Naujas vidaus audito reglamentavimas
Nuo ateinančių metų sausio licencijuojamoms įmonėms taps privaloma turėti vidaus auditorių – tuo pačiu finansų rinkos priežiūros tarnyba skirs daugiau dėmesio vertinant, ar ir kaip yra įgyvendinamos vidaus audito funkcijos Elektroninių pinigų įstaigose (EPĮ) ir Mokėjimo įstaigose (MĮ). Lietuvos banko priimtu naujuoju nutarimu siekiama užtikrinti finansų rinkos stabilumą ir skaidrumą. Todėl EPĮ bei MĮ, vengdamos su vidaus auditu susijusių rizikų ir galimų nuobaudų, privalės dėmesį skirti šios srities įgyvendinimui, pasitelkiant vidinius resursus ar deleguojant šių funkcijų įgyvendinimo užtikrinimą išorės paslaugų teikėjams (konsultantams, auditoriams).
Detalizuotas vidaus audito funkcijos įgyvendinimo reguliavimas bus papildytas jau nuo 2021 m. sausio mėn. Pakeitimus Lietuvos banko valdyba priėmė šių metų liepos mėnesį, patvirtinusi EPĮ ir MĮ valdymo sistemos ir gautų lėšų apsaugos reikalavimų aprašą, kuris, be kita ko, pateikia konkretesnes gaires, kaip turi būti vykdomas vidaus auditas, kartu akcentuojant ir šios funkcijos įgyvendinimo privalomumą.
Kuo skiriasi naujoji tvarka nuo galiojusios anksčiau? Nors vidaus audito funkcijos įgyvendinimas ir anksčiau buvo numatytas Elektroninių pinigų ir elektroninių pinigų įstaigų bei Mokėjimo įstaigų įstatymuose, tačiau lig šiol galiojęs reglamentavimas buvo gan deklaratyvus ir keliantis nemažai klausimų rinkos dalyviams, mat įstatymai numatė tik formalų reikalavimą EPĮ ir MĮ užtikrinti, kad būtų vykdomos vidaus audito funkcijos. Iš esmės iki naujojo Lietuvos banko nutarimo vidaus audito funkcijos įgyvendinimas buvo paliktas labiau pačios įstaigos savikontrolei, o vidaus auditas lig šiol neretai vykdytas gan fragmentiškai – pavyzdžiui, audituojant tik veiklos sritis, susijusias su atitiktimi pinigų plovimo prevencijos reikalavimams. Tuo tarpu kitų veiklos sričių vidaus auditui dėmesio bei išteklių nebuvo skiriama arba jie buvo itin rezervuoti. Be to, pastebima, kad daugelio EPĮ ir MĮ dar licencijos gavimo etape pateiktų procedūrų, susijusių su valdymo sistemos ir vidaus kontrolės funkcijomis, praktinis įgyvendinimas net ir pradėjus faktinę veiklą, taip ir likęs sąrašo „to do“ (angl. „atlikti“) apačioje.
Papildžius reguliavimą, pati vidaus auditoriaus samprata nesikeičia. Tačiau didėja vidaus audito funkcijos reikšmingumas. Kaip žinia, vidaus auditas – tai nepriklausoma, objektyvi užtikrinimo ir konsultavimo veikla, skirta kurti pridėtinę vertę organizacijai ir padėti gerinti jos veiklą. Vidaus auditoriaus funkcija priskiriama prie vidaus kontrolės funkcijų. Todėl tinkamas vidaus audito atlikimas, kurio metu sistemingai ir visapusiškai vertinamas visų operacinių, organizacinių ir rizikos valdymo bei kontrolės procesų veiksmingumas – efektyvi priemonė verslo tikslams pasiekti.
