SlideShare une entreprise Scribd logo

Continious auditing

Vladimir Matviychuk
Vladimir Matviychuk
Formation
1  sur  18
Télécharger pour lire hors ligne
8 октября 2010 г. Повышение эффективности работы службы внутреннего аудита путем использования методов непрерывного аудита «АУДИТ И КОНТРОЛЛИНГ В БАНКАХ - 2009» Владимир Матвийчук, CISA, CISM, ITILF
Трудности с которыми сталкивается внутренний аудит ► Рост рисков мошенничества ► Появление новых рисков ► Усиление регуляторных требований ► Недостаток квалифицированного персонала 8 октября 2010 г. Страница 2
Сложности при выявлении мошенничества при использовании аудиторских выборок ► Выборки эффективны в случае с проблемами, которые релевантны ко всей популяции данных ► Мошеннические операции по своей природе не возникают случайным образом ► Мошеннические операции часто попадают «в рамки» для стандартного тестирования и следовательно не выделяются для анализа 8 октября 2010 г. Страница 3
Сложности выявления аномалий при использовании аудиторских выборок Случайная выборка 8 октября 2010 г. Страница 4
Определение допустимых параметров 8 октября 2010 г. Страница 5
Деятельность службы внутреннего аудита: что может дать ИТ? ► Анализ рисков ► Поиск индикаторов мошенничества ► Анализ 100% транзакций ► Сопоставление данных из различных баз данных и информационных систем ► Определение влияния мошенничества ► Проактивное тестирование ► Непрерывный мониторинг 8 октября 2010 г. Страница 6
Определение ► Непрерывный аудит - метод, используемый для автоматической оценки рисков и контролей, выполняющейся на более частой чем традиционный подход основе Global technology audit guide(IIA) 8 октября 2010 г. Страница 7
Непрерывный аудит: история развития ► 1960е - встраиваемые аудиторские модули (EAMs) ► 1980е - компьютеризированные методики проведения аудиторской проверки (CAATs) ► 1990е - создан первый аудиторский комитет, основанный на методиках непрерывного аудита ► Настоящее время – непрерывный аудит используется в компаниях, однако, их количество существенно уступает компаниям с традиционным аудитом, основанным на выборках 8 октября 2010 г. Страница 8
Применение непрерывного аудита Непрерывная оценка контролей Непрерывная оценка рисков ► тестирование 100% транзакций ► анализ данных на предмет (определенного типа) на предмет выявления несвойственных трендов соответствия определенным ► позволяет заблаговременно условиям. выявлять области с повышенным ► позволяет выявлять недостатки риском и своевременно реагировать работы контролей, а также попытки мошенничества 8 октября 2010 г. Страница 9
Выявление аномалий с использованием закона Бенфорда ► Во многих списках чисел из произвольных реальных источников, числа встречаются с предсказуемой частотой: Вероятность = LOG(1+1 / Первое_число) Где Первое_число – целое число от 1 до 9 1=30.1% 2=17.6% 3=12.5% 4=9.7% 5=7.9% 6=6.7% 7=5.8% 8=5.1% 9=4.6% 8 октября 2010 г. Страница 10
Ключевые шаги Цели непрерывного аудита Доступ к Отчетность данным и их использование Непрерывная •оценка контролей • оценка рисков 8 октября 2010 г. Страница 11
Цели непрерывного аудита Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Определить цели для непрерывного аудита ► Получить поддержку высшего руководства ► Определить степень вовлечения руководства ► Определить и приоритезировать области которые будут покрыты непрерывным аудитом и какого типа ► Определить основные информационные системы и источники данных ► Понять соответствующие бизнес процессы и прикладные системы ► Наладить отношения с руководством ИТ 8 октября 2010 г. Страница 12
Доступ к данным и их использование Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Выбрать и приобрести аналитический инструментарий ► Обеспечить доступ к данным ► Обеспечить необходимый уровень техники и навыков анализа данных ► Оценить целостность и достоверность данных ► Определить подходы по предварительной подготовке данных 8 октября 2010 г. Страница 13
Непрерывная оценка контролей и рисков Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Непрерывная оценка контролей ► Определить критичные точки для контроля ► Определить правила контроля ► Определить исключения ► Разработать технологический подход к тестированию контролей и выявлению недостатков ► Непрерывная оценка рисков ► Определить области для оценки ► Определить категории рисков ► Определить индикаторы риска (на основе данных) ► Разработать аналитические тесты для оценки роста уровня риска 8 октября 2010 г. Страница 14
Отчетность и управление результатами оценок Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Определить частоту процедур непрерывного аудита ► Запустить тестирование на регулярной основе ► Определить недостатки работы контролей и рост рисков ► Приоритезировать результаты ► Инициировать соответствующую аудиторскую реакцию и донести результаты до руководства ► Управление результатами – отслеживание изменений, отчетность, мониторинг, контроль сроков исполнения ► Оценка результатов предпринятых действий ► Мониторинг и оценка эффективности работы процесса непрерывного аудита ► Обеспечение безопасности процесса непрерывного аудита 8 октября 2010 г. Страница 15
Трудности и как их избежать Доступ к сложной разнородной технологической среде ► Выбор правильной технологии предоставит доступ ко всем данным для получение цельной картины Нежелание использовать технологию непрерывного аудита ► Организация соответствующей коммуникации сотрудникам, о том, что технология избавляет их от выполнения низкоквалифицированной рутинной работы и позволяет больше уделять времени более сложным и интересным задачам Необъятные результаты ► внедрение маленькими порциями, начиная с наиболее рисковых областей ► небольшое количество ключевых тестов, которое, после успешного тестирования, можно расширять 8 октября 2010 г. Страница 16
Выгоды от использования техники непрерывного аудита ► Выполняется тестирование и анализ данных в «нужное время», что позволяет своевременно внести коррективы и исправления ► Упрощается выполнение рутинных аудиторских задач, что позволяет сосредоточить внимание и усилия на задачах, приносящих наибольшие результаты ► Сокращаются затраты на аудиторские процедуры при этом повышая результативность ► Повышается надежность финансовой отчетности ► Повышается качество работы финансовых и бизнес-процессов ► Сокращается количество финансовых ошибок и потенциальных мошеннических операций 8 октября 2010 г. Страница 17
Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com 8 октября 2010 г. Страница 18

