Ieva Bakutienė, „Lewben“ licencijavimo paslaugų vadovė
Lietuvos bankas, siekdamas užtikrinti finansų rinkos stabilumą ir skaidrumą, nuo šių metų sausio mėnesio licencijuojamoms įmonėms įvedė naują prievolę – turėti vidaus auditorių. Tokiu būdu finansų rinkos priežiūros tarnyba skirs daugiau dėmesio vertindama, ar ir kaip yra įgyvendinamos vidaus audito funkcijos Elektroninių pinigų įstaigose (EPĮ) ir Mokėjimo įstaigose (MĮ). Kaip turės elgtis EPĮ bei MĮ, vengdamos su vidaus auditu susijusių klaidų ir galimų nuobaudų? Kokius vidinius resursus turės pasitelkti šios įstaigos ar šių funkcijų įgyvendinimą geriau perduoti išorės paslaugų teikėjams – konsultantams, auditoriams?
Vidaus audito pokyčiai
Užtikrinti vidaus audito funkciją nėra naujiena finansų rinkos dalyviams, nes šios funkcijos poreikis buvo numatytas ir anksčiau, pavyzdžiui, Elektroninių pinigų ir elektroninių pinigų įstaigų bei Mokėjimo įstaigų įstatymuose. Tačiau iki šiol galiojęs reglamentavimas buvo gan deklaratyvus ir rinkos dalyviams kėlė nemažai klausimų, nes įstatymai numatė tik formalų reikalavimą EPĮ ir MĮ užtikrinti, kad būtų vykdomos vidaus audito funkcijos.
Detalizuotas vidaus audito funkcijos įgyvendinimo reguliavimas įsigaliojo šių metų sausį. Pakeitimus Lietuvos banko valdyba priėmė 2020 m. liepos mėn., nutarimu patvirtinusi EPĮ ir MĮ valdymo sistemos ir gautų lėšų apsaugos reikalavimų aprašą. Pastarasis, be kita ko, nubrėžia konkretesnes gaires, numatančias, kaip turi būti vykdomas vidaus auditas, kartu akcentuojant ir šios funkcijos įgyvendinimo privalomumą.
Iš esmės iki naujojo Lietuvos banko nutarimo vidaus audito funkcijos įgyvendinimas buvo paliktas labiau pačios įstaigos kontrolei. Todėl vidaus auditas lig šiol neretai daugumos EPĮ ar MĮ vykdytas gana fragmentiškai – pavyzdžiui, audituojant tik veiklos sritis, susijusias su atitiktimi pinigų plovimo prevencijos reikalavimams.
Tuo tarpu kitų veiklos sričių vidaus auditui dėmesio bei išteklių nebuvo skiriama arba jie buvo itin riboti. Pavyzdžiui, daugelio EPĮ ir MĮ dar licencijos gavimo etape parengtų procedūrų, susijusių su valdymo sistemos ir vidaus kontrolės funkcijomis, praktinis įgyvendinimas net ir pradėjus faktinę veiklą, taip ir užsiliko sąrašo „to do“ (liet. atlikti) apačioje.
Taigi, įsigaliojus peržiūrėtai tvarkai, tokių situacijų turėtų sumažėti, nes finansų rinkos dalyviams nustatytos konkretesnės gairės ir reikalavimai, kuriais vadovaujantis turi būti užtikrinamas vidaus audito funkcionalumas.
Vidaus auditą atlikti savarankiškai ar pasitelkti trečiųjų šalių pagalbą?
Kaip žinoma, vidaus auditas – tai nepriklausoma, objektyvi užtikrinimo ir konsultavimo veikla, skirta pridėtinei vertei kurti ir gerinti organizacijos veiklai.
Vidaus auditoriaus funkcija priskiriama prie vidaus kontrolės funkcijų. Todėl tinkamai atliekamas vidaus auditas, kurio metu sistemingai ir visapusiškai vertinamas visų verslo veikimo, organizacijos ir rizikos valdymo bei kontrolės veiksmingumas, – efektyvi priemonė kompanijos tikslams pasiekti.
Norint, kad vidaus auditas būtų ne tik formali procedūra, turi būti užtikrintas šios funkcijos nepriklausomumas. Dėl to vidaus auditorius negali būti atsakingas už kitas įstaigos vidaus kontrolės funkcijas. Be to, itin svarbu, kad auditą atliekantis subjektas būtų kompetentingas ir turėtų žinių, susijusių su audituojama sritimi, t. y. tam, kad vidaus auditas išties suteiktų naudos organizacijai, auditorius turėtų būti įvaldęs ne tik teorines audito atlikimo metodikas, bet ir išmanyti EPĮ ar MĮ veiklą, teikiamų paslaugų specifiką, praktinius veikimo principus bei reguliacinę aplinką.
