивает резервы на 5%, не учитывая влияние на чистый процентный доход, операционные расходы и налоги.

Отсутствие планов реагирования. Банк определил, что при определённом сценарии достаточность капитала упадёт ниже норматива, но не разработал план мероприятий по восстановлению капитала. Это грубое нарушение, которое регулятор расценивает как неэффективность системы ВПОДК в целом.

Практический пример: что ищет аудитор

Допустим, банк провёл стресс-тест по сценарию «рецессия»: падение ВВП на 6%, рост безработицы до 8%, девальвация на 30%, рост ключевой ставки до 20%. Результат: достаточность капитала снижается с 12,5% до 9,8%, что выше минимального норматива Н1.0 (8%), но ниже буфера сохранения капитала.

Аудитор проверяет: что сделал банк с этим результатом? Если ответ — «ничего, ведь норматив не нарушен», это проблема. Буфер капитала существует именно для того, чтобы банк принимал меры до достижения минимального норматива. Аудитор должен зафиксировать: результат стресс-тестирования не привёл к принятию мер по укреплению капитала, что свидетельствует о неэффективности процедуры.

> Стресс-тестирование работает только тогда, когда его результаты заставляют банк что-то менять. Если расчёты ложатся в стол — это не стресс-тест, а формальная отчётность.

Оценка качества отчётности и документального обеспечения ВПОДК

Отчёт ВПОДК заполнен, все разделы на месте, приложения прикреплены — но при детальном анализе аудитор обнаруживает, что данные в первом и втором разделах противоречат друг другу, перечень значимых рисков не совпадает с тем, что указано в стратегии управления рисками, а в четвёртом разделе стоит отметка «несоответствий нет», хотя в ходе аудита они были выявлены. Именно такие ситуации создают максимальные риски при проверке Банка России: не отсутствие документов, а их внутренняя противоречивость.

Структура отчёта ВПОДК: что проверяет регулятор

Отчёт об организации ВПОДК и их результатах формируется по форме, установленной Приложением 2 к Указанию 3624-У. Он состоит из четырёх разделов, каждый из которых подлежит проверке.

Раздел 1 содержит информацию об организации ВПОДК: органы управления, ответственные за ВПОДК, подразделения, участвующие в процедурах, порядок взаимодействия. Аудитор проверяет: соответствует ли описанная структура фактическому распределению полномочий? Нередко в отчёте указано, что за методологию оценки кредитного риска отвечает управление риск-менеджмента, а на практике расчёты выполняет кредитный департамент без согласования с риск-менеджментом.

Раздел 2 — основной: информация о системе управления рисками и результатах оценки достаточности капитала. Здесь указываются значимые риски, подходы к их оценке, результаты расчётов, влияние на капитал. Аудитор проводит детальную сверку: данные этого раздела должны быть согласованы с бухгалтерской отчётностью, данными внутреннего учёта и результатами стресс-тестирования.

Раздел 3 содержит перечень документов, разработанных в рамках ВПОДК. Аудитор проверяет: все ли перечисленные документы существуют в актуальной редакции, утверждены ли уполномоченными органами, не противоречат ли друг другу.

Раздел 4 — информация о несоответствиях требованиям 3624-У и сроках их устранения. Этот раздел — лакмусовая бумажка зрелости системы: банк, который честно фиксирует выявленные несоответствия и работает над их устранением, вызывает больше доверия, чем банк, утверждающий полное соответствие при наличии очевидных проблем.

Методика аудита качества отчётности

Аудит качества отчётности проводится в три этапа.

Внутренняя согласованность. Аудитор проверяет, не противоречат ли данные внутри отчёта. Например: в Разделе 1 указано, что стресс-тестирование проводится ежеквартально, а в Разделе 2 последний расчёт датирован годом назад. Или перечень значимых рисков в Разделе 2 не совпадает с перечнем в стратегии управления рисками, на которую ссылается Раздел 3.

Согласованность с внешними источниками. Данные отчёта ВПОДК сверяются с:

формой 0409115 (об отдельных показателях деятельности кредитной организации)

формой 0409135 (о собственных средствах кредитной организации)

данными бухгалтерского баланса

отчётностью по МСФО (при наличии)

внутренними отчётами подразделений

Расхождения допустимы только при наличии обоснования (например, разница в методиках расчёта, разные отчётные даты). Необъяснимые расхождения — это нарушение.

Согласованность с процессами. Аудитор проверяет: отражают ли данные отчёта реальные процессы в банке? Например, если в отчёте указано, что для оценки операционного риска используется подход на основе показателя базового дохода, аудитор проверяет: действительно ли этот подход применяется, корректно ли рассчитан базовый доход, все ли виды доходов учтены.