Recommandé

01 введение 2012
01 введение 201201 введение 2012
01 введение 2012Alexandr Grinchuk
 
матстатистика для Hr
матстатистика для Hrматстатистика для Hr
матстатистика для HrEdward Babushkin
 
Недостающие данные в подтверждающих клинических исследованиях
Недостающие данные в подтверждающих клинических исследованияхНедостающие данные в подтверждающих клинических исследованиях
Недостающие данные в подтверждающих клинических исследованияхPHARMADVISOR
 
Signatura topografica
Signatura topograficaSignatura topografica
Signatura topograficasansamok
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 
Drugs and teens
Drugs and teensDrugs and teens
Drugs and teensFender
 
Locating mechanism
Locating mechanismLocating mechanism
Locating mechanism米 雞
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 

Recommandé

01 введение 2012
01 введение 201201 введение 2012
01 введение 2012Alexandr Grinchuk
 
матстатистика для Hr
матстатистика для Hrматстатистика для Hr
матстатистика для HrEdward Babushkin
 
Недостающие данные в подтверждающих клинических исследованиях
Недостающие данные в подтверждающих клинических исследованияхНедостающие данные в подтверждающих клинических исследованиях
Недостающие данные в подтверждающих клинических исследованияхPHARMADVISOR
 
Signatura topografica
Signatura topograficaSignatura topografica
Signatura topograficasansamok
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 
Drugs and teens
Drugs and teensDrugs and teens
Drugs and teensFender
 
Locating mechanism
Locating mechanismLocating mechanism
Locating mechanism米 雞
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
קובי ביטון - QDP גישת
קובי ביטון - QDP גישתקובי ביטון - QDP גישת
קובי ביטון - QDP גישתCobi Bitton
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Análisis de los pronósticos de venta
Análisis de los pronósticos de ventaAnálisis de los pronósticos de venta
Análisis de los pronósticos de ventaJessenia
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation ForumVladimir Matviychuk
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EYVladimir Matviychuk
 