Dažnu atveju Lietuvoje veikia užsienio kapitalo „fintech“ bendrovės, priklausančios tarptautinėms įmonių grupėms. Pastarosios vidaus auditoriais neretai linkusios deleguoti „savus“ užsienio praktikos sukaupusius asmenis. Nors tokie asmenys puikiai išmano tam tikros EPĮ ar MĮ veiklos ypatumus, bet pateikti kompetentingą ir pagrįstą audito išvadą Lietuvoje veiklą vykdančiai įstaigai jiems būna sudėtinga dėl žinių, susijusių su nacionalinių teisės aktų reikalavimais bei praktiniu jų įgyvendinimu, stokos.
Be to, pagal naująjį LB reguliavimą, vidaus auditas turėtų būti orientuotas ne vien tik į finansinės ir apskaitos sričių auditą. Vidaus auditas turėtų apimti kur kas platesnį sričių spektrą – reguliacinį, GDPR, operacinį ir kt. Pavyzdžiui, vidaus audito metu turėtų būti įvertinta, kaip teoriškai ir praktiškai laikomasi klientų lėšų apsaugos reikalavimų, ar visos vidaus procedūros yra aktualios, kaip užtikrinamas vidaus kontrolės funkcijų įgyvendinimas, ar nustatytos informacinių ir ryšių technologijų bei saugumo rizikos valdymo procedūros yra veiksmingos, ar vidinės informacijos apsikeitimo priemonės yra veiksmingos, ar užtikrinama klientų asmens duomenų apsauga ir t. t.
Vienareikšmiškai atsakyti į klausimą, ar ir kokiu mastu įmonė galėtų pati savo vidiniais ištekliais užtikrinti vidinio audito funkcijų įgyvendinimą, yra sudėtinga. Neretai atsakymas priklauso nuo bendrovės veiklos specifikos, jos masto ir sudėtingumo. Pavyzdžiui, jei bendrovės teikiamų paslaugų spektras nėra platus, jei naudojamos nesudėtingos IT sistemos, o klientų bazė nedidelė, tuomet, tikėtina, vienas vidaus auditorius galėtų atlikti veiksmingą vidaus kontrolę.
Tačiau neretai finansų rinkos dalyvių veikla yra itin kompleksiška: susipina skirtingos finansinės paslaugos, naudojamos įvairios IT sistemos, pasitelkiami išorės paslaugų teikėjai, klientų krepšelis itin spalvingas ir pan. Tokiu atveju tam, kad vidaus auditas išties atlieptų bendrovei aktualias sritis, vidaus auditorius turėtų turėti įvairiapusių ekspertinių žinių arba kompanija turėtų samdyti bent keletą vidaus auditorių, kurie galėtų kompetentingai apimti skirtingas sritis. Bendrovei įdarbinti ir išlaikyti ne vieną itin specifinių žinių turintį šios srities specialistą neretai gali būti sudėtinga ir brangu.
Todėl dėl vidaus audito apimties ir kompleksiškumo dažnu atveju tikslinga iš dalies ar visiškai šią funkciją perleisti išorės vidaus auditą atliekantiems konsultantams, turintiems įvairiapusės patirties „fintech“ aplinkoje. Iš praktikos pastebime, kad neretai „fintech“ bendrovėms sunku objektyviai įsivertinti, ar vidiniai procesai, funkcijos, procedūros įgyvendinami tinkamai. O vidaus auditą ar tam tikrą jo dalį atlikti pavedus išorės specialistams, finansų sektoriuje veikiantys subjektai vykdomos veiklos trūkumus gali pamatyti kitu aspektu. Išorės specialistai neretai yra sukaupę išskirtinės patirties valdant įvairių struktūrų rizikas, todėl jų nešališkos įžvalgos ir rekomendacijos rizikų prevencijos aspektais finansų rinkos dalyviams būna itin naudingos. Be to, išorės paslaugų teikėjų komandas sudaro įvairių sričių specialistai, pavyzdžiui, teisės, mokesčių, apskaitos, IT, AML ir kt., kurie finansų rinkos dalyvio auditavimo metu „suvienija“ žinias, taip užtikrindami vieno langelio principo įgyvendinimą. Tokiu būdu šios funkcijos delegavimas verslui neretai leidžia sumažinti ir vidaus auditui skirtas finansines sąnaudas.
