Примечание РЦПИ!
Настоящее постановление вводится в действие с 1 января 2019 года.
В соответствии с законами Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан", от 20 ноября 1998 года "Об аудиторской деятельности", от 18 декабря 2000 года "О страховой деятельности", от 2 июля 2003 года "О рынке ценных бумаг", от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Установить:
1) Перечень вопросов, подлежащих проверке в рамках аудита иной информации, согласно приложению 1 к настоящему постановлению;
2) Требования к содержанию, срокам представления аудиторской организацией аудиторского заключения по аудиту иной информации согласно приложению 2 к настоящему постановлению;
3) Требования к аудиторам в составе аудиторской организации, привлекаемой к аудиту иной информации, согласно приложению 3 к настоящему постановлению.
2. Настоящее постановление распространяется на проведение проверки иной информации иным способом, чем аудит, в банке, филиале банка-нерезидента Республики Казахстан, страховой (перестраховочной) организации, филиале страховой (перестраховочной) организации-нерезидента Республики Казахстан, профессиональном участнике рынка ценных бумаг.
Сноска. Пункт 2 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).3. Департаменту методологии финансового рынка (Салимбаев Д.Н.) в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления его направление на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.
4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
6. Настоящее постановление вводится в действие с 1 января 2019 года и подлежит официальному опубликованию.
Председатель Национального Банка |
Д. Акишев |
"СОГЛАСОВАНО"
Министерство финансов
Республики Казахстан
Смаилов А.А.
31 октября 2018 года
Приложение 1 к постановлению Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 245 |
Перечень вопросов, подлежащих проверке в рамках аудита иной информации
1. В рамках оценки системы управления рисками и внутреннего контроля в банке, филиале банка-нерезидента Республики Казахстан, страховой (перестраховочной) организации, филиале страховой (перестраховочной) организации-нерезидента Республики Казахстан, профессиональном участнике рынка ценных бумаг (далее - финансовая организация) проверке подлежат следующие вопросы:
1) адекватность определения риск-профиля финансовой организации исходя из выбранной бизнес-модели и стратегии развития финансовой организации;
2) адекватность определения агрегированного уровня (уровней) риск-аппетита (допустимого уровня риска) и уровней риск-аппетита по каждому виду риска финансовой организации;
3) соответствие стратегического и бюджетного планирования экономическим целям и принимаемым финансовой организацией рискам;
4) качество прогнозирования основных финансовых показателей финансовой организации;
5) качество внутренних процедур оценки достаточности собственного капитала (активов филиала банка-нерезидента Республики Казахстан, принимаемых в качестве резерва), и ликвидности для покрытия рисков, присущих деятельности финансовой организации;
6) план действий, направленных на восстановление деятельности финансовой организации в случае возникновения непредвиденных обстоятельств;
7) качество и реализация внутренних политик и процедур по управлению рисками, присущими деятельности финансовой организации, и по внутреннему контролю;
8) адекватность предельных значений количественных и качественных лимитов на различные виды рисков в рамках многоуровневой системы лимитов;
9) качество залогового обеспечения;
10) эффективность внутренней рейтинговой оценки заемщиков (скоринга);
11) эффективность процедур по выявлению и управлению активами с признаками обесценения в соответствии с международными стандартами финансовой отчетности;
12) эффективность системы раннего предупреждения, направленной на своевременное реагирование на изменения внутренних и (или) внешних индикаторов риска;
13) качество и эффективность стресс-тестирования, а также оценка адекватности интегрирования его результатов в систему управления рисками;
14) полнота, достоверность и своевременность управленческой информации, представляемой коллегиальным органам финансовой организации в рамках системы управления рисками;
15) эффективность функционирования системы трех линий защиты.
Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2. В рамках оценки стратегии и бизнес-модели, системы корпоративного управления проверке подлежат следующие вопросы:
1) качество и эффективность принимаемых управленческих решений;
2) качество политики вознаграждения руководящих работников финансовой организации;
3) соответствие структуры корпоративного управления выбранной бизнес-модели и риск-профилю финансовой организации;
4) эффективность мер по урегулированию конфликта интересов;
5) уровень квалификации персонала.
