НА ВЪТРЕШНИТЕ ОДИТОРИ С ФОКУС НА … 2013/vytreshen oditor...

1Брой 2 | 2013 | ВЪТРЕШЕН ОДИТОР

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР

МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ НА ВЪТРЕШНИТЕ ОДИТОРИ С ФОКУС НА СТРАНИТЕ ОТ ЦЕНТРАЛНА И ИЗТОЧНА ЕВРОПА

НЕ ТРЯБВА ДА БЪДЕМ ПАСИВНИ И ДА ЧАКАМЕ РИСКОВЕТЕ ДА ВЪЗНИКНАТ Интервю с Пол Собел, CIA, CRMA

ИТ ОДИТЪТ КАТО ЧАСТ ОТ ЦЯЛОСТНАТА СИСТЕМА ЗА ВЪТРЕШЕН ОДИТ В ОРГАНИЗАЦИЯТА Васил Кайрямов

АНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ - МОТИВИРАНОТО РЕШЕНИЕ

САМООЦЕНКА НА КОНТРОЛАСнежана Стефанова, CCSA, CFSA, CRMA

РАМКА ЗА СЪВЪРШЕНСТВОМани Розенфелд, CIA, CRMA

РЕАЛНИ ОПЦИИ – СЪВРЕМЕННИ ИНВЕСТИЦИОННИ РЕШЕНИЯ ЗА ЛИДЕРИИлиян Стоянов, MBA, CFM, CMA, CIA

ОЦЕНКА НА ПРОГРАМА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ С ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТЛанс Семер

ВАЖНО ЗА ПРИТЕЖАТЕЛИТЕ НА ПРОФЕСИОНАЛНИ СЕРТИФИКАТИ НА THE IIA

2

3

10

13

17

22

26

31

34

40

ГЛАВЕН И ОТГОВОРЕН РЕДАКТОРЦветелина Станева, CGAP

РЕДАКЦИОНЕН СЪВЕТСнежана Стефанова, CFSA, CCSA, CRMAСнежина Ставрева, CGAPВаня Гюрова, CGAPДаниела Лазова, CRISC

ГРАФИЧЕН ДИЗАЙН И ПЕЧАТТихо АлексовскиC&M advertising - www.ciem.info

Редакцията на списанието не се ангажира с правото на лично мне-ние, изразено от авторите в техните статии и публикации.

Разпространяване и препечатване на материали от броя на списание “Вътрешен Одитор” или на части от тях без изричното писмено раз-решение на редакцията води до правните последици, предвидени в Закона за авторското право и сродните му права.

Приемат се оригинални ръкописи - 1800 знака на стандартна страница.

АДРЕС НА РЕДАКЦИЯТАСофия, ул. Граф Игнатиев 7А, ет.3тел.: 986 28 08; 981 67 80факс: 986 28 08e-mail: [email protected]

ВЪТРЕШЕН ОДИТОРспециализирано списание на Института на вътрешните одитори в България

ГОДИНА X | брой 2 | 2013

СЪДЪРЖАНИЕ

Росина Чолеева-Киркова, CIA, CGAP

2 3Брой 2 | 2013 | ВЪТРЕШЕН ОДИТОР

Уважаеми читатели,Всеки от нас е наясно с влиянието на информационните технологии за съвременния човек. Немислимо е да си предствим ежедневието си без тях. Основната част от хората рабо-тят с компютри, използвайки различни системи. Ето защо за вътрешния одитор става все по-важно да има познания в областта на ИТ. Това е от значение, за да можем да бъдем максимално полезни на нашите заинтересовани лица и да предоставяме по-голяма степен на увереност, че системите са адекватни и работят ефективно. От този брой сп. Вътре-шен одитор стартира нова рубрика, която ще продължи в няколко издания „ИТ одитът – предизвикателства и решения“. Надяваме се да бъдем полезни и да подобрим познанията на вътрешните одитори за този вид одитна дейност. Друго предизвикателство пред вътрешните одитори с оглед информационните системи на орагнизацията са превантивните мерки и защити, които тя използва. Това също тряб-ва да е част от обхвата на дейността по вътрешен одит с цел осигуряване на увереност, че фирмените данни и мрежи са защитени.Как вътрешните одитори могат да увеличат „видимата“ добавена стойност за ръковод-ството и служителите в организацията, участвайки е процесите по самооценка на кон-трола, може да прочетете в редовната рубрика „Повече с по-малко“.В този брой сме отделили внимание и на теми, които вероятно ще привлекат интереса предимно на заемащите мениджърски позиции – Анализ раходи-ползи и Реални опции.Какво каза Пол Собел – следващия председател на Борда на Глобалния институт малко преди да заеме тази позиция и какви съвети дава на вътрешните одитори, изхождайки от дългогодишната си практика, може да прочетете в краткото интервю, което той даде специално за сп. „Вътрешен одитор“. Приятно четене!Цветелина Станева, CGAP

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ НА ВЪТРЕШНИТЕ ОДИТОРИ С ФОКУС НА СТРАНИТЕ ОТ ЦЕНТРАЛНА И ИЗТОЧНА ЕВРОПА

6-7 юни 2013 г., Хотел Мелиа Гранд Ермитаж, к.к.Златни пясъци, Варна

Какви са впечатленията Ви от България?Винаги съм имал добри впечатления от начи-на, по който България се справи с проблемите, с които се сблъскваше по време на прехода към демокрация през 1989 г. Въпреки поредицата от проблеми, свързани със съдебната система и борбата с корупцията, успя да развие голя-ма степен на прозрачност, което от своя стра-на подпомогна икономическото развитие. За съжаление, финансовата криза предизвика за-бавяне на този растеж. Институтът на вътреш-ните одитори в България винаги е изпъквал ед-новременно в ECIIA и в Глобалния Институт и образът му се асоциира с успехи в семейството на IIA.

Какви са очакванията Ви от предстояща-та конференция, организирана от Инсти-тута на вътрешните одитори в България?Не съм съвсем сигурен какви би следвало да бъ-дат очакванията ми. Предвиждам, че послание-то ми като председател на Глобалния институт „Кажи го по правилния начин“ ще има отзвук сред участниците в конференцията, след като в наши дни става все по- необходимо да се вслуш-ваме в нашите заинтересовани лица, така че да се уверим, че посланието ни е било разбрано. Вярвам, че ще бъдем способни да дискутиране проблеми и че ще можем да приложим мотото на Института на вътрешните одитори „Прогрес чрез споделяне“ в действие. Моите пътувания до нашите институти по целия свят тази годи-на ми показаха, че всички ние се сблъскваме с едни и същи предизвикателства, независимо откъде сме.

Какво споделиха някои от водещите лектори за България и предстоящата конференция?

Фил Тарлинг Председател на Борда на The IIA


МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ ПО ВЪТРЕШЕН ОДИТ МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ ПО ВЪТРЕШЕН ОДИТ

Бихте ли споделили какви са ключовите послания във Вашата презентация за кон-ференцията?Ключовите послания от моята презентация са:

1.Не игнорирайте променящата се среда, в коя-то работите;

2.Слушайте заинтересованите лица и се убеде-те, че покривате техните очаквания;

3.Използвайте новите социални медии да при-общите заинтересованите лица;

4.Придържайте се към просто и лесно разбира-емо послание;

5.Убедете се, че целият ви екип са с добри кому-никативни умения, тъй като в това е същината на работата, която извършваме.

Според Вас кои са най-новите тенденции в развитието на професията? Какви са очак-ванията на заинтересованите страни?Мисля, че това е нещо, което може да бъде раз-лично в различни държави и зависи от това колко развити са вътрешния одит и структури-те за корпоративно управление в конкретната държава. Вярвам, че в много от развиващите се икономики виждаме признание на изискването за вътрешен одит и за съдействието, което той може да окаже в областите на корпоративно уп-равление и управление на риска. Но в рамките на развитите икономики накрая ние виждаме реакцията от финансовата криза с регулатори-те при финансовите усуги, искащи да видят по-вече експертни умения и опит, демонстрирани от вътрешния одит и по-висок статут съобразно характера ни на работа. Една от трудностите, с които ние като вътрешни одитори се сблъсква-ме, е че тези по-високи очаквания са бреме за нас и това означава, че правилата на играта се завишават и ние трябва да осигурим по-високо квалифициран персонал в екипите си. Заинте-ресованите страни искат от нас да станем съ-ветници на бизнеса с познанията си за него и да предлагаме работещи решения.

Какво знаете за България? Не съм била преди това в България, но чувам, че е много красива. Слушала съм, че место-положението й я прави много важна държава от стратегическа гледна точка и че страната и нейния народ са много напреднали в техноло-гично отношение.

Какви са очакванията Ви от предстояща-та конференция, организирана от Инсти-тута на вътрешните одитори в България?Развълнувана съм да се срещна с вътрешни одитори от Източна Европа и да споделим опит, както и да ги информирам какво предлага Ин-

Какви са последните тенденции за разви-тие в професията според Вас? Какви са оч-акванията на заинтересованите страни от функцията по вътрешен одит?Вярвам, че изискванията към вътрешните оди-тори са по-големи от когато и да било. Сега организациите гледат на вътрешните одитори като на ключови участници във функциите по управление на риска като оценяват този про-цес и дават увереност, че ключовите рискове са били правилно определени от мениджмънта.

Синди ПламондонВицепрезидент на The IIA, Сертификационни програми

Йохан Ризер Главен одитор, Министерство на финансите, Австрия

ститута на вътрешните одитори за тях като чле-нове. Очаквам да чуя другите лектори и да раз-бера за уникалните предизвикателства, които са преодолели през кариерата си.

Бихте ли споделили какво ще бъде ключово-то послание във Вашата презентация?Ще споделя с участниците в конференцията последните предизвикателства в професията по вътрешен одит и световните тенденции от нашето ново проучване. Надявам се, че те ще могат да използват информацията, за да на-правляват посоката на развитие на звеното си за вътрешен одит в бъдеще.

Как организациите могат максимално да увеличат ползата от функцията си по въ-трешен одит?Вярвам, че в миналото сме осигурявали вни-кване в същността на нещата относно това как-во се е случило в действителност. Мисля, че сега организациите искат вътрешния одит да даде прогноза за идентифициране откъде ще се поя-ви следващия риск за организацията.

Какво знаете за България?Работил съм в България и с български одитори по различни поводи, започвайки с европейски про-екти като „Укрепване на одитния капацитет…“

Така, че имам бегла представа как е организи-ран вътрешния одит в публичния сектор в Бъл-гария и познавам някои от трудностите, с които се сблъскват одиторите. Одитът на средства от Европейския съюз определено е предизвика-телство, не просто заради международните оди-торски стандарти, които трябва да се спазват, а по-скоро поради голямата степен на сложност на законодателството и указанията, които след-ва да се прилагат.

Освен това съм виждал някои части от прекрас-ната ви страна, срещал съм много добре обра-зовани и приятелски настроени колеги и имах шанса да изградя приятелства.