BCP intro
BCP introBCP intro
BCP introVladimir Matviychuk
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011Vladimir Matviychuk
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overviewVladimir Matviychuk
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcmVladimir Matviychuk
 
дети в интернете
дети в интернетедети в интернете
дети в интернетеVladimir Matviychuk
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)Vladimir Matviychuk
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010Vladimir Matviychuk
 
Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0Vladimir Matviychuk
 

Contenu connexe

En vedette

קובי ביטון - QDP גישת
קובי ביטון - QDP גישתקובי ביטון - QDP גישת
קובי ביטון - QDP גישתCobi Bitton
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Análisis de los pronósticos de venta
Análisis de los pronósticos de ventaAnálisis de los pronósticos de venta
Análisis de los pronósticos de ventaJessenia
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 

En vedette (12)

קובי ביטון - QDP גישת
קובי ביטון - QDP גישתקובי ביטון - QDP גישת
קובי ביטון - QDP גישת
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions
 
Análisis de los pronósticos de venta
Análisis de los pronósticos de ventaAnálisis de los pronósticos de venta
Análisis de los pronósticos de venta
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
BCP intro
BCP introBCP intro
BCP intro
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscape
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcm
 
дети в интернете
дети в интернетедети в интернете
дети в интернете
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
 

Plus de Vladimir Matviychuk

Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010Vladimir Matviychuk
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 

Plus de Vladimir Matviychuk (7)

Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacks
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010
 
Effective risk management
Effective risk managementEffective risk management
Effective risk management
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный Slа
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0
 