Tačiau norint, kad vidaus auditas būtų ne tik formali procedūra, turi būti užtikrintas šios funkcijos nepriklausomumas. Dėl to vidaus auditorius negali būti atsakingas už kitas įstaigos vidaus kontrolės funkcijas. Itin svarbu, kad auditą atliekantis subjektas turėtų tinkamą kompetenciją ir žinias. O tam, kad vidaus auditas išties būtų naudingas organizacijai, auditorius turėtų būti įvaldęs ne tik teorines audito atlikimo metodikas, bet ir išmanyti EPĮ ar MĮ veiklą, teikiamų paslaugų specifiką, praktinius veiklos principus bei reguliacinę aplinką.
Lietuvoje dažniausiai veikia užsienio kapitalo „fintech“ bendrovės, priklausančios tarptautinėms įmonių grupėms. Pastarosios vidaus auditoriais neretai linkusios deleguoti „savus“ užsienio praktiką sukaupusius asmenis. Nors tokie asmenys puikiai išmano tam tikros EPĮ ar MĮ veiklos ypatumus, tačiau dėl žinių stokos, susijusios su nacionaliniais teisės aktais bei praktiniu jų įgyvendinimu, pateikti kompetentingą ir pagrįstą audito išvadą Lietuvoje veiklą vykdančiai įstaigai jiems būna sudėtinga.
Be to, pagal naująjį LB reguliavimą, vidaus auditas orientuotas ne vien į finansinės ir apskaitos sričių auditą. Priešingai, vidaus auditas turėtų apimti kur kas platesnį spektrą – pavyzdžiui, įvertinimą, kaip užtikrinamas vidaus kontrolės funkcijų įgyvendinimas, ar nustatytos informacinių ir ryšių technologijų bei saugumo rizikos valdymo procedūros yra veiksmingos, ar vidinės informacijos apsikeitimo priemonės ne tik atitinka teisės aktų reikalavimus, bet ir ar jos išties yra veiksmingos, kaip vidaus procesai įgyvendinami praktikoje ir t.t.
Vidaus audito kompleksiškumas dažnai sąlygoja tai, kad auditui keliami reikalavimai EPĮ ar MĮ įgyvendinami kur kas sklandžiau, kuomet pasitelkiama išorės vidaus auditą atliekančių konsultantų, turinčių patirties dirbant su „fintech“ įmonėmis, pagalba. Juolab tokia strategija leidžia sumažinti ir vidaus auditui skirtus kaštus. Iš praktikos pastebime, jog neretai „fintech“ bendrovėms sunku objektyviai įsivertinti, ar vidiniai procesai, funkcijos, procedūros yra įgyvendinami tinkamai. Tuo tarpu vidaus auditą atlikus išorės specialistams, finansų sektoriuje veikiantys subjektai veiklą pamato kitu kampu.
Tikėtina, kad po nutarimo įsigaliojimo Finansų rinkos priežiūros tarnyba skirs daugiau dėmesio vidaus audito kontrolei, vertinant, kaip EPĮ bei MĮ užtikrina šių reikalavimų įgyvendinimą praktikoje. Teigiama, kad kontrolės tikslas nebus poveikio priemonių finansų rinkos dalyviams taikymo pretekstas. Priešingai, tuo siekiama didinti EPĮ bei MĮ sąmoningumą vidaus kontrolės įgyvendinimo kontekste, skatinant savalaikį ir veiksmingą savikontrolės mechanizmą rizikų identifikavimo ir valdymo tikslais. Visgi neatmetama ir tikimybė, jog sutelkus finansų rinkos dalyvių priežiūrą šioje srityje, nebus apsieita ir be sankcijų. Įprasta, kad bet kokia griežtesnė įstaigų kontrolė tampa papildoma administracine ir finansine našta. Tačiau šiuo atveju reiktų nepamiršti, kad vidaus auditas prisideda prie bet kokios įstaigos vertės didinimo, nes tik objektyvių, rizikos vertinimu pagrįstų ir sistemingų rekomendacijų pagrindu veikianti organizacija gali kurti pridėtinę vertę ne tik jos paslaugų vartotojams, bet ir sau.
Visą straipsnį Verslo žiniose galite skaityti čia.