Какви са очакванията Ви от предстояща-та конференция, организирана от Инсти-тута на вътрешните одитори в България?Дискутиране на последните новости в одита в публичния сектор и обмяна на опит с професио-налисти от различни държави и организации.

Бихте ли споделили какво ще бъде ключово-то послание във Вашата презентация?Повечето държави в Европа в момента извърш-ват реформа в системата за управление в пуб-личния сектор и един от главните проблеми на тази реформа е да се накара държавата да пре-мине към подход, ориентиран към резултати-те, така че всяко едно евро да бъде разходвано по един по-полезен и ефективен начин. По този начин формата на управление в публичния сек-тор, която се прилага, ще увеличи интереса към одита на изпълнението.

Какви са последните тенденции за разви-тие в професията според Вас? Какви са оч-акванията на заинтересованите страни от функцията по вътрешен одит?За вътрешния одит в публичния сектор това оз-начава нов подход, от финансов одит, одит на системите и одит на съответствието към одит на изпълнението. Одитът на изпълнението е независим преглед на ефикасността и ефектив-ността на държавните предприятия, програми и организации, с оглед на икономическата об-становка и с цел да доведе до подобрения.


Как организациите могат максимално да увеличат ползата от функцията си по въ-трешен одит?Тъй като организацията прилага управление на изпълнението, вътрешният одит трябва да установи нови и подходящи техники за добаве-на стойност и то този начин да подкрепи орга-низацията за постигане на определените цели.

Как изглежда България, през поглед отвън?От гледна точка на икономиката и политиката, България не изглежда впечатляващо през по-следните години. По отношение на вътрешния одит мога да кажа, че България изпреварва всичките си съседи. Конкретни примери за това са дългогодишното сътрудничество между Ин-ститута на Експерт-счетоводителите, Сметна-та Палата и ИВОБ, което дава много добри ре-зултати. Искам също да подчертая, че ИВОБ е много активен и предлага много повече на чле-новете си като го сравнявам с други локални институти в Източна Европа.

Какви са очакванията Ви от предстояща-та конференция, организирана от Инсти-тута на вътрешните одитори в България?Имам много високи очаквания. Нивото на лек-торите е високо и съм сигурен, че дискусиите ще са много интересни. Надявам се да чуя нови неща и да срещна интересни хора и добри про-фесионалисти от гилдията.

Бихте ли споделили какво ще бъде ключово-то послание във Вашата презентация?Тема на моята презентация са кибер-престъ-пленията и основната идея в нея е, че вслед-ствие на бързото развитие на технологиите във всички сфери, ние ежедневно ставаме сви-

МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ ПО ВЪТРЕШЕН ОДИТ

5 юни 2013 г. 16:00 – 20:00 Регистрация

6 юни 2013 г. 08:00 - 09:00 Регистрация09:00 - 09:30 Откриване Красимир Логофетов, Председател на УС на IIA Bulgaria Представител на Военноморската Академия, гр. Варна09:30 - 10:15 ПРЕЗЕНТАЦИЯ - Да го кажем правилно Фил Тарлинг, Председател на борда на The IIA10:15 - 11:00 ПРЕЗЕНТАЦИЯ - Вътрешният одит: Рискове, ползи и пътят напред Синди Пламондон, Вице Президент на The IIA 11:00 - 11:30 Кафе пауза

ВЪТРЕШНИЯТ ОДИТ – КОМПАС НА КАПИТАНА

Хотел „Мелиа Гранд Ермитаж“, к.к. Златни пясъци, гр. Варна6-7 юни, 2013

ПРОГРАМА

Институтът на вътрешните одитори в България организира международна конференция „Вътрешният одит – компас на капитана“

Конференцията ще се проведе на 6-7 юни 2013 г. Домакин на събитието ще бъде хотел „Мелиа Гранд Ермитаж“, к.к. Златни пясъци.

Работният език на конференцията ще бъде английски, като ще бъде осигурен и симултантен превод на български език.

Каним Ви да вземете участие във форума, по време на който:• ще се запознаете с последните тенденции в развитието на професията;• ще можете да споделите своя опит и знания;• ще имате възможност да обмените идеи с останалите участници в конференцията, в неформална обстановка и в близост до морския бряг.

Конференцията съвпада с юбилейните 10 години от създаването на ИВОБ и приемането му за филиал на Международния институт по вътрешен одит (The IIA).

Повече информация може да откриете на специално създадения уеб-сайт на конференцията http://conference2013.iiabg.org/en/

Ивайло ЛамбревДиректор, PriceWaterhouseCoopers

детели или жертви на компютърни измами и престъпления. В тази връзка, вътрешният одит трябва да е добре подготвен, за да може адек-ватно да оцени рисковете, свързани с тези опас-ности и да предложи всички превантивни мер-ки, които биха предотвратили голяма част от компютърните измами.

Какви са последните тенденции за разви-тие в професията според Вас? Какви са оч-акванията на заинтересованите страни от функцията по вътрешен одит?Очакванията са все по-големи и вътрешният одит е все-повече в светлината на прожектори-те, като свързаните страни очакват по-висока стойност от резултатите на одитите и по-ефек-тивно, риск-базирано планиране на ангажимен-тите. Очакванията се повишават и по отношение на консултантската роля на вътрешния одит.

Как организациите могат максимално да увеличат ползата от функцията си по въ-трешен одит?Има много възможности, но аз бих поставил на първо място риск-базираното планиране и из-ползването на CAATs и системи за автоматизи-ране на одитната дейност.

Превод: Даниела Лазова

9Брой 2 | 2013 | ВЪТРЕШЕН ОДИТОР

МЕЖДУНАРОДНА КОНФЕРЕНЦИЯ ПО ВЪТРЕШЕН ОДИТ

16:00 - 16:30 Кафе пауза16:30 - 17:15 ПРЕЗЕНТАЦИЯ - Технологията, променяща Вашия одитен отдел Майкъл Гауъл, Генерален Мениджър и Вицепрезидент на TeamMate, Wolters Kluwer17:15 - 18:00 ПРЕЗЕНТАЦИЯ - Киберпрестъпление? Не и в нашата компания Ивайло Ламбрев, Директор PriceWaterhouseCoopers 19:30 Официална вечеря хотел Мелиа Гранд Ермитаж

7 юни 2013 г. 09:00 - 09:45 Темата ще бъде определена допълнително Андреа Станчу, Ръководител на Асоциацията на дипломираните експерт-счетоводители за Югоизточна Европа (ACCA)09:45 - 10:30 Темата ще бъде определена допълнително Станко Токич, Президент на IIA Croatia10:30 - 11:00 Кафе пауза11:00 - 12:00 ДИСКУСИОННИ СЕСИИ ПРОДЪЛЖЕНИЕ Представяне на резултата от дискусионните сесии12:00 - 12:45 От вътрешен финансов контрол в публичния сектор към вътрешен контрол в публичния сектор - Нова задача за вътрешния одит Йохан Ризер, Вътрешен одит, Министерство на финансите, Австрия12:30 - 12:45 ЗАКРИВАНЕ на конференцията Красимир Логофетов, Председател на УС IIA Bulgaria 14:30 ДОПЪЛНИТЕЛНА СОЦИАЛНО-КУЛТУРНА ПРОГРАМА Само при допълнителна заявка (Вж формуляра за регистрация).14:30 - 19:00 Посещение на Аладжа Манастир, Ботаническата градина и Двореца близо до гр. Балчик 20:00 Национална фолклорна вечеря в ресторант с фолклорна програма

11:30 - 12:15 ПРЕЗЕНТАЦИЯ - Предизвикателството на „статуквото“ Да го кажем правилно Андреа Станчу, Ръководител на Асоциацията на дипломираните експерт-счетоводители за Югоизточна Европа (ACCA)12:15 - 13:00 ПРЕЗЕНТАЦИЯ - Наистина ли вътрешния одит добавя стойност? Роксандра Билиус, Председател на УС на IIA Romania13:00 - 14:30 Обяд14:30 - 16:00 ДИСКУСИОННИ СЕСИИ

Панел I: Вътрешният одит в публичния сектор – развитие и проблемиМодератори: Свилена Симеонова, Директор Дирекция „Вътрешен контрол” в Министерство на финансите на Република България; Добринка Михайлова, Изпълнителен директор на Изпълнителна агенция "Одит на средствата от Европейския Съюз"; Йохан Ризер, Министерство на финансите, Австрия; Светлин Вълчев, член на УС на IIA Bulgaria.Панел II: Вътрешният одит и развитието на технологиите / IT одит и вътрешен одитМодератори: Мартин Стивънс, член на борда на ECIIA и президент на IIA Norway; Павлина Иванова, ISACA България; Ивайло Ламбрев, Директор PwC; Диан Димитров, член на УС на IIA Bulgaria.Панел III: Измами и Етика в кризисни условияМодератори: Майкъл Пиър, Съдружник в KPMG Central & Eastern Europe; Силвия Марусинкова, Вицепрезидент на IIA Slovakia; Станко Токич, президент на IIA Croatia; Малина Иванова, Заместник-председател на УС на IIA Bulgaria.Панел IV: Бъдещето на професиятаМодератори: Синди Пламондон, Вице Президент на The IIA; Мари-Елен Леме, Президент на Европейската конфедерация на институтите по вътрешен одит (ECIIA); Детелина Смилкова, Вицепрезидент на Висше училище по застраховане и финанси; Андрея Станчу, Ръководител на Асоциацията на дипломираните експерт-счетоводители за Югоизточна Европа (ACCA); Красимир Логофетов, Председател на УС на IIA Bulgaria.

Панел I: Вътрешният одит в публичния сектор – развитие и проблеми

Панел II: Вътрешният одит и развитието на технологиите / IT одит и вътрешен одит

Светлин ВълчевЧлен на Управителния Съвет на ИВОБ

Мартин Стивънс Член на Борда на Европейската конфедерация на институтите по вътрешен одит (ECIIA) и Президент на IIA Norway

Ивайло Ламбрев Директор PwC

Диан Димитров Член на Управителния Съвет на ИВОБ

Добринка Михайлова Изпълнителен директор на Изпълнителна агенция "Одит на средствата от Европейския Съюз"

Панел IV: Бъдещето на професията

Красимир Логофетов Председател на Управителния Съвет на ИВОБ

Детелина Смилкова Вицепрезидент на Висше училище по застраховане и финанси

Мари-Елен Леме Президент на Европейската конфедерация на институтите по вътрешен одит(ECIIA)

Андреа Станчу Ръководител на Асоциацията на дипломираните експерт-счетоводители за Югоизточна Европа (ACCA)

Свилена Симеонова Директор Дирекция „Вътрешен контрол” в Министерство на финансите

Йохан Ризер Министерство на финансите, Австрия

Панел III: Измами и Етика в кризисни условия

Станко ТокичПрезидент на IIA Croatia

Малина ИвановаЗаместник-председател на Управителния Съвет на ИВОБ

Майкъл ПиърСъдружник в KPMG Central & Eastern Europe

Силвия Марусинкова Вицепрезидент на IIA Slovakia

РЕГИСТРАЦИЯ

За регистрация може да посетите: http://conference2013.iiabg.org/bg/registration.htmlРегистрационни такси:• 260 евро за ранно записване (до 31/03/2013 г.)• 360 евро редовна такса (31/03/2013 – 20/05/2013 г.)Таксата за участие включва: хотелското настаняване за 6-ти юни, достъп до сесиите и презентациите, конферентен пакет, симултанен превод, кафе паузи, работен обяд и гала вечеря на 06 Юни.

