Чтобы подать заявку на отбор, аудиторская компания должна обладать безупречной деловой репутацией, у нее не должно быть мер дисциплинарного воздействия за три последних года и удовлетворенных судом исков от клиентов. Компания должна состоять в СРО и иметь пятилетний опыт проведения банковских проверок. Кроме того, регулятор будет проверять, не было ли в практике аудитора случаев, когда он подтвердил достоверность финансового положения банка в отчетности, а у того потом была отозвана лицензия из-за того, что информация оказалась недостоверной. В заявке аудиторская компания также должна будет указать, в каких банках проводила проверки и где получала кредиты в течение последних пяти лет.
"У ЦБ всегда была возможность использовать аудиторов для проверок банков, просто он ей не пользовался, - отметил партнер аудиторско-консалтинговой группы БДО Юникон Денис Тарадов. - Нововведение, скорее всего, связано с необходимостью усиления надзора за банками в период текущего кризиса, когда качество активов, ликвидность и достаточность капитала являются критичными для выживания банков". По мнению Тарадова, такой подход позволит охватить надзором большее количество банков и выявлять потенциальные проблемы кредитных организаций на раннем этапе, а также объединить опыт ЦБ и аудиторов по проверкам банков. "Это будет способствовать эффективному и полномасштабному осуществлению надзора за банковским сектором", - считает эксперт.
Заместитель генерального директора компании "Нексиа Пачоли" Юлия Емельянова обратила внимание на то, что Банк России сегодня, контролируя несколько видов деятельности - банки, микрофинансовые и страховые организации, пенсионные фонды и т.д., - испытывает сложности с квалифицированным персоналом. "Законодательством предусмотрена возможность привлечения для надзорных проверок аудиторских организаций, но до недавнего времени такая необходимость не возникала. Очевидно, что иметь такое количество сотрудников, причем узкой специализации, Банку России нерационально, когда можно привлечь компании, обладающие необходимыми компетенциями и специально обученными сотрудниками. Считаю, что надзор станет более эффективным, регулятор получит возможность охватить проверками большее количество банков", - согласилась Емельянова с Тарадовым.
Отдельные требования в указании регулятора предъявляются к защите информации, полученной аудитором в ходе проверки банка, от компрометации или искажения. Как рассказал ведущий аналитик группы компаний CUSTIS Алексей Зенин, обычно к отчету о результатах проверки прилагаются электронные документы - они передаются в ЦБ на электронном носителе. Носитель должен сопровождаться описью, содержащей перечень всех файлов, результат вычисления хэш-функции для каждого из них, а также отчет о проверке антивирусной программой на отсутствие вредоносного кода. Результат вычисления хэш-функции (или просто "хэш") файла - это электронная подпись, позволяющая проверить, что в файл не вносилось никаких изменений.
Теперь аудиторская компания обязана пользоваться средствами криптозащиты, сертифицированными по российским стандартам (ГОСТ Р 34.11-2012). По словам Зенина, часто вместо официального названия хэш-функцию, предписанную стандартом, называют "Стрибог" - в честь древнеславянского божества, покровителя ветров и атмосферы. Она делает невозможным применение атак, известных на момент разработки стандарта, и в некоторых случаях дает почти двукратный прирост скорости обработки хэшируемых данных, уверяет эксперт. Тестами подтверждена более высокая производительность алгоритма по сравнению со старым стандартом хэширования. "К счастью, жесткое требование нормативного документа использовать хэш-функцию "Стрибог", ставшую российским стандартом хэширования, не будет обременительным для аудиторов, - добавил Зенин. - Текст стандарта дает исчерпывающее описание реализации, позволяющее квалифицированному программисту самостоятельно разработать программу за несколько рабочих дней. А в Интернете доступны исходные коды готовой программы хэширования на языке Си".