"Внедрение Международных стандартов финансовой отчетности (МСФО) в кредитной организации", 2007, N 2

МСА 401 "АУДИТ В СРЕДЕ КОМПЬЮТЕРНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ"

Многим банкам знакома такая ситуация, когда банк приобретает и внедряет дорогостоящее ИТ-оборудование или программное обеспечение. В числе задач службы внутреннего аудита в этом случае могут быть анализ результатов внедрения, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства. Внутренний аудит зачастую для многих банков является решением большинства проблем. А вопросы эффективного управления рисками, которое является необходимым условием финансовой устойчивости банка, актуальны для любого руководителя.

Международные стандарты аудита (МСА) представляют интерес для российских бухгалтеров в силу нескольких обстоятельств.

Во-первых, немало отечественных банков, ориентированных на зарубежных партнеров и инвесторов, уже сейчас испытывают потребность в проведении аудита в соответствии с МСА. Бухгалтерам таких банков необходимо иметь представление об обязанностях сторон и наиболее существенных особенностях международных технологий аудита.

Во-вторых, именно международные регламентирующие документы взяты за основу при разработке отечественных федеральных правил (стандартов) аудиторской деятельности, в чем убеждают уже имеющиеся российские стандарты, которые практически воспроизводят положения некоторых МСА.

МСА охватывают широкий круг вопросов, регламентирующих аудиторские процедуры и взаимоотношения аудиторов с руководством и бухгалтерами компаний-клиентов.

Ознакомление с МСА позволяет отечественным бухгалтерам получить целостную картину того, какие международно ориентированные нормы станут определять их взаимоотношения с аудиторами по мере дальнейшего продвижения российской реформы бухгалтерского учета и аудита. Это даст им возможность заблаговременно оценить свою систему учета и аудита и поможет избежать организационных и других трудностей, которые могут возникнуть при необходимости подготовки аудиторского заключения по МСА в условиях ограниченного времени.

Цели и содержание системы внутреннего аудита банка

Внутренний аудит зачастую для многих банков является решением большинства проблем. Вопросы эффективного управления рисками, которое является необходимым условием финансовой устойчивости банка, актуальны для любого руководителя. Для их решения создаются различные службы внутреннего контроля, приглашаются внешние аудиторы и предпринимаются различные попытки усовершенствования имеющихся средств внутреннего контроля. Судить, насколько эффективными будут эти средства, руководитель сможет лишь на основании внешних проверок либо на основании собственных выводов.

Грамотно организованная структура службы внутреннего аудита, профессиональная работа специалистов аудиторов позволяют руководителям контролировать все звенья работы банка и грамотно принимать обоснованные управленческие решения.

В этой связи бесспорным является то, что в целях получения руководством достаточно достоверной информации о деятельности банка необходимо совершенствовать работу службы внутреннего аудита и саму методику проведения аудиторских процедур, что требует всестороннего изучения международного опыта.

МСА 401 "Аудит в среде компьютерных информационных сетей"

В данной статье хотелось бы подробнее остановиться на МСА 401 "Аудит в среде компьютерных информационных сетей", который относится к стандартам, близким к российским. Аналогом МСА 401 является РСА "Аудит в условиях компьютерной обработки данных".

МСА 401 "Аудит в среде компьютерных информационных сетей" (Auditing in Computer Information Systems Environment) описывает навыки и компетентность, которыми должна обладать аудиторская группа при проведении аудита в среде компьютерных информационных систем. Указанный МСА также предоставляет рекомендации, касающиеся делегирования работы ассистентам, владеющим навыками в данной области, и использования работы других аудиторов или экспертов с подобными навыками. В частности, аудиторская группа должна иметь достаточные знания, чтобы планировать, выполнять и использовать результаты выбранных аудиторских методов.

Компетентность аудитора не может быть равнозначной сумме знаний профессионального специалиста по компьютерным системам, поэтому в случае необходимости специалист может быть привлечен для содействия аудиторам в качестве эксперта. Уровень необходимых знаний зависит от сложности и характера аудиторских процедур и учетной системы банка.

Аудитору необходимо провести анализ и составить заключение по всем существенным вопросам организации компьютерно-информационной системы (КИС):

- детальное рассмотрение функционирования КИС (способы организации, ввода, настройки, обновления данных);

- обеспечение архивирования и хранения данных;

- наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;

- анализ программного обеспечения и наличие лицензий;

- соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам (бизнес-процессам);

- возможности гибкого реагирования на изменения законодательства с точки зрения настройки (обновления) программного обеспечения;

- возможности расширения функций имеющихся КИС;

- вопросы информационной безопасности (ограничение несанкционированного доступа);

- анализ общей информационной политики и планов развития системы информационных технологий проверяемого субъекта.