Таксата за ранно записване е валидна при извършено плащане преди 31.03.2013 г.

Заявката за регистрация считайте за потвърдена след получаване на съобщение по електронна поща от ИВОБ, към който ще бъде прикачено сканирано копие на фактурата за плащане.

ИВОБ си запазва правото да отказва регистрация при изчерпване на местата, за което ще бъдете своевременно информирани по ел. поща.

Анулиране на регистрации се приема до 07.05.2013 г., включително. В този случай ще Ви възстановим платената такса, намалена с 50 € административни разходи. След 07.05.2013 г. анулиране на участие не се приема и такси не се възстановяват.

Допълнителна програма:• Посещение до Аладжа манастир, Ботаническата градина и Двореца близо до гр. Балчик – 35 евро; • Национална фолклорна вечеря в ресторант с фолклорна програма – 30 евроЗа повече информация може да се свържете с ИВОБ

МОДЕРАТОРИ


НЕ ТРЯБВА ДА БЪДЕМ ПАСИВНИ И ДА ЧАКАМЕ РИСКОВЕТЕ ДА ВЪЗНИКНАТ

е Вицепрезидент/ Ръководител на звеното за вътрешен одит на Georgia – Pacific, LLC (Преди това той има опит като ръководител на звено за вътрешен одит на други публични компании. Той също така е бил одитен мениджър на PepsiCo, стар-ши мениджър в Arthur Anderson Business Risk Consulting. Пол Собел често е лектор на конференции на IIA за теми, свързани с управлението, управление на риска в орга-низацията - ERM и вътрешен одит. Автор е на Наръчник по управление на риска за одитори: Интегриране на одита и ERM (Risk Management Guide: Integrating Auditing and ERM), Управление на риска в организацията ERM: Постигане на траен успех (Enterprise Risk Management: Achieving and Sustaining Success). съавтор е на изданието на The IIARF - Предоставяне на увереност и консултантски услуги.

Понастоящем Пол Собел е старши заместник-председател на Борда на директо-рите на The IIA. Бил е председател на Изследователската фондация на The IIA – The IIARF, старши заместник-председател на Борда на Северноамериканския институт, заемал е и други доброволни позиции.


Накъде виждате професията по вътрешен одит да насочи внимание в бъдеще? За да бъде успешна професията и за да остане приложима, вярвам, че вътрешните трябва да се концентрират върху две неща. Първо трябва да насочат внимание повече върху стратеги-ческите рискове. Това не означава, че всички стратегически рискове са „одитируеми“ сами по себе си. Напротив, това означава, че вина-ги трябва да имаме предвид възможността да предоставим някаква увереност или съвет, свързан със стратегическите рискове, които ще помогнат на нашите организации по – добре да управляват тези рискове и да бъдат по – ус-пешни. На второ място, вярвам, че вътрешните одитори ще се нуждаят от по – проактивен пог-лед за нови и възникващи рискове. Не трябва да бъдем пасивни и да чакаме рисковете да възникнат. Можем да изиграем ценна роля в осигуряването на увереност, че мениджмънтът разполага с контролните механизми и с други дейности за управление на риска, за да действа ефективно срещу тези рискове. Погледът в бъ-дещето на професията ще бъде ключова част от моето послание като Председател на Борда на Глобалния институт.

Мислите ли, че настоящата роля на вътрешния одитор се е променила в последните години в светлината на световната криза?Световната криза напомни на всички нас, че успехът на организацията, а понякога и оце-ляването, излиза извън рамките на финансово-то отчитане и другите традиционни контроли. Вътрешните одитори могат и би следвало да играят ключова роля в това да помагат на ме-ниджмънта да идентифицира и разбере всички рискове, включително тези, които са по – стра-тегически и оперативни по своята същност. Вяр-вам, че световната криза помогна да се повиши значимостта на стабилна функция по вътрешен одит, но също така и повиши очакванията към нея. Трябва да имаме правилните познания и компетентности, за да оценим всички видове рискове, в противен случай ще бъдем възприе-мани като прекалено реактивни и подсилващи старото впечатление, че „ одиторите идват след битката и след като щикът е ранил“. Придър-жайки се към метафората за битката, трябва да помогнем на мениджмънта да планира битката и да дадем увереност, че я провеждат с правил-ните ресурси и въоръжение.

Пол Собел, CIA, CRMA

Интервю с Пол Собел, CIA, CRMA



Как организациите могат да увеличат ползата от функцията си по вътрешен одит?На първо място, организацията трябва да се увери, че Статута на звеното за вътрешен одит обхваща всички видове рискове, не просто фи-нансовото докладване и рисковете за съответ-ствие. На второ място, трябва да има подкре-па от върха, за което свидетелстват линиите на докладване, които да осигуряват организа-ционна независимост, и да подкрепят тези ти-пове докладване вътрешно, така че дейностите на функцията по вътрешен одит да са важни за успеха на организацията. На трето място, функ-цията трябва да разполага с подходящи ресур-си, започвайки от ръководителя на звеното за вътрешен одит и стигайки до други ресурси, не-зависимо дали са привлечени или собствени. На последно място, констатациите на вътрешния одит трябва да бъдат възприемани сериозно. Това не означава, че всяка констатация изисква незабавна реакция. По-скоро мениджмънтът трябва да работи с вътрешния одит, за да раз-бере неовладяния риск в резултат на констати-раните слабости и да предприемат действия за адресиране на констатациите в подходящ план за действие.

Как вътрешните одитори в корпоративния и публичния сектор могат да се превърнат в доверени съветници?Казано просто, това трябва да се заслужи, не се дава. Вътрешните одитори трябва да действат в съответствие с професионалните стандарти, което предполага честност, професионализъм, подобаващ скептицизъм, разбиране за бизнеса, разбиране на ключовите рискове и бизнес про-зорливост и находчивост за напредък в лицето на предизикателство и несъгласие. Етичният кодекс и Стандартите са наистина чудесни за очертаване на нещата, които трябва да вършат вътрешните одитори. Пълното съответствие ще помогне на вътрешните одитори да спечелят уважение като доверени съветници.

Превод: Даниела Лазова

ИТ ОДИТЪТ – ПРЕДИЗВИКАТЕЛСТВА И РЕШЕНИЯ

ИТ ОДИТЪТ КАТО ЧАСТ ОТ ЦЯЛОСТНАТА СИСТЕМА ЗА ВЪТРЕШЕН ОДИТ В ОРГАНИЗАЦИЯТА

През последните години, все повече организации в Бългрия в лицето на техните висши ръко-водни органи, оценяват значението и необходимостта от специализирана ИТ одит функция и от ИТ одитори. Какво налага тази тенденция? На първо място фактът, че информационни-

те системи придобиват все по-ключово значение за извършването на основните бизнес процеси на организациите. Представете си например един голям телеком оператор с няколко милиона клиенти и с десетки милиони транзакции на ден - телефонни обаждания, кратки текстови и мултимедийни съобщения, осъществен достъп до Интернет и други видове услуги. Всички тези услуги най-напред трябва да бъдат извършени във времето и по начина, по който клиентите са ги поискали. След това трябва да бъдат точно остойностени, информацията за тях да бъде надеждно съхранена и обработена в информационните системи и да може да бъде проследена в последствие при не-обходимост. Или да вземем за пример голяма търговска или финансова институция с регионални представителства в цялата страна, а защо не и в чужбина. Във всяка минута от работния ден се генерират десетки и стотици транзакции – продажби на стоки, услуги, финансови продукти. И не само се извършват, но и във всеки момент при поискване от ръководството може да бъде предос-тавена точна информация за реализираните обороти, приходи, разходи, печалба, да се идентифици-рат и анализират тенденции в реализацията на определена стока или услуга, които да подкрепят вземането на правилните управленски решения.

Васил Кайрямов е Главен вътрешен одитор на ИТ в Корпоративна Тър-говска Банка АД. Има над 8 години опит като ИТ одитор. Предишният му професионален опит е също в сферата на ИТ – от които 3 години в банкова институция, 2 години в технологична компания в сферата на микроелектрониката и 9 години в търговски компании. Има магистър-ска степен по компютърни науки от Технически Университет – София. През 2007 г. придобива професионален сертификат от Cisco – CCNA (Cisco Certified Network Associate), а от следващата година е сертифициран оди-тор на информационни системи по програмата CISA (Certified Information Systems Auditor) на ISACA (Information Systems Audit and Control Association).

Васил Кайрямов


ИТ ОДИТЪТ – ПРЕДИЗВИКАТЕЛСТВА И РЕШЕНИЯ ИТ ОДИТЪТ – ПРЕДИЗВИКАТЕЛСТВА И РЕШЕНИЯ

Всичко това в днешно време би било невъзможно без използването на информационни и комуни-кационни технологии. Информационните техно-логии са „кръвоносната система“ на всеки голям бизнес, както се изразяват колеги от бранша. За разлика от миналото, когато компютърните системи само записваха и съхраняваха бизнес транзакциите, сега информационните системи на практика движат ключовите бизнес процеси на предприятията и правят възможно осъщест-вяването на дейността им. И това се отнася не само за търговските предприятия, но и за орга-низациите от публичния сектор, здравеопазва-нето, образованието, научните и изследовател-ски центрове и много други сфери на дейност. В светлината на гореизложеното е обяснимо защо висшите мениджъри отдават толкова голямо значение на информационните технологии.

Именно за да отговори на притесненията на ръководството се появява функцията по ИТ одит. Съгласно дефиницията на Ин-ститута на вътрешните одитори (The IIA), вътрешният одит е обективна и независи-ма дейност по предоставяне на увереност и консултантски услуги, предназначени да добавят стойност и да подобрят дейността на организацията. ИТ одитът е част от ця-лостната одит функция и като такъв би мо-гъл да бъде описан със същата дефиниция, но по отношение на информационните тех-нологии. Често в литературата се цитира и една дефиниция, формулирана преди дос-та години от Рон Уебър, а именно: „ИТ оди-тът е процес на събиране и оценяване на доказателства, за да се определи дали една информационна система опазва информа-цията, поддържа целостта на данните, по-стига целите на организацията ефектив-но и консумира ресурси ефикасно." Моето лично мнение е, че ИТ одитът трябва да се разглежда по-широко – в контекста на де-финицията на The IIA и да включва не само одитиране на наличните информационни системи, но и предоставяне на увереност и консултации относно цялостното упра-вление на информационните технологии в организацията, относно процеса на иден-тификация и управление на ИТ рисковете, както и относно специфични за организа-цията ИТ процеси (ако има такива).