3. В рамках оценки системы управления рисками информационных технологий, эффективности системы информационной безопасности проверке подлежат следующие вопросы:
1) эффективность процесса оценки рисков информационных технологий;
2) полнота и эффективность общих компьютерных контролей, включая операционную эффективность имеющихся контролей;
3) полнота автоматизированных контролей, а также операционная эффективность автоматизированных контролей в бизнес-процессах;
4) достаточность вычислительных мощностей для текущих и будущих потребностей финансовых организаций;
5) эффективность процесса оценки рисков информационной безопасности;
6) эффективность существующего контроля в области обеспечения информационной безопасности;
7) эффективность мониторинга и анализа информации по инцидентам информационной безопасности, а также реагирования на инциденты информационной безопасности;
8) эффективность процесса управления непрерывностью деятельности финансовой организации.
4. В рамках оценки эффективности системы внутреннего контроля в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма проверке подлежат следующие вопросы:
1) подверженность финансовой организации риску легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;
2) процедуры "Знай своего клиента", адекватность оценки риска легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма по типу клиента;
3) выявление операций, подлежащих финансовому мониторингу;
4) эффективность взаимодействия подразделений финансовой организации по вопросам противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
5) адекватность и достаточность принимаемых финансовой организацией мер для минимизации рисков легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;
6) уязвимость предоставляемых финансовой организацией услуг, а также способов их предоставления рискам легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.
5. Если системы и (или) процессы переданы внешним исполнителям, то аудиторская организация оценивает достаточность и эффективность проверяемых вопросов и (или) мер, предпринимаемых финансовой организацией для оценки эффективности системы управления рисками и внутреннего контроля соответствующего внешнего исполнителя.
6. Детализированный перечень вопросов, подлежащих проверке в рамках аудита иной информации, определяется в решении о направлении финансовой организации требования о проведении аудита иной информации, принимаемом коллегиальным органом уполномоченного органа по регулированию, надзору и контролю финансового рынка и финансовых организаций (далее – уполномоченный орган), состав которого утверждается Правлением уполномоченного органа, по результатам выполнения финансовой организацией мер, определенных планом мероприятий, составленным по итогам обсуждения с уполномоченным органом рисков и недостатков, выявленных уполномоченным органом в деятельности финансовой организации в рамках риск-ориентированного надзора.
Приложение 2 к постановлению Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 245 |
Требования к содержанию, срокам представления аудиторской организацией аудиторского заключения по аудиту иной информации
1. Аудиторское заключение по аудиту иной информации в банке, филиале банка-нерезидента Республики Казахстан, страховой (перестраховочной) организации, филиале страховой (перестраховочной) организации-нерезидента Республики Казахстан, профессиональном участнике рынка ценных бумаг (далее - финансовая организация) содержит:
1) сведения о финансовой организации, в отношении которой проведен аудит иной информации;
2) сведения о квалификации и опыте работы аудиторов в составе аудиторской организации, проводивших аудит иной информации;
3) информацию о перечне проверенных аудиторской организацией вопросов;
4) информацию о перечне и объеме проверенной информации, включая внутренние документы, отчетность и системы, а также проведенных тестах для выявления рисков и недостатков, являющихся основой для выводов аудиторской организации;
5) аудируемый период;
6) информацию по методам, принципам и стандартам, которыми руководствовалась аудиторская организация при проведении аудита иной информации;
7) заявление о соблюдении аудиторской организацией требований международных стандартов аудита и Кодекса этики аудиторов Республики Казахстан;
8) четко выраженные выводы в виде независимого мнения и (или) наблюдений и рекомендаций аудиторской организации относительно результатов анализа и оценки вопросов, подлежащих проверке, сформированные с учетом наилучшей применимой международной практики, результатов оценки и анализа информации, предусмотренной частью пятой пункта 9 статьи 57 Закона Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан", частью пятой пункта 13 статьи 20 Закона Республики Казахстан от 18 декабря 2000 года "О страховой деятельности", частью пятой пункта 9 статьи 55-1 Закона Республики Казахстан от 2 июля 2003 года "О рынке ценных бумаг", и соответствующие принципам, предусмотренным пунктом 2 настоящих Требований, и факторам, предусмотренным пунктом 3 настоящих Требований;
9) дата подписания аудиторского заключения по аудиту иной информации;
10) подпись руководителя аудита иной информации;
11) фактическое место нахождения аудиторской организации, проводившей аудит иной информации.
Требование подпункта 7) настоящего пункта не распространяется на случай проведения проверки иной информации иным способом, чем аудит.
Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2. Выводы, содержащиеся в аудиторском заключении по аудиту иной информации, формируются с учетом следующих принципов:
1) уместность: результаты проверки являются релевантными и достоверными для последующего использования предполагаемыми пользователями;
2) полнота: анализ и оценка вопросов, подлежащих проверке, являются достаточными и отражают всю информацию, позволяющую принять решение уполномоченным органом;
3) надежность: использование надежных внутренних и внешних источников для формирования аудиторских доказательств, а также установления нескольких уровней контроля при проведении анализа и оценки вопросов, подлежащих проверке;
4) нейтральность: получение и использование непредвзятой объективной информации для анализа и оценки вопросов, подлежащих проверке;
5) понятность: изложение информации по проверяемым вопросам в доступной форме для последующего использования предполагаемыми пользователями;
6) независимость: исключение ситуации, при которой имеется вероятность влияния заинтересованности аудиторской организации на формируемые ею выводы.
3. Выводы, содержащиеся в аудиторском заключении по аудиту иной информации, формируются с учетом следующих факторов, принимаемых во внимание в целях снижения аудиторской организацией рисков недооценки необычных обстоятельств, чрезмерных обобщений, использования ненадлежащих допущений, способных привести к возможному искажению выводов:
1) наличие доказательств, противоречащих другим полученным доказательствам;
2) наличие информации, ставящей под сомнение надежность документов и ответов на запросы, которые используются в качестве доказательств;
3) наличие обстоятельств, которые обуславливают необходимость проведения дополнительных исследований для определения возможных недобросовестных действий финансовой организации.
4. Сроки представления аудиторской организацией аудиторского заключения по аудиту иной информации в уполномоченный орган по регулированию, надзору и контролю финансового рынка и финансовых организаций (далее – уполномоченный орган) устанавливаются в требовании уполномоченного органа о проведении аудита иной информации с учетом необходимости выполнения процедур, предусмотренных пунктом 5 настоящих Требований, и зависят от перечня вопросов, подлежащих проверке, и объема проверяемой информации.
5. Сроки представления аудиторского заключения по аудиту иной информации, указываемые в требовании уполномоченного органа о проведении аудита иной информации, устанавливаются с учетом проведения следующих мероприятий:
1) в течение 30 (тридцати) рабочих дней со дня получения требования уполномоченного органа о проведении аудита иной информации финансовая организация направляет в уполномоченный орган:
уведомление о предварительном выборе аудиторской организации с приложением плана проверки по аудиту иной информации (далее – план проверки) и указанием перечня привлекаемых к проверке аудиторов в составе аудиторской организации и их соответствия Требованиям к аудиторам в составе аудиторской организации, привлекаемой к аудиту иной информации, установленным согласно приложению 3 к настоящему постановлению, (далее – уведомление) либо;
ходатайство о проведении проверки иной информации организацией, не являющейся аудиторской, иным способом, чем аудит, с приложением плана проверки и указанием информации, предусмотренной абзацем вторым настоящего подпункта (далее – ходатайство).
План проверки содержит детальное описание предполагаемых направлений, объема, характера проведения аудита, особенностей используемых при проведении аудита методов и стандартов.
Срок, указанный в абзаце первом настоящего подпункта, продлевается на срок не более 30 (тридцати) рабочих дней в случае представления финансовой организацией в уполномоченный орган обоснования необходимости продления;
2) в случае, предусмотренном абзацем третьим подпункта 1) настоящего пункта, уполномоченный орган направляет финансовой организации результаты рассмотрения ходатайства в течение 5 (пяти) рабочих дней с даты его получения.
В случае отрицательного результата рассмотрения ходатайства финансовая организация повторно в срок не позднее 10 (десяти) рабочих дней с даты получения такого результата представляет в уполномоченный орган ходатайство или уведомление;
3) в срок не более 30 (тридцати) рабочих дней после даты получения уполномоченным органом плана проверки уполномоченный орган проводит обсуждение с аудиторской организацией плана проверки с целью его доработки, а также согласование доработанного плана проверки;
4) в срок не позднее 10 (десяти) рабочих дней после даты заключения договора на проведение аудита иной информации финансовая организация направляет в уполномоченный орган уведомление о выборе аудиторской организации;
5) в срок не позднее 20 (двадцати) рабочих дней до окончания срока представления аудиторского заключения по аудиту иной информации, определенного в требовании уполномоченного органа, аудиторская организация представляет в уполномоченный орган рабочие материалы по проверяемым вопросам в рамках аудита иной информации.