Значение и влияние информационных систем и технологий

на общую работу банка и ход аудиторской проверки

Трудно переоценить влияние компьютерных систем и технологий на общую работу, эффективность, прибыльность и конкурентоспособность банка. Вся учетная информация банка концентрируется в разнообразных электронных учетных системах. Риски, связанные с КИС банка, огромны. В первую очередь это вопросы эффективности использования программно-аппаратных средств и возможности максимальной автоматизации всей системы учета в банке. Немаловажную роль играет также поддержание на современном уровне информационной архитектуры (совокупность информационных систем и потоков между ними), которая обеспечивает обработку и хранение учетной информации в условиях все возрастающих требований к быстродействию и надежности. И, наконец, необходимо обеспечивать всестороннюю защиту данных от несанкционированного доступа, что является для банковской системы одной из приоритетных задач.

Решение этих задач вынуждает руководство банка уделять серьезное внимание организации своей ИТ-системы, ИТ-отдела, отдела безопасности. Все это прямым образом влияет на характер и особенности проведения аудиторской проверки в среде КИС банка.

Особенности оценки внутреннего аудита в среде

информационных систем

Рассмотрим на примерах особенности аудита информационных систем с точки зрения получения результатов оценки общей эффективности и экономической обоснованности принятия управленческих решений в сфере ИТ-технологий банка.

Для начала необходимо сказать пару слов о компетентности внутренних аудиторов, которые будут проводить контрольные процедуры проверки. Согласно стандарту аудитору желательно иметь представление о техническом, программном, математическом и других видах обеспечения компьютерной техники, а также о системах обработки экономической информации. В случае отсутствия у аудитора указанных знаний следует использовать работу экспертов в области информационных технологий (сотрудников ИТ-отдела). Однако в случае использования работы эксперта для оценки ИТ-системы следует помнить, что аудитор должен иметь достаточное представление о компьютерной системе в целом, с тем чтобы планировать, регулировать и контролировать работу экспертов, сохраняя при этом главенствующее положение. Главенствующее положение аудитора по отношению к эксперту состоит в том, что эксперт оценивает только системы обработки информации, в то время как аудитор - достоверность результатов полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в том числе с экспертом) свою ответственность за выражение мнения о состоянии ИТ-системы и составленного на его основе аудиторского заключения.

На фоне роста банковского бизнеса стремительно увеличивается количество обрабатываемых учетных данных, увеличивается число информационных систем, автоматизирующих различные виды банковской деятельности. Вместе с тем неизбежно растет ИТ-отдел, сотрудники которого разрабатывают, внедряют и поддерживают всю совокупность информационных систем. В условиях крупного банка с широкой информационной архитектурой для руководства не всегда прозрачна модель взаимодействия ИТ-систем.

Решением этой задачи становится внутренний аудит информационных систем и технологий. В этой области на сегодняшний день наиболее актуальными становятся следующие задачи службы внутреннего аудита:

1) анализ рисков существующей комбинации информационных систем по различным показателям. Данная задача включает в себя полную проверку всех информационных систем банка, их взаимодействия, выявление недостатков и несоответствий, формулирование предложений (рекомендаций) по усовершенствованию использования существующих информационных систем и работы ИТ-отдела в целом;

2) анализ результатов процесса внедрения нового оборудования и программного обеспечения при необходимости оценки эффективности приобретенного банком дорогостоящего оборудования и затрат на внедрение новых автоматизированных банковских систем (АБС);

3) анализ планируемых к внедрению автоматизируемых информационных систем и определение их возможной эффективности и экономической обоснованности их внедрения.

В результате выполнения аудиторских процедур по проверке ИТ-систем, технологий и работы ИТ-специалистов руководство банка получит аудиторское заключение в виде "Наблюдение - Риски (возможные последствия) - Рекомендации (желательные и необходимые мероприятия)". По результатам проверки можно будет составить подробное заключение по всем существенным вопросам:

- оценка степени автоматизации и настройки учетных процессов;

- адекватность контрольных процедур;

- анализ однородности и совместимости системных решений;

- анализ рисков, связанных с внедрением новых ИТ-систем;

- ошибки и несоответствия в автоматизированных ИТ-системах;

- мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;

- вопросы сохранности информации и восстановления данных;

- оценка качества информационной безопасности (организация и управление ролями и полномочиями в ИТ-системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);

- структура ролей в ИТ-отделе и степень зависимости безопасности банка от ИТ-кадров, оценка квалификации ИТ-сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения рисков потери ценных кадров, обладающих реальным практическим опытом.