При извършване на ИТ одит, ИТ одиторът трябва да даде мнение за:

• Адекватността и ефективността на внедре-ните ИТ контроли;

• Идентификацията, управлението и остатъч-ните нива на рисковете, свързани с ИТ;

• Степента на постигане на поставените цели пред ИТ.

За да се справят успешно с това предизвика-телство, ИТ одиторите трябва да имат позна-ния за контролите в организацията, свързани с информационните технологии; за приложи-мите ИТ рискове и за поставените от Ръковод-ството ИТ цели.

ЩО Е ИТ КОНТРОЛ? Съгласно дефиницията на The IIA контрол е: всяко действие на ръководството, Съвета или други лица, насочено към подобряване на управлението на риска и увеличаване на вероятността за реализиране на поставените цели и задачи. По отнощение на контролите в областта на информационните технологии The IIA дава следната дефиниция: Контроли, които са в подкрепа на оперативния менидж-мънт и управленския процес и осигуряват общи и технически контроли по отношение на ИТ инфраструктурите, включващи приложе-ния, системи и хора.

Най-общо, ИТ контролите се класифицират като общи и приложни.

Общите контроли са приложими за всички системи, процеси и данни в дадена органи-зация, както и за средата, в която функцио-нират. Общите контроли включват, но не се ограничават до, ИТ управление, управление на риска, управление на ресурсите, разра-ботка и поддръжка на приложения, управле-ние на потребителските профили, логическа сигурност, физическа сигурност, управление на промените, архивиране и възстановяване, осигуряване на непрекъснатост на процесите.

Приложните контроли се отнасят до отдел-ни бизнес процеси или приложни системи и включват контроли по време на въвеждането, обработката на данни и изхода на информа-

ция към други системи. Поради това, целта на приложните контроли е да се гарантира, че:

• въведените данни са точни, пълни, правил-ни и оторизирани;

• данните се обработват, както е предвидено и в приемливия период от време;

• данните, които се съхраняват, са точни и пълни;

• изходните резултати са точни и пълни;

• поддържа се информация за проследяване на целия процес – от въвеждането на данни, през обработката и съхранението, до край-ния изход.

Друга обща класификация на ИТ контролите е въведена в зависимост от това кой отговаря те да бъдат внедрени и да се изпълняват правил-но. В теорията по този признак ИТ контролите се категоризират на:

• ИТ контроли от най-високо управленско ниво (IT Governance Controls) – обикновено като такива се разглеждат утвърдените от ви-сшето ръководство политики;

• Управленски контроли (Management Controls) – например утвърдените от изпълнителното ръководство в организацията стандарти, пра-вила, процедури; създадената организация; въведеното разделение на задълженията; внедрените контроли за осигуряване на фи-зическа сигурност на ИТ инфраструктурата и подходящи параметри на средата (темпера-тура, влажност, запрашеност, пожарна безо-пасност).

• Технически контроли – често те формират „гръбнака” на системата от вътрешни контро-ли в ИТ. Ето защо, ако те са слаби, то това се отразява на цялата система. Тези контроли са специфични и зависят от технологиите и ин-фраструктурата, които се използват в рамки-те на организацията. Примери за технически контроли са: контролите, свързани с опера-ционните системи; контроли, свързани с бази данни; криптиране на данните; лог-файлове на приложения, системи, комуникационни устройства и други елементи на инфраструк-турата.

Друг много важен аспект от работата на ИТ оди-тора е да предостави на ръководството на ор-ганизацията разумна увереност относно иден-тификацията и управлението на ИТ рисковете. Международните стандарти за професионал-ната практика по вътрешен одит на The IIA дефинират понятието Риск като: „Възможност-та да настъпи събитие, което ще повлияе върху постигането на целите на организацията. Рис-кът се измерва с неговия ефект и с вероятността от настъпването му.” Тази дефиниция е валидна и по отношение на рисковете, свързани с инфор-мационните технологии. Трябва да се има пред-вид, че идентификацията, анализът и оценка-та на ИТ рисковете в организацията може да се окаже трудно начинание. Колкото по-ком-плексна и хетерогенна е ИТ инфраструктурата в организацията, толкова по-сложна става тази задача. Разбира се, тя се улеснява значително в случаите, когато в организацията вече е раз-работен риск-регистър от съответното звено за Управление на риска. При конкретния одитен ангажимент, ИТ одиторът трябва да анализира включената в обхвата на одита ИТ инфраструк-тура (хардуер, софтуер, комуникации, прило-жения, данни, протоколи и хора) и свързаните с нея уязвимости и рискове. Освен това при оцен-ката дали остатъчните рискове са приемливи или не, трябва да се има предвид и заявеният от ръководството на организацията риск апе-тит. Съгласно Международните стандарти за професионалната практика по вътрешен одит на The IIA Риск апетитът се дефинира като: „Ни-вото на риск, което организацията е склонна на поеме.” Риск апетитът би следвало да е обявен официално от ръководството, например в По-литика за управление на риска. Естествено, за различните рискове – риск апетитът може да е различен. Обикновено в никоя организация не се толерира риск, свързан с измами. Това пред-полага остатъчното ниво на този риск да бъде в най-ниската област на възприетата от органи-зацията скала. В същото време, за определена информационна система, която не е свързана с критични бизнес процеси, може да се допуска известен период на неработоспособност след евентуален срив на системата. От своя страна това означава, че остатъчното ниво на риска от прекъсване на работоспособността на тази сис-тема, въпреки че номинално ще е по-високо от


това на риска, свързан с измама, отново ще е приемливо за организацията.

Не по-малко предизвикателство пред ИТ оди-торите е оценката на степента на постигане на поставените ИТ цели. Необходимо е да се отбележи, че съществува разлика между биз-нес цели и ИТ цели. Организациите (предпри-ятията) съществуват, за да създават стойност за своите акционери. Желанията, нуждите на акционерите намират израз в стратегията на организацията. От своя страна тази стратегия се трансформира в конкретни бизнес цели. За да бъдат постигнати тези бизнес цели се поста-вят подходящи цели и пред ИТ. По този начин механизмът за каскадно транслиране на цели-те от горе надолу позволява: 1) на всяко ниво в организацията да се поставят конкретни и из-мерими цели; 2) осигурява се еднопосочност на поставените цели със стратегията, вижданията и желанията на акционерите; 3) постига се съ-ответствие между изискванията на бизнеса и внедрените ИТ решения и услуги.

При оценката за това доколко са постигнати по-ставените цели пред ИТ, може да се подходи по два начина:

• За ИТ цели, които имат количествено измере-ние, просто ще се сравни постигнатият резул-тат с поставените от ръководството параме-три. Например, лесно е да се прецени, че ако през одитирания период имаме нула проби-ви в информационната сигурност – то целта е постигната. Аналогично е и положението когато, да речем, общото време на неработос-пособност на комуникационните линии, при организация с много географски локации, е в рамките на 0.1%.

• По-трудна е оценката при цели, които нямат конкретна количествена оценка – като напри-мер удовлетвореността на бизнеса от предос-тавяните ИТ услуги. В този случай могат да се ползват косвени показатели, като например, тренда на тези заявки до Help Desk, които се отнасят до липсваща или неуместна функ-ционалност на приложения или до недостатъ-чен капацитет на инфрастуктура.

ИТ ОДИТЪТ – ПРЕДИЗВИКАТЕЛСТВА И РЕШЕНИЯ

АНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ – МОТИВИРАНОТО РЕШЕНИЕ

Росина Чолеева-Киркова, CIA, CGAP

Aнализ на разходите и ползите /СВА/ е термин, който често се използва в бизнес планирането. Гамата от приложения на

този анализ включва проекти в областта на информацията, комуникацията и технологи-ите (ИКТ), развитие на политики, бизнес про-мени и строителни проекти. Конкретното му прилагане е отговорност на висшия менидж-мънт на всяка организация.

Какво е анализ на разходите и ползите? Анализът на разходите и ползите е формален анализ на въздействието на проект или про-грама, изработени така, че да оценят дали пре-имуществата (ползите) са повече от вредите (разходите). Ако резултатите от този сравните-лен метод за оценка показват, че общите ползи, свързани с предложените действия, надвиша-ват направените разходи, най-вероятно проек-тът ще бъде изпълнен.

Този анализ е добър подход при мотивирано вземане на решения, тъй като логично обясня-ва предпочитанието за изпълнение на едно или друго от тях. Анализът на ползите и разходите е набор от професионални инструменти за оцен-ка на ефективността. В одитната дейност този анализ е полезен при извършване на одитен ангажимент за консултиране, както и оценка за ефикасност и ефективност на дейностите (т. нар. одит на изпълнението). Пример за приложение-то на този анализ в одитното звено е когато взе-маме решение дали да бъде заменен одитния софтуер с по-нова версия от същата компания или да бъде закупено изцяло ново приложение.

По-общо казано, анализът на разходите и ползи-те има няколко технически изпълними стъпки,

за да се пресметне аритметично. Първо, всички потенциални разходи, които ще бъдат направе-ни чрез прилагане на предложените действия, трябва да бъдат идентифицирани. Второ, трябва да се запишат всички очаквани ползи, свързани с потенциалното действие. И накрая, изваждане на всички идентифицирани разходи от очаква-ните ползи, за да се определи дали положител-ните ползи превъзхождат негативните разходи. Необходима е предварителна подготовка, за да може да се достигне до етапа, в който ще запо-чнат математическите изчисления. Тази подго-товка включва няколко елемента:

1. Ясна идентификация на проекта и съв-местимост с целите на организациятаПри стартиране на анализът на разходите и ползите, от съществено значение е изясняване-то на следните два проблема:

• Какъв e резултатът, който се очаква да бъде постигнат от проекта?

и

• Защо организацията трябва да бъде въвлече-на в постигането на тази цел?

Генерирането на приходи от внедряването на един проект е от решаващо значение за висшия мениджмънт. На този етап се изяснява обекта на анализ- проблемите, които възникват; специ-фичните нужди, като се дефинира и обхвата на проекта. Идентификация означава, че обектът е самостоятелна единица за анализ, т.е. би след-вало да се включат всички ефекти, както преки, така и косвени, които влияят върху проекта. Тук е мястото, където се разглеждат различните оп-ции за решение на проблема. Извършва се една

В заключение – доколкото ИТ одитът е част от цялостната одит функция в организацията, то той не е по-различен от финансовия или опера-ционен одит, например. Предназначението им е едно и също – предоставяне на разумна уве-реност на ръководството; етапите и методите на самия одитен процес са едни и същи. В съ-щото време ИТ одитът има своите специфики, които го отличават от останалите видове одит. И те произтичат от самото естество на инфор-мационните технологии. Тези специфики на ИТ одита изискват и по-специфично познание при одиторите, което от своя страна налага необхо-димостта от професията ИТ одитор.