Continious auditing

  • 1. 8 октября 2010 г. Повышение эффективности работы службы внутреннего аудита путем использования методов непрерывного аудита «АУДИТ И КОНТРОЛЛИНГ В БАНКАХ - 2009» Владимир Матвийчук, CISA, CISM, ITILF
  • 2. Трудности с которыми сталкивается внутренний аудит ► Рост рисков мошенничества ► Появление новых рисков ► Усиление регуляторных требований ► Недостаток квалифицированного персонала 8 октября 2010 г. Страница 2
  • 3. Сложности при выявлении мошенничества при использовании аудиторских выборок ► Выборки эффективны в случае с проблемами, которые релевантны ко всей популяции данных ► Мошеннические операции по своей природе не возникают случайным образом ► Мошеннические операции часто попадают «в рамки» для стандартного тестирования и следовательно не выделяются для анализа 8 октября 2010 г. Страница 3
  • 4. Сложности выявления аномалий при использовании аудиторских выборок Случайная выборка 8 октября 2010 г. Страница 4
  • 5. Определение допустимых параметров 8 октября 2010 г. Страница 5
  • 6. Деятельность службы внутреннего аудита: что может дать ИТ? ► Анализ рисков ► Поиск индикаторов мошенничества ► Анализ 100% транзакций ► Сопоставление данных из различных баз данных и информационных систем ► Определение влияния мошенничества ► Проактивное тестирование ► Непрерывный мониторинг 8 октября 2010 г. Страница 6
  • 7. Определение ► Непрерывный аудит - метод, используемый для автоматической оценки рисков и контролей, выполняющейся на более частой чем традиционный подход основе Global technology audit guide(IIA) 8 октября 2010 г. Страница 7
  • 8. Непрерывный аудит: история развития ► 1960е - встраиваемые аудиторские модули (EAMs) ► 1980е - компьютеризированные методики проведения аудиторской проверки (CAATs) ► 1990е - создан первый аудиторский комитет, основанный на методиках непрерывного аудита ► Настоящее время – непрерывный аудит используется в компаниях, однако, их количество существенно уступает компаниям с традиционным аудитом, основанным на выборках 8 октября 2010 г. Страница 8
  • 9. Применение непрерывного аудита Непрерывная оценка контролей Непрерывная оценка рисков ► тестирование 100% транзакций ► анализ данных на предмет (определенного типа) на предмет выявления несвойственных трендов соответствия определенным ► позволяет заблаговременно условиям. выявлять области с повышенным ► позволяет выявлять недостатки риском и своевременно реагировать работы контролей, а также попытки мошенничества 8 октября 2010 г. Страница 9
  • 10. Выявление аномалий с использованием закона Бенфорда ► Во многих списках чисел из произвольных реальных источников, числа встречаются с предсказуемой частотой: Вероятность = LOG(1+1 / Первое_число) Где Первое_число – целое число от 1 до 9 1=30.1% 2=17.6% 3=12.5% 4=9.7% 5=7.9% 6=6.7% 7=5.8% 8=5.1% 9=4.6% 8 октября 2010 г. Страница 10
  • 11. Ключевые шаги Цели непрерывного аудита Доступ к Отчетность данным и их использование Непрерывная •оценка контролей • оценка рисков 8 октября 2010 г. Страница 11
  • 12. Цели непрерывного аудита Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Определить цели для непрерывного аудита ► Получить поддержку высшего руководства ► Определить степень вовлечения руководства ► Определить и приоритезировать области которые будут покрыты непрерывным аудитом и какого типа ► Определить основные информационные системы и источники данных ► Понять соответствующие бизнес процессы и прикладные системы ► Наладить отношения с руководством ИТ 8 октября 2010 г. Страница 12
  • 13. Доступ к данным и их использование Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Выбрать и приобрести аналитический инструментарий ► Обеспечить доступ к данным ► Обеспечить необходимый уровень техники и навыков анализа данных ► Оценить целостность и достоверность данных ► Определить подходы по предварительной подготовке данных 8 октября 2010 г. Страница 13
  • 14. Непрерывная оценка контролей и рисков Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Непрерывная оценка контролей ► Определить критичные точки для контроля ► Определить правила контроля ► Определить исключения ► Разработать технологический подход к тестированию контролей и выявлению недостатков ► Непрерывная оценка рисков ► Определить области для оценки ► Определить категории рисков ► Определить индикаторы риска (на основе данных) ► Разработать аналитические тесты для оценки роста уровня риска 8 октября 2010 г. Страница 14
  • 15. Отчетность и управление результатами оценок Цели непрерывног о аудита Доступ к данным и их Отчетность использован ие Непрерывна я • оценка контрол ей • оценка рисков ► Определить частоту процедур непрерывного аудита ► Запустить тестирование на регулярной основе ► Определить недостатки работы контролей и рост рисков ► Приоритезировать результаты ► Инициировать соответствующую аудиторскую реакцию и донести результаты до руководства ► Управление результатами – отслеживание изменений, отчетность, мониторинг, контроль сроков исполнения ► Оценка результатов предпринятых действий ► Мониторинг и оценка эффективности работы процесса непрерывного аудита ► Обеспечение безопасности процесса непрерывного аудита 8 октября 2010 г. Страница 15
  • 16. Трудности и как их избежать Доступ к сложной разнородной технологической среде ► Выбор правильной технологии предоставит доступ ко всем данным для получение цельной картины Нежелание использовать технологию непрерывного аудита ► Организация соответствующей коммуникации сотрудникам, о том, что технология избавляет их от выполнения низкоквалифицированной рутинной работы и позволяет больше уделять времени более сложным и интересным задачам Необъятные результаты ► внедрение маленькими порциями, начиная с наиболее рисковых областей ► небольшое количество ключевых тестов, которое, после успешного тестирования, можно расширять 8 октября 2010 г. Страница 16
  • 17. Выгоды от использования техники непрерывного аудита ► Выполняется тестирование и анализ данных в «нужное время», что позволяет своевременно внести коррективы и исправления ► Упрощается выполнение рутинных аудиторских задач, что позволяет сосредоточить внимание и усилия на задачах, приносящих наибольшие результаты ► Сокращаются затраты на аудиторские процедуры при этом повышая результативность ► Повышается надежность финансовой отчетности ► Повышается качество работы финансовых и бизнес-процессов ► Сокращается количество финансовых ошибок и потенциальных мошеннических операций 8 октября 2010 г. Страница 17
  • 18. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com 8 октября 2010 г. Страница 18