Рассмотрим на примере решение задачи анализа результатов процесса внедрения нового оборудования и программного обеспечения, методику проверки и результаты такого анализа. Многим банкам знакома такая ситуация, когда банк приобретает и внедряет дорогостоящее ИТ-оборудование или программное обеспечение. Одной из задач службы внутреннего аудита в этом случае может быть анализ результатов внедрения, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства.

При решении данной задачи службой внутреннего аудита проводится обзор проекта внедрения с целью его текущего исполнения, оценки адекватности контрольных процедур в процессе управления проектом, а также степени исполнения рекомендаций внешних консультантов в рамках проекта по обеспечению качества внедрения ИТ-системы.

На первом этапе обычно проверяется соответствие реализованной системы ожиданиям руководства, анализируется процесс принятия решений в процессе автоматизации, отличие реализованной системы от запланированной на начальном этапе внедрения.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить соответствие работы системы заданным алгоритмам, полноту и корректность учетных данных, но и провести проверку работы программного контроля подтверждения (согласования) документов в системе, определяющего иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо оценить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования службой внутреннего аудита оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет снизить финансовые риски. В системе должны быть организованы периодические сверки, анализы данных и отчетов с целью выявления возможных отклонений. Одной из важнейших характеристик внедренной системы являются возможность интеграции с другими информационными системами банка, возможности автоматического импорта/экспорта, программная верификация итогов данных разных систем.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки организации контроля доступа к системе выявляются посредством специализированных аудиторских процедур: практики периодического анализа прав пользователей на предмет их избыточности, наличия системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функциям. Невыполнение данных требований может привести к серьезным последствиям: несанкционированному доступу к данным и выполнению неавторизованных операций в системе, невозможности однозначного определения ответственности за изменения. Службой внутреннего аудита может быть рекомендовано сформировать матрицу разграничения полномочий для обеспечения соблюдения принципов минимальных прав доступа, документировать все изменения в системе контроля доступа и привести их в соответствие с должностными обязанностями.

На следующем этапе проводится анализ прав доступа разработчиков и сотрудников ИТ-отдела к системе. Разработчики, как правило, имеют неограниченный доступ к учетной системе, сотрудники ИТ-отдела имеют неограниченные права в системе на уровне модулей, задействованных в автоматизируемых ими процессах. Это увеличивает риски несанкционированного изменения данных учетной системы в результате непреднамеренных или умышленных действий пользователей, имеющих неограниченные права и (внимание!) не несущих прямую ответственность за действия в системе. Рекомендации аудиторов в данном случае могут быть следующими: проведение анализа производственной необходимости наличия у сотрудников неограниченных прав в системе, анализ процесса управления изменениями и доступом, обеспечение протоколирования всех действий пользователей, обладающих расширенными полномочиями, организация аудита событий, который позволяет однозначно установить ответственность за действия в системе и установить хронологию внесения изменений.

На заключительном этапе проверяется пользовательская документация и процесс управления документацией, неактуальность которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей в системе, а также затрудняет проведение адекватного анализа рисков и снижает уровень качества контроля в процессе управления проектом.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков, связанных с ними, и рекомендации по их устранению. Это позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Выводы

На сегодняшний день в условиях роста банковского бизнеса и ужесточения конкуренции перед руководителями банка все острее встает вопрос оценки финансовых рисков, связанных с ИТ-системами и технологиями. Для того чтобы быть "на плаву", руководству банка необходимо серьезно подходить к решению следующих задач:

1) оценка общей стратегии развития ИТ-банка согласно стратегии бизнеса;

2) поддержка и развитие информационной архитектуры;

3) согласованность новых ИТ-проектов с существующей и планируемой архитектурой ИТ-систем и, как следствие, определение уровня затрат на интеграцию информационных систем и совокупной стоимости владения информационными системами.

В этой связи решением большинства проблем в этой области является организация внутренних аудиторских процедур информационной архитектуры банка, проведенных с использованием методов и стандартов МСА. Результаты таких аудиторских проверок позволят руководству получить достоверную, полную и точную информацию о состоянии дел в этой области, что позволит увеличить общую эффективность и экономическую обоснованность принятия управленческих решений.

О.В.Ширяева

Аналитик отдела отчетности

управления аналитики

ЗАО "Диасофт"

Подписано в печать

15.05.2007

————