Използвана литература:

1.Международни стандарти за професионал-ната практика по вътрешен одит

2.Global Technology Audit Guide (GTAG®) 1 - Information Technology Risk and Controls, 2nd Edition

3.COBIT 5: A Business Framework for the Governance and Management of Enterprise IT


АНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ – МОТИВИРАНОТО РЕШЕНИЕАНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ – МОТИВИРАНОТО РЕШЕНИЕ

предварителна оценка, която няма онази за-дълбоченост, изисквана от анализа на разходи-те и ползите. На този етап се очаква да протече дискусия относно съществеността на проблема, икономическия му контекст и целите, които ще бъдат постигнати. Предвид, че дейността въ-трешен одит е интегриран компонент от ефек-тивното управление, това налага дейността да бъде доставена по разходно- ефективен начин. При даване на препоръки вътрешните одитори следва да отчитат цената от въвеждането на контролните механизми спрямо потенциални-те ползи от въвеждането им.

Този първоначален процес идентифицира ре-зултата, поискан за даден проект и го утвърж-дава като приоритет на организацията.

Пример за ясна идентификация на проекта е поставянето на проблема, т.е. одитното звено е идентифицирало съществен риск в моделира-нето на процесите и контролите в компанията. Този риск би могъл да се покрие от внедряване-то на нова процедура, която обаче изисква зна-чителна инвестиция. Това би било оправдано, ако ползите надвишават разходите от гледна точка на висшия мениджмънт, както бе опи-сано по-горе. За да бъде убедителен одитният отдел, трябва да отчете и косвените приходи и разходи, които произтичат от тази нова про-цедура, както и влиянието й върху цялостната дейност на организацията. Алтернативите, кои-то се разглеждат са очакванията за промяна в един отдел или цялостен ре-инженеринг в ком-панията.

2. Проучване на изпълнимостта на проек-та и на алтернативните възможностиСлед като вече е дефиниран проблема и е изгра-ден вариант (план) за решението му, е необхо-димо да се извърши анализ на приложимостта на взетото решение. Необходима стъпка е да се увери вземащите решение, че ползата от внед-

ряването на процедурата или проекта в бъдеще ще бъде адекватно и то в дългосрочен план. Не-задълбочени анализи на вариантите се правят с цел първоначално класиране на алтернатив-ните възможности. Предварителната оценка ще даде възможност на вземащите решения да определят чрез кои действия ще се постигане желания изход и ще се намали високия риск. От другата страна организацията има своите цели и приоритети, които ограничават анализа по отношение на бюджета и ресурсите.

Целесъобразно е да се ограничи оценката на този етап от предварителния анализ. Реали-зирането на подробни оценки на проект със сравнително малка стойност или нищожен риск може да включва изразходването на значител-ни финансови ресурси, което да води до нео-правдани разходи за извършването им.

В моята практика съм се срещала с примери, за които вземането на едно решение или даването на препоръка е свързано именно с проучването на алтернативните варианти и тяхната оцен-ка. Въвеждането на нова ИТ контрола по няко-га може да коства допълнителни средства или да изисква необходимостта от разработване на нови справки, която да се допълва както с ръч-ни, така и с автоматични контроли.

3. Финансов анализОсновна задача на финансовия анализ е пре-смятането на стойностите на показателите за финансовото изпълнение на предприетите действия. Финансовият анализ включва след-ните по-важни етапи:

1.Набиране на информация за финансовия анализ.

Набира се информация от счетоводните балан-си, отчета за приходите и разходите и други отчети, както и допълнителни независими и външни източници.

2.Обработка на информацията в таблици и по-казатели за разкриване на тенденции, структу-ри и зависимости.

На тази основа се формират отделните оценки и изводи. Тук няма да бъдат изброени форму-лите за изчисление на различните показатели, т.к. финансовият анализ не е предмет на тази статия. Категориите показатели, които могат да бъдат използвани в този вид анализ, предста-вени накратко са: за ликвидност; за управле-ние на активите; за доходността; за финансов ливъридж и за пазарна оценка. Във всяка от тези категории има значителен брой финансо-ви показатели, които трябва да бъдат пресмет-нати и оценени, за да се направи един добър финансов анализ. Финансовият анализ е само един сегмент от анализа на ползите и разходи-те. Съществуват различни подходи при изграж-дането му. Основната разлика между тях е об-хвата на финансовия анализ, както и изборът на финансови показатели, които са от съществена важност за мениджърите.

3. Обобщаване на резултатите на този етап и разкриване влиянието на основните фактори за едни или други изменения.

Тук се прогнозират бъдещи изменения на финан-совите резултати и се разработват необходимите мероприятия за успешно развитие на бизнеса.

Финансовият анализ, извършван като част от анализ на разходите и ползите, трябва да следи за финансовата рентабилност на инвестицията. Последното може да се оцени посредством нет-на настояща стойност и нормата на възвръщае-мост на инвестицията. Финансовият анализ би следвало да се основава на подхода на дискон-тираните паричните потоци. Система от счето-водни таблици би трябвало да покаже парични входящи и изходящи потоци, свързани с:

1) Общ размер на инвестиционните разходи;

2) Общи оперативни разходи и приходи;

3) Финансова възвръщаемост на инвестици- онни разходи;

4) Източници на финансиране;

5) Финансова устойчивост;

6) Финансова възвръщаемост на капитала.

Времевият хоризонт трябва да бъде в съответ-ствие с икономическия живот на основните ак-тиви. Подходящата остатъчна стойност трябва да бъде включена в сметките в края на годината.

4. Икономически анализОсновен принцип при икономическия анализ е, че вложените ресурси се оценяват по тяхна-та алтернативна цена, а резултатите – по го-товността на потребителите да заплатят за тях. Предмет на икономическия анализ е влиянието на комплекса от фактори върху постигнатите резултати и използването на ресурсите, като се разкрият резервите за повишаване на ефектив-ността на ангажирания капитал. Преди опреде-ляне на индикаторите за икономическо изпъл-нение, трябва да се внесат някои корекции, като напр. фискални корекции, корекции на външни фактори, цени в сянка и други, които не са обект на темата.

5. Анализ на риска и анализ на чувствител-носттаАнализ на риска е техника за идентифициране и оценка на фактори, които могат да застрашат успеха на проекта или постигането на целите, поставени от приложението на препоръката. Оценява се въздействието на промени в про-менливите върху индикаторите за изпълнение на проекта. Тази техника също помага да се оп-ределят превантивни мерки за намаляване на вероятността от появата на тези рискове, както и да се идентифицират контрамерки.

Анализ на чувствителността цели идентифици-ране на критичните променливи. Анализът се извършва посредством изменение на стойно-стите на променливите фактори по проекта в определени граници и наблюдение на породе-ните от това вариации в стойностите на инди-каторите за финансово и икономическо изпъл-нение. Стойностите на променливите фактори трябва да се променят една по една, като оста-налите параметри остават постоянни.

Заключение – ползата от анализ на разхо-дите и ползитеТози метод често се приема като тесен финан-сов инструмент. Извършването на анализ на разходите и ползите е ценен начин да се прете-глят плюсовете и минусите на прилагането на предложените действия. СВА, който е напълно идентифициран и реалистично са остойностени всички разходи и ползи, е точен начин да се оп-редели дали тази възможност си струва време и енергия на компанията.

ЗАГЛАВИЕ Цел

Обща информация Обща информация която ще бъде използвана -име, бр. години за анализ

Баланс Сравнителни баланси за периода на анализ.

ОПР Сравнителна информация от ОПР за периода на анализ

Отчет за паричните потоци Сравнителна информация от ОПП за периода на анализ


С цел по-голяма яснота за ползата от използва-нето на този анализ, ще предложа един пример за неговото приложение. Когато се използва СВА, обикновено се сравнява основния случай - да се продължи по стария и утъпкан начин или да се въведе новото обстоятелство. За всяка една предложена ситуация се изготвя нов ана-лиз. Основен момент при този анализ е, когато се оценяват приходите и разходите, те да бъ-дат направени така, че да има съпоставимост между тях. Загубите и изгодите се получават по различно време, а парите имат различна стой-ност във времето. За тази цел се приема, че па-рите днес имат по-голяма стойност от парите в бъдеще. Поради тази причина е необходимо да се сконтират паричните потоци, които се очак-ват да бъдат получени през периода на оценка.

Нека използваме примера със закупуването на одитен софтуер или просто неговото осъвреме-няване. За целта следва да се предложат два варианта – 1) закупуване на абсолютно нов соф-туер и 2) обновяване на вече съществуващия, като ги съпоставяме с модела да не бъде пред-прието действие и одитния отдел да продължи извършването на одитната дейност по стария си начин.

Ясна трябва да е и целта, която одитният отдел си поставя. Вероятно е това да бъде по-висока производителност или по-бърз обмен на данни, ако одитните екипи работят в страни с ограни-чен достъп до интернет, а не на основата на ре-пликация. За изграждането на един модел са необходими предпоставки, за да може той да бъде изчислен. Следва да бъдат обмислени ня-кои допускания за модела, като например:

1. Дисконтиращата норма;

2. Амортизацинната норма за новия софтуер на одитното звено;

3. Амортизацинната норма на другите активи (напр. компютри);

4. Следващото допускане по модела е относно ценовата инфлация и ръста на заплатите за пе-риода на живот на новия одитен софтуер.

Следващата стъпка е да се опишат подробно приходите, които ще се генерират и в единия, и в другия случай. Тук е необходимо да се про-учи съдържанието на софтуера и доколко той ще улесни работата на одиторите, как ще се по-виши тяхната производителност и ще съкрати разходите на одитното звено. Необходимо е да се оцени и остойности бързината на комуни-кацията между тях, защото забавата в кому-никация изисква повече инвестирано време от страна на одитния мениджър, което води и до по-високи разходи, ако информацията по одита е вече проверена от одитора, но не е реплекира-на. Приходите за времето на жизнения цикъл на софтуера следва да се сконтират с по-горе дефинираните такива.

По отношение на разходите задължително следва да се включи разхода за закупуване на нов или за обновяването на стария софтуер, за-купуването на лицензи, разходи по инсталира-не, поддръжка, обучение, персонал, прехвър-ляне на данните от едната в другата система и други. Ако има данъчни ефекти, те също следва да бъдат включени.