Документальное обеспечение: что должно быть в наличии

Помимо отчёта ВПОДК, банк должен располагать комплектом внутренних документов. Аудитор составляет чек-лист наличия документов:

Стратегия управления рисками и капиталом (или отдельная стратегия управления капиталом)

Политика управления каждым значимым риском

Методологии количественной оценки значимых рисков

Регламент проведения ВПОДК

Процедуры стресс-тестирования

Положение о комитете по управлению рисками

Положение о комитете по капиталу (при наличии)

Порядок определения перечня значимых рисков

Порядок доведения результатов ВПОДК до органов управления

Для каждого документа аудитор проверяет: дату утверждения, утвердивший орган, наличие актуальной редакции, отсутствие противоречий с другими документами.

Качество документирования: не только наличие, но и содержание

Наличие документа — необходимое, но недостаточное условие. Аудитор оценивает содержательное качество документов по критериям:

Конкретность. Документ содержит чёткие формулировки, конкретные показатели, определённые сроки. Плохо: «Банк проводит стресс-тестирование с целью оценки устойчивости капитала». Хорошо: «Стресс-тестирование проводится ежеквартально не позднее 30-го числа месяца, следующего за отчётным кварталом, по макросценариям, утверждённым комитетом по управлению рисками, и идиосинкразическим сценариям, определяемым управлением риск-менеджмента».

Полнота. Документ охватывает все существенные аспекты процесса. Если в методологии оценки кредитного риска описан расчёт ожидаемых убытков, но не упомянуты непредвиденные убытки — это пробел.

Согласованность. Документ не противоречит другим внутренним документам и нормативным актам Банка России. Аудитор проводит перекрёстную проверку: если политика управления кредитным риском ссылается на методику, которая была отменена год назад, — это нарушение.

Актуальность. Документ пересматривается при существенных изменениях. Аудитор проверяет: были ли изменения в деятельности банка (новые продукты, новые рынки, изменение структуры), которые требуют пересмотра документов? Если да — были ли документы обновлены?

Формирование аудиторского заключения по качеству отчётности

По результатам проверки качества отчётности аудитор формирует заключение, которое включает:

оценку внутренней согласованности отчёта ВПОДК

перечень выявленных расхождений с внешними источниками данных

оценку полноты и актуальности документального обеспечения

конкретные рекомендации по устранению выявленных недостатков

Заключение должно быть структурированным и содержать ссылки на конкретные пункты документов и нормативных актов. Это важно не только для внутреннего использования, но и для возможного диалога с регулятором: аудиторское заключение, подготовленное до проверки Банка России, демонстрирует системный подход к внутреннему контролю.

> Качество отчётности ВПОДК — это зеркало качества самой системы. Если в отчёте противоречия, значит, и в процессах хаос.

Чек-лист аудитора: типичные нарушения и подготовка к проверке регулятора

Представьте: инспектор Банка России садится за стол, открывает отчёт ВПОДК и через 15 минут формулирует первое замечание — перечень значимых рисков не обновлялся два года, хотя банк за это время запустил три новых цифровых продукта. Это не гипотетическая ситуация, а типичный сценарий проверки, который можно предотвратить, если внутренний аудитор заранее пройдёт по тем же маршрутам, что и регулятор.

Типичные нарушения: что выявляет Банк России

Анализ практики проверок позволяет выделить устойчивый перечень нарушений, которые регулятор фиксирует в малых и средних банках. Знание этого перечня позволяет сфокусировать внутренний аудит на критических зонах.

Нарушения в организации ВПОДК:

отсутствие утверждённого регламента ВПОДК или его формальный характер (три страницы без конкретики)

неопределённость ответственности: в документах указано, что за ВПОДК отвечает комитет по управлению рисками, но в положении о комитете эта функция не прописана

отсутствие регулярного взаимодействия между подразделениями, участвующими в ВПОДК: риск-менеджмент, казначейство, финансовый департамент работают изолированно

Нарушения в методологии оценки рисков:

неполный перечень значимых рисков — отсутствуют риски, которые объективно являются существенными для деятельности банка

формальные методологии: описание подхода без конкретных формул, источников данных, пороговых значений

несогласованность данных оценки с бухгалтерской отчётностью

отсутствие периодического пересмотра методологий

Нарушения в процедурах стресс-тестирования:

использование устаревших или нереалистичных сценариев

отсутствие идиосинкразических сценариев

формальное отношение к результатам: расчёт проведён, но решения не приняты

отсутствие планов реагирования на неблагоприятные результаты

непроведение стресс-тестирования в установленные сроки

Нарушения в качестве отчётности:

внутренние противоречия в отчёте ВПОДК

расхождения данных отчёта с формами регулятивной отчётности

неполное раскрытие информации о несоответствиях в Разделе 4

отсутствие обоснования используемых подходов

Нарушения в корпоративном управлении:

результаты ВПОДК не доводятся до наблюдательного совета

решения о распределении прибыли принимаются без учёта результатов оценки достаточности капитала

отсутствие независимой оценки эффективности ВПОДК (внутренним аудитом или внешним консультантом)

Чек-лист подготовки к проверке

Ниже — практический чек-лист, по которому внутренний аудитор может провести предварительную проверку перед визитом регулятора. По каждому пункту проставляется статус: «соответствует», «частичное соответствие», «нарушение».

Организация ВПОДК:

Регламент ВПОДК утверждён уполномоченным органом управления

В регламенте определены роли всех участвующих подразделений

Определены сроки и периодичность процедур ВПОДК

Установлен порядок взаимодействия между подразделениями

Результаты ВПОДК доводятся до органов управления в установленном порядке

Значимые риски:

Перечень значимых рисков актуален и соответствует деятельности банка

Критерии значимости определены и документально оформлены

Перечень пересматривается не реже одного раза в год

Для каждого значимого риска разработана методология оценки

Методология содержит конкретные подходы, источники данных, пороговые значения

Оценка достаточности капитала:

Расчёт достаточности капитала проведён по всем значимым рискам

Использованные данные согласованы с бухгалтерской отчётностью

Результаты оценки сопоставимы с нормативами и буферами капитала

Определена потребность в капитале с учётом стратегических планов

Стресс-тестирование:

Процедуры стресс-тестирования документально оформлены

Используются актуальные макросценарии

Разработаны идиосинкразические сценарии

Результаты представлены органам управления

По неблагоприятным результатам разработаны планы реагирования

Стресс-тестирование проведено в установленные сроки

Отчётность:

Отчёт ВПОДК заполнен по всем четырём разделам

Данные отчёта внутренне согласованы

Данные отчёта согласованы с регулятивной отчётностью

Раздел 4 содержит полную информацию о выявленных несоответствиях

Все документы, перечисленные в Разделе 3, существуют в актуальной редакции

Корпоративное управление:

Наблюдательный совет утверждает стратегию управления капиталом

Результаты ВПОДК учитываются при принятии решений о капитале

Проведена независимая оценка эффективности ВПОДК

Выявленные аудитом нарушения включены в план мероприятий

Стратегия диалога с регулятором

Подготовка к проверке — это не только устранение нарушений, но и выстраивание конструктивного диалога с инспекторами Банка России.

Демонстрируйте системность. Регулятор ценит банки, которые работают над развитием системы ВПОДК, а не просто реагируют на замечания. Предоставьте аудиторское заключение, план мероприятий по улучшению, отчёты о прогрессе.

Будьте готовы объяснять выбор. Если банк использует упрощённый подход к оценке определённого риска, подготовьте обоснование: почему этот подход адекватен масштабу и сложности банка, какие меры приняты для минимизации погрешности.

Фиксируйте все договорённости. По результатам каждого взаимодействия с регулятором составляйте протокол: какие вопросы задавались, какие ответы даны, какие замечания получены. Это создаёт прозрачную историю взаимодействия.

Не скрывайте проблемы. Если аудит выявил нарушения, которые ещё не устранены, — честно сообщите об этом и представьте план устранения со сроками. Банк России оценивает не отсутствие проблем, а способность их выявлять и решать.

Формирование доказательной базы для аудиторского заключения

Аудиторское заключение по эффективности ВПОДК должно содержать:

описание объекта и периода проверки

перечень проверенных документов и процедур

критерии оценки (ссылки на конкретные пункты 3624-У и других нормативных актов)

описание выявленных нарушений с указанием фактов, требований и рисков

оценку уровня существенности каждого нарушения

конкретные рекомендации с указанием ответственных и сроков

Каждое нарушение должно быть подкреплено доказательствами: выписками из документов, распечатками расчётов, записями интервью, сопоставительными таблицами. Чем детальнее доказательная база, тем выше ценность заключения — как для внутреннего использования, так и для представления регулятору.

> Лучшая подготовка к проверке Банка России — это когда внутренний аудитор находит и фиксирует проблемы раньше инспектора. Тогда проверка превращается не в экзамен, а в подтверждение того, что система работает.