Приложение 3 к постановлению Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 245 |
Требования к аудиторам в составе аудиторской организации, привлекаемой к аудиту иной информации
Сноска. Приложение 3 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
К аудиту иной информации привлекаются аудиторы, являющиеся участниками аудиторской организации, не осуществлявшей аудит финансовой отчетности аудируемых банка, филиала банка-нерезидента Республики Казахстан, страховой (перестраховочной) организации, филиала страховой (перестраховочной) организации-нерезидента Республики Казахстан, профессионального участника рынка ценных бумаг (далее - финансовая организация) за период, подлежащий проверке в рамках аудита иной информации, и не являющейся организацией, определенной аудируемой финансовой организацией для проведения аудита финансовой отчетности (отчетности по данным бухгалтерского учета) в период проведения аудита иной информации, или не являвшейся организацией, привлекавшейся аудируемой финансовой организацией для предоставления консультационных услуг в сферах, подлежащих проверке, а также соответствующие следующим требованиям в зависимости от проверяемых вопросов:
1) для проверки вопросов, указанных в пункте 1 Перечня вопросов, подлежащих проверке в рамках аудита иной информации, установленного согласно приложению 1 к настоящему постановлению, не менее двух аудиторов и руководитель аудита иной информации имеют одну из полных квалификаций АССА (Association of Chartered Certified Accountants), СРА (Certified Public Accountant), CIA (Certified Internal Auditor), FRM (Financial Risk Manager), PRM (Professional Risk Manager), CRMA (Certification in Risk Management Assurance), CFSA (Certified Financial Services Auditor), CCSA (Certification in Control Self-Assessment), COSO Internal Control Certificate, APRM (Associate Professional Risk Manager), MLARM (Market, Liquidity and Asset Liability Management Risk Manager), ORM (Operational Risk Manager), СFA (Chartered Financial Analyst), CIIA (Certified International Investment Analyst), CIRM (Chartered Insurance Risk Manager), PECB Certified ISO 31000 Risk Manager, в том числе один из аудиторов имеет одну из полных квалификаций в вопросах управления рисками, указанных в настоящем подпункте;
2) для проверки вопросов, указанных в пункте 2 Перечня вопросов, подлежащих проверке в рамках аудита иной информации, установленного согласно приложению 1 к настоящему постановлению, не менее двух аудиторов и руководитель аудита иной информации имеют одну из полных квалификаций АССА (Association of Chartered Certified Accountants), СРА (Certified Public Accountant), CIA (Certified Internal Auditor), CFSA (Certified Financial Services Auditor), CCSA (Certification in Control Self-Assessment), COSO Internal Control Certificate, APRM (Associate Professional Risk Manager), MLARM (Market, Liquidity and Asset Liability Management Risk Manager), СFA (Chartered Financial Analyst), CIIA (Certified International Investment Analyst), CRMA (Certification in Risk Management Assurance), в том числе один из аудиторов имеет одну из полных квалификаций в вопросах корпоративного управления, указанных в настоящем подпункте;
3) для проверки вопросов, указанных в пункте 3 Перечня вопросов, подлежащих проверке в рамках аудита иной информации, установленного согласно приложению 1 к настоящему постановлению, не менее двух аудиторов и руководитель аудита иной информации имеют одну из полных квалификаций ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies), ISO 27001 LA (ISO 27001 Lead Auditor), CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CRISC (Certified in Risk and Information Systems Control), TOGAF (The Open Group Architecture Framework), CISSP (Certified Information Systems Security Professional);
4) для проверки вопросов, указанных в пункте 4 Перечня вопросов, подлежащих проверке в рамках аудита иной информации, установленного согласно приложению 1 к настоящему постановлению, не менее двух аудиторов и руководитель аудита иной информации имеют одну из полных квалификаций ACAMS (Association of Certified Anti-Money Laundering Specialists), CAMS Audit (Advanced AML Audit Certification);
5) не менее двух аудиторов и руководитель аудита иной информации имеют опыт работы не менее 2 (двух) лет по оценке соответствующих вопросов, подлежащих проверке, и не являлись в течение последних 3 (трех) лет работниками финансовой организации, в отношении которой проводится аудит иной информации;
6) не менее двух аудиторов имеют опыт работы не менее 2 (двух) лет в сфере экономики, и (или) финансов, и (или) внутреннего аудита, и (или) риск-менеджмента, и (или) информационных технологий, и (или) внутреннего контроля в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, и не являлись в течение последних 3 (трех) лет работниками финансовой организации, в отношении которой проводится аудит иной информации;
7) руководитель аудита иной информации имеет опыт работы не менее 5 (пяти) лет в сфере экономики, и (или) финансов, и (или) внутреннего аудита, и (или) риск-менеджмента, и (или) информационных технологий, и (или) внутреннего контроля в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, и не являлся в течение последних 3 (трех) лет работником финансовой организации, в отношении которой проводится аудит иной информации.