На годишна основа се изчисляват :

- Нетна настояща стойност:

NVP = ∑ values j

n

j=1 (1 + rate) j

- Вътрешна норма на възвръщаемост:

CF0+ + + + = 0

CF1 CF2 CF3 CFn

(1 + r) 1 (1 + r) 2 (1 + r) 3 (1 + r) n

В хипотезата на първия случай (при закупу-ване на нов одитен софтуер) следва да имаме положителна нетна настояща стойност едва след 5-ата година. Направени са допускания, че годишната дисконтова норма е 6%, както и приблизителни изчисления относно доходност-та, която тази инвестиция ще ни носи в бъдеще. Доходността е формирана върху по-високата производителност на одитния екип (по-голямо покритие на одитната вселена, по-малко ин-вестирано време от страна на одитния мени-джър, както и на ръководителя на екип). В таб-лицата по-долу е представено изчислението от закупуване на ново ИТ приложение:

АНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ – МОТИВИРАНОТО РЕШЕНИЕАНАЛИЗ НА ПОЛЗИТЕ И РАЗХОДИТЕ – МОТИВИРАНОТО РЕШЕНИЕ

ЗАКУПУВАНЕ НА НОВ ОДИТЕН СОФТУЕР

A B

1 Данни Описание

2 0,06 Годишна дисконтова ставка. Това може да представя процента на инфлацията или лихвения процент на конкурентна инвестиция.

Стойност в лв. Описание

3 -60000 лв. Начална цена на одитния софтуер

4 9800 лв. Доход за първата година

5 12300 лв. Доход за втората година

6 15900 лв. Доход за третата година

7 18000 лв. Доход за четвъртата година

8 23000 лв. Доход за петата година

Резултат Описание

4987лв. Нетна настояща стойност на тази инвестиция e положителна след 5тата година

Преди да преминем към изчисленията на вто-рата хипотеза, трябва да се вземе предвид, че ИТ инвестицията има ограничен полезен жи-вот. Поради бързото развитие на технологиите може да се окаже, че трябва да планираме мно-го прецизно времето на използване. Анализът на риска би могъл много да ни помогне при планирането дали да изберем ново приложение или да ползваме подобрена версия на вече съ-ществуващото ИТ решение. Когато се намира-ме във втората хипотеза, т.е. не се закупува нов софтуер, а се актуализира вече наличния такъв, следва да се премислят рискове като срив във системата - backup система; закупуване на до-пълнителни приложения, които да ни позволя-ват да бъдем по-ефективни при изпълнението на одитната работа, необходимостта от автома-тизиране на част от одитната дейност.

След като се изчислят общите проектни при-ходи и тяхната настояща стойност, се пристъп-ва към сравняването на алтернативите. Тази с най-висока възвръщаемост се изпълнява.

Може да се очаква, че приемливата цена, коя-то организацията би платила, ще е на стойност близка до теоретичния баланс между търсене и предлагане. Следователно, анализът ни изпра-вя пред проблема да определим „приемливата цена”. Теоретично приемливата цена трябва да отразява нивото на риск, определен от забавя-не на обмена на информация или липсата на комуникация, както и риска по отношение на документиране на информацията и правилно-то рефериране в работните програми, липсата на взаимосвързаност между констатациите и работните документи. От другата страна тряб-ва да стои степента на развитие на звеното за вътрешен одит, неговата значимост, производи-телност и по-бързия обмен на данни.

В заключение може да се посочи, че този ме-тод е изключително полезен при оценка ефек-тивността на предложените действия (напр. закупуването на одитен софтуер). Получените резултати не могат да бъдат приемани като аб-солютни, но са полезна отправна точка при взе-мането на решения.


ПОВЕЧЕ С ПО-МАЛКО

Развитата първоначално в Канада оди-торска концепция, наречена "Самооцен-ка на контрола" (CSA) е процес, който

използва работни срещи за включване на слу-жителите в оценяването на адекватността на контролите и идентифициране на възмож-ности за подобрение. В резултат на процеси-те за самооценка на контрола, вътрешният одит и служителите от бизнес звената рабо-тят заедно като екип, за да се установи ефек-тивността на бизнес звената за постигане на целите - оперативни, по отношение на фи-нансовата отчетност, съответствието със законите.

САМООЦЕНКА НА КОНТРОЛА

Снежана Стефанова, CFSA, CCSA, CRMA

Същност на Самооценката на контролаСамооценката на контрола е общо наименова-ние на техника, която покрива самооценка на риска, самооценка на риска и контрола, както и други процеси, посредством които служите-лите в организацията оценяват собствените си рискове и контроли с помощта на служител от вътрешния одит (фасилитатор). Оценяването може да бъде извършено чрез серия от работни срещи, проучвания, анализи или комбинация от тях и може да бъде приложено за проекти, процеси, бизнес единици, функции – по съще-ство за всяка област от организацията. Неза-висимо от използвания формат, целта е една и съща – подпомагане на организацията да оцени вероятността за постигане на бизнес целите си чрез използване на знанията на служителите, отговорни за постигането им.

Вътрешните одитори могат да използват Само-оценката на контрола за събиране на информа-ция за рисковете и контролите, за фокусиране на одиторската работа върху високите рискове, необичайните области, както и да изградят по-добро сътрудничество с оперативните мени-джъри и работните екипи.

Самооценката на контрола е техника, чрез коя-то вътрешният одит добавя стойност за органи-зацията – чрез разширяване на участието на оперативните звена в дизайна и внедряването на системите за риск и контрол, както и в иден-тифицирането на рисковите експозиции и опре-делянето на корективните действия за постига-не на целите.

Формат на приложение на Самооценката на контролаСамооценката на контрола може да се реали-зира чрез различни по своята същност фор-ма и метод (формат), което обуславя неговата специфика при конкретното му приложение. В практиката се използват много различни ком-бинации от форма и метод, а изборът на най-подходящия за дадена организация формат зависи от корпоративната култура, компетент-ността на персонала в бизнес звената и в зве-ното по вътрешен одит, от спецификата на кон-кретната област, обект на самооценка и др.

√ Формите, чрез които се извършва Самоо-ценките на контрола могат да бъдат работни срещи, проучвания с въпросници, анализи или комбинации от тях. Накратко за всяка една:

Ҿ Работни срещи – отговорни участници в оценявания процес обсъждат и оценяват процеса, рисковете и контролите и правят предложения за подобряване на дейността;

Ҿ Проучвания с въпросници – участниците в самооценката попълват предварително под-готвени въпросници относно рисковете и контролите на оценявания процес;

Ҿ Анализи, възложени от ръководството на ор-ганизацията по конкретна тема или процес; за анализиране на потенциални проблеми при въвеждане на нови продукти и услуги; промени в организационната структура, и други. Самооценката чрез анализ се състои от: вътрешен анализ на процес или проце-си, при който чрез набиране, комбиниране и обобщаване на информация от различни източници (в т.ч. от ръководителите на биз-нес звената) се изготвя окончателен доклад/анализ.

√ Методите за Самооценка на контрола са 4 ос-новни вида:

Ҿ Метод, основан на рисковете.

При този метод се идентифицират и се оценя-ват присъщите рискове, които биха попречили за постигане целите на процеса, след което се идентифицират и оценяват контролите, които са заложени за управление на ключовите ри-скове и се оценяват остатъчните рискове, кои-то оказват влияние върху постигане на целите. При избор на този метод могат да се използват всеки един от видовете Самооценка – работни срещи, проучвания с въпросници или анализи.

Ҿ Метод, основан на контролите

Тук основните рискове и контроли са идентифи-цирани и съгласувани предварително, след кое-то в рамките на работната група се извършва анализ на начина, по който работят контролите спрямо начина, по който са замислени. Този ме-тод е насочен към установяване ефективност-та на заложените контроли. При избор на този метод могат да се използват работни срещи и проучвания с въпросници.

ПОВЕЧЕ С ПО-МАЛКО

Впоследствие тази концепция е доразвита и разширена с различни формати на приложение, в които Самооценката на контрола покрива целите, рисковете, контролите и процесите в орга-низацията. Чрез участието на хората, които осъществяват процесите, се използва експертния опит на организацията и се съсредоточават усилията върху важните за постигането на целите на организацията бизнес дейности. Тези, които извършват процесите, оценяват собствените си рискове и контроли, което увеличава способността за постигане на бизнес целите. Вътрешните одитори действат като консултанти, или като фасилитатори и подпомагат работните екипи при оценката на рисковете и контролите.

Виждате ли себе си като неделима част от екипа на вашата организация и успеха й? Осигурявате ли "видима" стойност за ръководството и служителите във вашата организация, докато изпъл-нявате вашите отговорности като одитори? Развили ли сте одитен метод, който ефективно и ефикасно оценява както формалните, така и неформалните контроли, като комуникацията в организацията, корпоративната култура или практиките за управление на човешките ресурси?

Адекватното и ефективно участие на вътрешните одитори в процесите на Самооценка на кон-трола в организацията би допринесло за положителен отговори на тези въпроси.


Ҿ Метод, основан на процеса

Идентифицират се силните и слабите страни на всеки етап от процеса, като целта на Самооцен-ката е усъвършенстване или рационализиране на процеса.

При този метод могат да се използват работни срещи и/или анализи, възложени от ръковод-ството.

Ҿ Метод, основан на целите

Този метод предполага, че е била извършена предварителна идентификация на рисковете и оценка на адекватността на внедрените контро-ли, както и че съществуващите контроли са оп-тимално адекватни. Оценява се ефективността на използваните контроли (начини за постигане на целите), след което се оценяват остатъчните рискове, както и вероятността за реализиране на поставените цели на процеса. За извършване на самооценката се използват работни срещи и/или проучвания с въпросници.

Почти всички организации, които използват Са-мооценката на контрола, го прилагат по разли-чен начин. Някои се фокусират върху рисковете, други – върху процесите, трети - върху меките контроли. Немалка част използват работните срещи от Самооценката на контрола, за да оп-ределят обхвата на тяхната одиторска работа.

Разликата между Самооценката на контрола и другите подходи за вътрешен одитСамооценката на контрола се различава от ти-пичното одитиране по редица характеристики:

Ҿ Вътрешните контроли, рискове и т.н. се оце-няват от персонала на бизнес единиците в организацията, вместо от вътрешните оди-тори;

Ҿ Работният екип по Самооценката, а не въ-трешните одитори, изготвя Доклада с кон-кретните цели, свързаните с тях рискове и контроли, както и оценка на достигнатата степен на постигане на бизнес целите;

Ҿ Участниците в работната среща са експер-тите по риска и контролите, що се отнася до постигане на техните бизнес цели, не одито-рите. Ролята на последните е като фасили-татори или обучители относно концепциите за риска и контрола;

Ҿ Поради участието и сътрудничеството на работния екип, ръководството и персонала са по-склонни да приемат резултатите, кои-то могат да включват нови процедури на-пример, отколкото ако резултатите са пред-ставени от който и да е вид одит.

Поради тези причини, Самооценката на контро-ла може да бъде далеч по-ефективен начин за оценка на меките контроли, отколкото другите методи за вътрешен одит. Ето защо популяр-ността на този инструмент нараства все повече през последните години, но все още не е подхо-дящ за всяка ситуация. Самооценката на кон-трола няма да бъде успешен, ако екипите не са открити и честни, което може да възникне по-ради редица причини - страх от ръководството, страх от присъстващия одитор (фасилитатор), страх от докладване на резултатите от Самоо-ценката, или просто страх да заявят становище в групова среда. В някои случаи, анонимното гласуване може да ограничи част от тези про-блеми, но и други форми на оценяване на кон-трола, като традиционен вътрешен одит, може да бъде по-подходящо в определени ситуации. В повечето организации, които използват Са-мооценка на контрола, не повече от една трета от дейността на вътрешния одит е свързана с участие в Самооценки на контрола, останалата работа е традиционен одит.

