1. 8 октября 2010 г.
Повышение эффективности работы службы
внутреннего аудита путем использования
методов непрерывного аудита
«АУДИТ И КОНТРОЛЛИНГ В БАНКАХ - 2009»
Владимир Матвийчук, CISA, CISM, ITILF
2. Трудности с которыми сталкивается внутренний аудит
► Рост рисков мошенничества
► Появление новых рисков
► Усиление регуляторных требований
► Недостаток квалифицированного персонала
8 октября 2010 г. Страница 2
3. Сложности при выявлении мошенничества при
использовании аудиторских выборок
► Выборки эффективны в случае с проблемами, которые релевантны ко
всей популяции данных
► Мошеннические операции по своей природе не возникают случайным
образом
► Мошеннические операции часто попадают «в рамки» для
стандартного тестирования и следовательно не выделяются для
анализа
8 октября 2010 г. Страница 3
4. Сложности выявления аномалий при использовании
аудиторских выборок
Случайная выборка
8 октября 2010 г. Страница 4
6. Деятельность службы внутреннего аудита: что может дать ИТ?
► Анализ рисков
► Поиск индикаторов мошенничества
► Анализ 100% транзакций
► Сопоставление данных из различных баз данных и информационных
систем
► Определение влияния мошенничества
► Проактивное тестирование
► Непрерывный мониторинг
8 октября 2010 г. Страница 6
7. Определение
► Непрерывный аудит - метод, используемый для
автоматической оценки рисков и контролей,
выполняющейся на более частой чем традиционный
подход основе
Global technology audit guide(IIA)
8 октября 2010 г. Страница 7
8. Непрерывный аудит: история развития
► 1960е - встраиваемые аудиторские модули (EAMs)
► 1980е - компьютеризированные методики проведения аудиторской
проверки (CAATs)
► 1990е - создан первый аудиторский комитет, основанный на
методиках непрерывного аудита
► Настоящее время – непрерывный аудит используется в компаниях,
однако, их количество существенно уступает компаниям с
традиционным аудитом, основанным на выборках
8 октября 2010 г. Страница 8
9. Применение непрерывного аудита
Непрерывная оценка контролей Непрерывная оценка рисков
► тестирование 100% транзакций ► анализ данных на предмет
(определенного типа) на предмет выявления несвойственных трендов
соответствия определенным
► позволяет заблаговременно
условиям.
выявлять области с повышенным
► позволяет выявлять недостатки риском и своевременно реагировать
работы контролей, а также попытки
мошенничества
8 октября 2010 г. Страница 9
10. Выявление аномалий с использованием закона Бенфорда
► Во многих списках чисел из произвольных реальных источников, числа
встречаются с предсказуемой частотой:
Вероятность = LOG(1+1 / Первое_число)
Где Первое_число – целое число от 1 до 9
1=30.1%
2=17.6%
3=12.5%
4=9.7%
5=7.9%
6=6.7%
7=5.8%
8=5.1%
9=4.6%
8 октября 2010 г. Страница 10
11. Ключевые шаги
Цели
непрерывного
аудита
Доступ к
Отчетность данным и их
использование
Непрерывная
•оценка
контролей
• оценка рисков
8 октября 2010 г. Страница 11
12. Цели непрерывного аудита
Цели
непрерывног
о аудита
Доступ к
данным и их
Отчетность
использован
ие
Непрерывна
я
• оценка
контрол
ей
• оценка
рисков
► Определить цели для непрерывного аудита
► Получить поддержку высшего руководства
► Определить степень вовлечения руководства
► Определить и приоритезировать области которые будут покрыты
непрерывным аудитом и какого типа
► Определить основные информационные системы и источники данных
► Понять соответствующие бизнес процессы и прикладные системы
► Наладить отношения с руководством ИТ
8 октября 2010 г. Страница 12
13. Доступ к данным и их использование
Цели
непрерывног
о аудита
Доступ к
данным и их
Отчетность использован
ие
Непрерывна
я
• оценка
контрол
ей
• оценка
рисков
► Выбрать и приобрести аналитический инструментарий
► Обеспечить доступ к данным
► Обеспечить необходимый уровень техники и навыков анализа данных
► Оценить целостность и достоверность данных
► Определить подходы по предварительной подготовке данных
8 октября 2010 г. Страница 13
14. Непрерывная оценка контролей и рисков
Цели
непрерывног
о аудита
Доступ к
данным и их
Отчетность использован
ие
Непрерывна
я
• оценка
контрол
ей
• оценка
рисков
► Непрерывная оценка контролей
► Определить критичные точки для контроля
► Определить правила контроля
► Определить исключения
► Разработать технологический подход к тестированию контролей и
выявлению недостатков
► Непрерывная оценка рисков
► Определить области для оценки
► Определить категории рисков
► Определить индикаторы риска (на основе данных)
► Разработать аналитические тесты для оценки роста уровня риска
8 октября 2010 г. Страница 14
15. Отчетность и управление результатами оценок
Цели
непрерывног
о аудита
Доступ к
данным и их
Отчетность использован
ие
Непрерывна
я
• оценка
контрол
ей
• оценка
рисков
► Определить частоту процедур непрерывного аудита
► Запустить тестирование на регулярной основе
► Определить недостатки работы контролей и рост рисков
► Приоритезировать результаты
► Инициировать соответствующую аудиторскую реакцию и донести
результаты до руководства
► Управление результатами – отслеживание изменений, отчетность,
мониторинг, контроль сроков исполнения
► Оценка результатов предпринятых действий
► Мониторинг и оценка эффективности работы процесса непрерывного
аудита
► Обеспечение безопасности процесса непрерывного аудита
8 октября 2010 г. Страница 15
16. Трудности и как их избежать
Доступ к сложной разнородной технологической среде
► Выбор правильной технологии предоставит доступ ко всем данным для получение
цельной картины
Нежелание использовать технологию непрерывного аудита
► Организация соответствующей коммуникации сотрудникам, о том, что технология
избавляет их от выполнения низкоквалифицированной рутинной работы и
позволяет больше уделять времени более сложным и интересным задачам
Необъятные результаты
► внедрение маленькими порциями, начиная с наиболее рисковых областей
► небольшое количество ключевых тестов, которое, после успешного тестирования,
можно расширять
8 октября 2010 г. Страница 16
17. Выгоды от использования техники непрерывного аудита
► Выполняется тестирование и анализ данных в «нужное время», что
позволяет своевременно внести коррективы и исправления
► Упрощается выполнение рутинных аудиторских задач, что позволяет
сосредоточить внимание и усилия на задачах, приносящих
наибольшие результаты
► Сокращаются затраты на аудиторские процедуры при этом повышая
результативность
► Повышается надежность финансовой отчетности
► Повышается качество работы финансовых и бизнес-процессов
► Сокращается количество финансовых ошибок и потенциальных
мошеннических операций
8 октября 2010 г. Страница 17
18. Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com
8 октября 2010 г. Страница 18