Veiksmingas vidaus audito funkcijos įgyvendinimas kuria pridėtinę vertę „fintech“ bendrovėms
Įprasta, kad bet kokia griežtesnė verslo kontrolė tampa papildoma administracine ir finansine našta. Tačiau šiuo atveju reikia nepamiršti, kad vidaus auditas prisideda prie bet kokios įstaigos vertės didinimo, nes tik objektyvių, rizikos vertinimu pagrįstų ir sistemingų rekomendacijų pagrindu veikianti organizacija gali kurti pridėtinę vertę ne tik paslaugų vartotojams, bet ir sau.
Minėta, jog naujuoju reguliavimu būtent ir siekiama, kad vidaus audito funkcija nebūtų tik formali pozicija. Efektyvus vidaus auditas ir vidaus kontrolės procesų užtikrinimas – būtina sąlyga siekiant, kad su veikla susijusios rizikos būtų identifikuojamos laiku ir iškart imamasi prevencinių priemonių jų kontrolei. Pavyzdžiui, jei elektroninių pinigų įstaiga tik deklaratyviai įgyvendina su klientų lėšų kilmės identifikavimu numatytus principus arba atlieka tik formalią su saugumo incidentais susijusios rizikos kontrolę, tikėtina, kad tokias operacinės rizikos neigiamas pasekmes bus bandoma ištaisyti ex post (įvykus saugumo incidentui, nutekėjus asmens duomenims ar paaiškėjus, kad tam tikra transakcija sustabdyta kilus pinigų plovimo rizikai). Tuo tarpu, jei vidaus audito funkcija išties veiksminga, tokios spragos identifikuojamos dar ankstyvojoje stadijoje, įtvirtinant ex ante tokių rizikų valdymo prevencines priemones ir taip išvengiant neigiamų padarinių.
Ne paslaptis, kad bet kuriam finansų rinkos žaidėjui reputacija yra vienas svarbiausių sėkmingo verslo variklių. Praktika rodo, kad bet kokie operaciniai ar kontrolės incidentai gali suformuoti neigiamą visuomenės požiūrį į tam tikro EPĮ ar PĮ teikiamas paslaugas. Be to, tikėtina, kad, įsigaliojus atnaujintai tvarkai, ir pati Finansų rinkos priežiūros tarnyba skirs daugiau dėmesio vidaus audito kontrolės užtikrinimui. Neatmetama ir tikimybė, kad padidėjusi priežiūra šioje srityje gali lemti ir poveikio priemonių taikymą finansų rinkos dalyviams, kas neretai paliečia ir verslo reputacinius klausimus.
Todėl veiksmingas vidaus auditas nėra tik formalus reikalavimas. Tai reikšminga priemonė, padedanti verslui laiku identifikuoti rizikas ir imtis priemonių rizikų prevencijai, siekiant užtikrinti veiklos tęstinumą, stabilumą, pasitikėjimą ir finansinę naudą.
Eksperto komentaras
Įmonių grupei „Lewben“ priklausančios UAB „Nordgain“ projektų vadovas Ernestas Švoba pastebi, kad pastaruoju metu rinkoje jaučiamas vidaus audito paslaugų suaktyvėjimas. Tai gali būti siejama tiek su atsiradusia vidaus audito reguliacija, tiek su stipriai augančia „fintech“ paslaugų rinka. Galima pritarti, kad „fintech“ organizacijos dažnu atveju priklauso tarptautinėms įmonių grupėms ir yra linkusios vidaus auditorių turėti viduje, bet kol EPĮ ar MĮ institucijos yra jaunos organizacijos ir savo gyvavimo ciklą Lietuvoje dar tik pradeda, šioms funkcijoms įgyvendinti jos dažnai renkasi išorės konsultantus. Kol organizacija jauna, įmonės procesus reikia ne tik prižiūrėti, bet ir sukurti, atsižvelgiant į vietinio reguliatoriaus reikalavimus. Konsultacinės bendrovės šiuo atveju įgyja konkurencinį pranašumą prieš įmonių grupės vidinius auditorius, nes šiuos procesus jau būna įgyvendinusios su daugeliu klientų, tad gali nuo pat pradžių užtikrinti tinkamą procesų įgyvendinimą.