Ползи от прилагането на Самооценката на контролаСамооценката на контрола има много потенци-алните ползи. Внимателната преценка на начи-на, по който организацията може да се възполз-ва от Самооценката на контрола, би помогнало за преодоляване на трудностите по осъществя-ването й. Най-съществените ползи са синтези-рани по-долу:

Ҿ Самооценката на контрола увеличава ин-формираността и разбирането за целите на организацията и може бързо да се концен-трира върху високо рискови въпроси и да съсредоточи усилията, където те са най-не-обходими. Той може да помогне на служи-телите от всички нива, по-добре да разберат и поемат отговорността за ефективния кон-трол и управлението на риска чрез включ-ването им в процеса на оценяване;

Ҿ Самооценката на контрола обучава учас-тниците как да анализират и докладват вътрешния контрол и им предоставя ин-струмент за справяне с промените в целите. Коригиращите действия относно контроли-те, които не работят, са по-ефективни, тъй като участниците са "собственици" на ре-зултатите;

Ҿ Работните срещи подобряват комуникация-та на всички нива, особено между отделни-те бизнес звена, както и между мениджъ-рите и работните екипи;Самооценката на контрола, осъществена чрез работни сре-щи може да осигури оценка на меките или съвместните контроли, което е трудно да се оцени с традиционния одит.

ПредизвикателстватаПри участие в Самооценка на контрола вътреш-ните одитори често се сблъскват с редица пре-дизвикателства, а именно:

√ Съпротивление по отношение на промените. Хората обикновено са колебаят да променят ста-туквото, а Самооценката на контрола е различен от традиционния вътрешен одит.

√ Ръководството на организацията може да не е убедено, че служителите от бизнес звената трябва да са отговорни за ефективния контрол и управлението на риска. Те може да гледат на Самооценката на контрола просто като прехвър-ляне на работата на вътрешни одитори върху служителите от бизнес звената.

√ Резултатите от Самооценката на контрола може да не са точни, ако участниците не са ин-формирани или откровени, или водещият/фаси-литаторът не е в състояние да достигне до пър-вопричините за проблемите.

√ Липса на обучение на служителите. Необхо-димостта служителите от бизнес дейностите да оценяват рисковете и контролите може да изис-ква допълнително обучение, за да функционира процесът на Самооценка на контрола ефективно.

√ Липса на умения за обучаване у фасилитато-ра. В повечето случаи, членовете на одиторски-те екипи не са фасилитатори или обучители и е необходимо да отделят време за развитието на тези умения.

За ефективното прилагане на Самооценката на контрола е необходимо организацията да раз-гледа няколко основни въпроса.

Първо: Обхвата на процеса на самооценката – в каква част от организацията ще се използва този инструмент, какви функции и цели ще се включат, принципното ниво в организацията, служители от което ще участват в самооценка-та.

Второ: Влиянието на организационната кул-тура – форматът на Самооценката на контрола следва да бъде избран въз основа на задълбо-чен анализ на организационната култура. В случай, че тя не подкрепя избора на работни срещи като форма на самооценката, използва-нето на проучвания и анализи може да подобри контролната среда.

Трето: Използването на резултатите от Само-оценката на контрола - необходимо е да се прецени до каква степен вътрешните одитори ще използват тези резултати. В етапа на пла-ниране на одита например, може да бъдат из-ползвани оценките на присъщите рискове и на адекватността на контролите, извършени при самооценката; одитния процес би могъл да бъде използван за потвърждение на резултати-те от самооценката; вътрешните одитори биха могли да съпоставят оценките от самооценката и от одитните ангажименти и при съществе-ни различия да ги използват за коригиране на оценките си, въз основа на които са изготвили годишните си планове и т.н.

Четвърто: Предварително трябва да бъдат оп-ределени инструментите, техниките, работните срещи, техническото осигуряване на процеса по Самооценка, документацията и формата на докладването.

Пето: Участието на вътрешният одит – ако ре-сурсите на организацията относно реализира-нето на Самооценката на контрола са концен-трирани във вътрешния одит, той би могъл да има важна роля в този процес, като приложи съответните инструменти за осигуряване на независимостта и обективността си.

ПОВЕЧЕ С ПО-МАЛКОПОВЕЧЕ С ПО-МАЛКО


РАМКА ЗА СЪВЪРШЕНСТВО

Инструмент за многостранна оценка може да подпомогне одиторите да категоризират звеното си спрямо комплекс от нива на ефективност.

Мани Розенфелд, CIA, CRMA


Истинските лидери се стремят да създадат организации от световна класа. Без зна-чение какво е професионалното ни по-

прище, първокласната ефективност увеличава максимално способността да даваме принос, носи удовлетворение на акционерите и заинте-ресованите страни и помага да изпълним ми-сията си. Този принцип несъмнено се отнася до вътрешния одит. Пътят към изграждането на първокласно одитно звено обаче не винаги е обозрим и лесен.

За да подпомогна усъвършенстването на одит-ната функция, аз разработих инструмент за оценка, предназначен за одитни звена със вся-какъв мащаб и от всички сфери на дейност, кой-то дава възможност на одитните ръководители да категоризират ефективността на своя екип. Основното предназначение на тази рамка (Мо-дел за съвършенство на одитните звена) е да насочва одиторите към подобряване на тяхната практика. При все това рамката може да се из-ползва също за опосредяване на диалога с ви-сшето ръководство и одитния комитет, когато се търси тяхната подкрепа за осъществяването на подобрения. Вдъхновението за модела е почер-пено от редица бели книги, посветени на одит-ната професия, от извършените подобрения и опита на одитни ръководители в компании от класацията „Fortune 500”, както и от препоръ-чителни практики на Института на вътрешни-те одитори и решения, взети на кръгли маси на ръководители на вътрешния одит (РВО).

Моделът за съвършенство включва четири нива — изоставащо, професионално, напреднало и първокласно — всяко от които символизира значително по-висока степен на ефективност. За да определят своето ниво, одиторите попъл-ват поредица от таблици с подробни характе-ристики, остойностени в точки. В първите две таблици са систематизирани критично важни аспекти, свързани с ефективността на одитната работа. За всяка от тях одиторите избират само едно твърдение, което най-добре характеризи-ра звеното им. Третата таблица съдържа списък от възможни най-добри практики в областта на одита — одиторите следва да отбележат всички онези, които се прилагат в тяхното звено. Сбо-рът на точките за двете твърдения, отбелязани в първата и втората таблица, и на точките за всички твърдения, отбелязани в третата табли-ца, дава крайния резултат. Приложен към даде-ните диапазони от точки, той показва цялост-ното ниво на ефективност на одитното звено, както и практики, които може да подпомогнат прехода към „първокласно” ниво.

1. МИСИЯ НА ОДИТНОТО ЗВЕНО, ОПИСАНА В СТАТУТА НА ВЪТРЕШНИЯ ОДИТ (избере-те едно твърдение, което описва най-точно вашето звено, и отбележете съответната му стойност в точки)

ТОЧКИ

Насочена към риска в широк смисъл, както е посочено по-долу; стратегическите риско-ве и възможностите за вътрешен одит са изцяло включени в програмата на компани-ята за управление на риска в организацията (УРО). Освен това вътрешният одит търси възможности за съществени оперативни подобрения, като значителен обем от одитни ресурси се заделят за консултантски проекти, инициирани по молба на ръководството за оказване на съдействие.

25

Насочена към риска в широк смисъл; ако даден бизнес риск може да бъде намален чрез процес или контролен механизъм, съответната област е обект на евентуална одит-на оценка и на подобряване. Видовете рискове биха включвали финансови рискове, свързани с ИТ рискове, рискове за съответствието, измама и оперативни рискове.

15

Насочена предимно към оценяването на механизмите за вътрешен контрол върху фи-нансовата отчетност, контролните механизми за осигуряване на увереност по отноше-ние на финансовите бизнес процеси, както и важни контролни механизми в областта на съответствието и оперативната дейности (напр. управление на материалните запаси, обосноваване на капиталови проекти и изпълнение на заявките).

10

Насочена предимно към оценяването на механизмите за вътрешен контрол върху финансовата отчетност и контролните механизми за осигуряване на увереност в тра-диционните процеси за финансов одит (напр. задължения, вземания, водене на ведо-мости, дълготрайни активи, осчетоводяване на материалните запаси и водене на сче-товодните книги).

5

2. ПРАКТИКА ЗА ПОПЪЛВАНЕ НА СЪСТАВА НА ВЪТРЕШНИЯ ОДИТ (изберете едно твърдение, което описва най-точно вашето звено, и отбележете съответната му стой-ност в точки)

ТОЧКИ

Повечето служители в звеното имат над 3-годишен опит в областта на одита и няколко-годишен професионален опит в друга сфера, включително оперативна дейност, финан-си, счетоводство и информационни технологии. Някои от одиторите имат задълбочени експертни познания в конкретни области (напр. оперативна дейност, осигуряване на съответствие, технологии), като може да изпълняват временно назначение в одитното звено с цел професионално развитие. Одиторите задължително трябва да бъдат серти-фицирани или да са в процес на сертификация, за да запазят позицията си, а повече от половината от тях притежават целесъобразни образователни степени.

25

Повечето служители в звеното имат над 3-годишен опит в областта на одита, както и професионален опит в друга сфера, включително оперативна дейност, финанси, счето-водство и информационни технологии. Ръководителите на одитното звено подкрепят сертифицирането, като над 80% от одиторите са професионално сертифицирани или са в процес на сертификация. Повече от половината от одиторите притежават целесъо-бразни образователни степени.

15

Повечето служители в звеното имат 2- до 3-годишен опит в областта на одита. Някои от тях имат професионален опит в друга сфера, включително оперативна дейност и счето-водство. Професионалната сертификация е желателна, но не се изисква.

10

Повечето служители в звеното имат максимум 2-годишен опит в областта на одита и малко бизнес опит. Професионални сертификати (CIA, CISA, CPA и др.) не се изискват.

5


3. ОБЩА ОДИТНА ПРАКТИКА (изберете всички приложими твърдения и отбележете съответната стойност в точки за всяко от тях)

ТОЧКИ

В резултат от независима проверка за гарантиране на качеството е констатирано, че като цяло вътрешният одит отговаря на Международните стандарти за професионал-на практика по вътрешен одит на „ The IIA”.

25

РВО провежда редовни и чести дискусии на четири очи с председателя на одитния ко-митет или други негови членове.

20

РВО е функционално отговорен пред одитния комитет, а административно — пред ръ-ководител от висшия ешелон (в идеалния случай пред главния изпълнителен дирек-тор). РВО се ползва от резервирано „място на масата” и обичайно участва в провежда-ните от главния изпълнителен директор срещи, свързани с изпълнителната дейност. Вътрешният одит е неизменно представен в състава на други важни бизнес и функ-ционални комитети.

15

Одитното звено използва компютъризирани техники за одит при преобладаващата част от своите ангажименти. Освен това то обширно прилага инструменти за анализ на данни и непрекъснато следи избраните основни рискове/контролни механизми.

15

Ръководителите на функционалните и бизнес звената в организацията периодично об-съждат своите ресорни области с одиторите, като разширяват познанията им и хармо-низират по-оптимално обхвата на одитната дейност с най-важните, определящи дей-ността фактори и тревоги.

10

Звеното поддържа база данни със заключения от предходни одитни ангажименти и използва аналитични способи, за да определи свързаните с одитната проблематика тенденции що се отнася до конкретни дейности и процеси, категоризира одитните въ-проси, определя общи първопричини за проблемите и осигурява механизъм за просле-дяване и последващ преглед на въпросите.

5

Инструментът за електронни работни документи на звеното е интегриран с инструмен-та и методологията за УРО.

5

Въведена е установена метрика/цели що се отнася до работата на одиторите (напр. ба-лансирана точкова система или карта за оценка). Например: за издаване на окончате-лен одитен доклад — 10 дни след заключителната среща; за оповестяване на одитен ангажимент — 60 дни преди началото на работата на терен; 95% от коригиращите стъпки се извършват съгласно поетия ангажимент и своевременно.

5

След всеки одит се изисква провеждането на анкета относно удовлетвореността на кли-ентите, като целта е минимум 90% положителни отговори на средна база (целевата стойност може да варира).

5

Внедрена е програма „гостуващ одитор”, в рамките на която експерти (различни от одитори) от функционални отдели в организацията обичайно биват привличани в кон-кретен одитен ангажимент под напътствията на опитен одитор или ръководител.

5

Създадена е програма за обучение и развитие, която включва обучения, насочени към традиционните технически умения за одит, както и към умения за общуване или т.нар. „меки” умения (напр. комуникации, управление на конфликти, динамика на работата в екип, осведоменост за културните особености и различия). От одиторите се изисква да участват в минимум 60 часа целесъобразни обучения годишно.

5

Одитното звено активно следи нововъзникващите най-добри практики, например чрез участие в семинари и организирани от РВО кръгли маси, запознаване с професионални бели книги и ползване на сравнителни проучвания като годишната програма „GAIN” на “The IIA”.

5

Бонус точки: Звеното прилага минимум една друга практика, която може да се раз-глежда като първокласна.

5

ОБЩО ТОЧКИ: (за да изчислите крайния резултат, сборувайте отбелязаните стойности от трите таблици)

РАМКА ЗА СЪВЪРШЕНСТВО РАМКА ЗА СЪВЪРШЕНСТВО

ОЦЕНКАВеднъж сборувани, точките от трите таблици ще ви помогнат да категоризирате нивото на ефективност на одитното звено. Много са начи-ните да се генерират точки, но постигането на категорията първокласна ефективност е обвър-зано с практиките, на които е зададен най-ви-сок брой точки в първите две таблици от една страна, и прилагането на възможно най-много от практиките, посочени в третата таблица от друга страна.

140 – 170 точкиПопадащите в тази категория одитни звена се считат за първокласни. С прогресивния си подход те са ревностно устремени към челно-то място в професията и непрестанно прилагат най-добри практики. Това ниво на ефективност се постига трудно, ако самата организация не се стреми към оперативно съвършенство и не възприема вътрешния одит като пълноправен партньор в посока усъвършенстване на проце-сите, добавяне на стойност, управление на рис-ковете и подпомагане постигането на стратеги-ческите цели. Според личните ми наблюдения относително малко са одитните звена, дости-гнали тази висока степен на развитие. Тъй като поддържането на първокласна ефективност изисква непрекъснати усилия, увенчалите се с успех звена трябва да се стараят да не изпаднат в състояние на самодоволство.

110 – 139 точки Резултат в този диапазон категоризира одит-ното звено като „напреднало”. Напредналите звена не само отговарят на професионалните стандарти, но — с подкрепата на висшето ръко-водство и борда — те работят в посока изпълне-ние на актуалните практики за вътрешен одит.

Фокусът е поставен не само върху предоставя-нето на увереност, осигуряването на съответ-ствие и оценката на риска, но и върху подобря-ването на процесите посредством оперативни и консултантски одити. Макар на това равнище одитната работа да се характеризира със забе-лежителна ефективност, звеното трябва да се стреми към усъвършенстване.

80 – 109 точки Този диапазон описва категорията „професио-нално ниво”. Попадащите в нея одитни звена са добре установени, имат по-широкообхватна ми-сия от тази на „изоставащите” звена и отговарят на професионалните стандарти на „The IIA”. Те не са в крак с актуалните най-добри одитни прак-тики (вероятно поради ограничената подкрепа и поощрение от страна на организацията).

Въпреки че тази категория е минималното ниво, на което трябва да функционира всяко одитно звено, одиторите, отделили време да попълнят предложената схема за оценка, най-вероятно ще проявят желание да подобрят позицията си. Може да се наложи ръководителите на одитно-то звено да убедят висшето ръководство и бор-да, че се нуждаят от засилената им подкрепа в полза на вътрешния одит, за да може той да служи по-добре на организацията.

Под 80 точкиОдитни звена с резултат под 80 точки се при-емат за „изоставащи” по отношение на ефек-тивността. С ограничена мисия, изоставащите звена принципно не отговарят изцяло на про-фесионалните стандарти на „The IIA” и не са в крак със съвременните одитни практики. Одит-ни звена, които не срещат достатъчна подкрепа от страна на организацията, много трудно ус-пяват да преминат отвъд това си ниво.


i Тази статия е публикувана с разрешение от списание “Internal Auditor”, Февруари 2013, издание на The Institute of Internal Auditors, Inc., www.theiia.org. и е преведена на български от английски език.

This article was reprinted with permission from the February 2013 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., www.theiia.org. and has been translated from English to Bulgarian.

Взорът на изоставащите одитни звена е насочен предимно към осигуряването на съответствие и базисна увереност и съвсем малко към дава-нето на препоръки за подобрения. Ако звеното е на ранен етап от формирането си, то може да приложи редица практики за усъвършенства-не. При липсата на подкрепа от висшето ръко-водство и борда за подобряване на одита, РВО може да опита да ги насърчи да преосмислят позицията си, като приведе конкретни примери за това, с какво вътрешният одит е допринесъл за успеха на организацията.

Не трябва да се забравя, че одитното звено може да се развива само доколкото борда и висшето ръководство желаят. Ако организацията като цяло се стреми да постигне оперативно съвър-шенство и осигурява необходимата подкрепа на вътрешния одит, ръководителите му имат по-голяма възможност да осъществят прехода към категорията първокласно звено. Без доста-тъчната подкрепа и поощрение обаче базисно-то ниво на ефективност би било трудно преодо-лимо. Ако организацията има ограничени или ниски очаквания към одитната функция, стату-тът на първокласно звено не би могло да бъде постигнат дори ако одитът напълно удовлетво-рява тези ограничени очаквания. Нещо повече — РВО, който не може да осигури необходима-та подкрепа за подобряване на изоставащото одитно звено, поема висок професионален риск.

РАЗВИВАЩ СЕ МОДЕЛВътрешният одит като професия несъмнено следва да се приспособява и усъвършенства непрестанно поради външен натиск, променя-щи се бизнес цели и технологичния напредък. Моделът за съвършенство от своя страна също ще трябва да се развива паралелно с възниква-нето на нови одитни практики и инструменти, както и на нови външни събития или рискове. Например два американски закона (Законът за чуждите корупционни практики и Законът „Sarbanes Oxley” от 2002 г.) пораждат мащабни промени в насочеността и функционирането на одитните звена. Безмерните глобални заплахи от последното десетилетие принуждават ком-паниите да прилагат програми за УРО, а зве-ната за вътрешен одит с висока ефективност са активен техен застъпник. Неизбежно е възник-ването на нови предизвикателства, които ще изискват ответна реакция от страна на одито-рите и адаптиране на критериите за еталон.

При все това, независимо от прилаганата ме-тодология за оценка на ефективността, най-важните фактори при определянето на успеха на одита са подкрепата от страна на органи-зацията и нейната несломима воля за усъвър-шенстване. При наличието на тези основни предпоставки дори нискоефективните одитни звена могат да постигнат напредък и да служат ефективно на заинтересованите страни, като добавят стойност за благото на организацията. Първокласната ефективност е пътуване, а не крайна дестинация. Веднъж избран, пътят към подобрението трябва да бъде следван с посто-янство и нестихваща непреклонност.

Мани Розенферд, CIA, CRMA е водещ специалист в областта на вътрешния одит и оперативно-то съвършенство с опит на равнище РВО в ня-колко организации от класацията „Fortune 500”.

Превод: Веселина Хоторн


РЕАЛНИ ОПЦИИ – СЪВРЕМЕННИ ИНВЕСТИЦИОННИ РЕШЕНИЯ ЗА ЛИДЕРИ

Илиян Стоянов, MBA, CFM, CMA, CIA

Да предположим, че планирате пътуване от София до Виена с автомобил. Ще се под-готвите с карта, навигация и ще изработи-

те предварителен маршрут. След това тръгвате, като следвате предначертания маршрут, докато не попаднете в задръстване или непланирано отклонение. Това разбира се е, неочаквано.

Сега приложете по-горния пример към метода за вземане на решения за капиталово бюджети-ране. Нетната съвременна стойност (Net Present Value - NPV), или сконтираните парични потоци (Discounted Cash Flows - DCF) оперират само с очаквани парични потоци, сконтирани с посто-янен процент, защото допускането е, че рискът не се променя през цялата продължителност на проекта. Използването на очаквани парич-ни потоци е все едно да допуснете, че можете да пропътувате по-горния маршрут, без откло-нения, без задръствания, без лошо време – без никаква възможност да реагирате на неопре-делеността. Използването на NPV е основана на ограничителни допускания. Нереалистично е да вярваме, че очакваната NPV отразява сте-пента на гъвкавост, която ръководителите имат, предприемайки даден проект. NPV система-тично подценява всички възможни подпроекти на даден проект. За разлика от NPV, реалните опции (или възможности) прибавят към урав-нението – гъвкавост (flexibility).

Какво всъщност е реална опция (или възмож-ност)? Реалната опция е правото, но не и задъл-жението да се предприеме някакво действие: например отлагане, разширяване, свиване или прекратяване, на предварително определена цена, наречена цена на упражняване (exercise price) и за предварително зададен период от време – животът на опцията. Стойността на ре-алните опции зависи от пет основни променли-ви и една важна шеста променлива:

1. Стойността на базовия рисков актив (underlying risky asset).

a. В случая на реалните опции това е проект, инвестиция или придобиване на друга фир-ма. Ако стойността на базовия актив се уве-личи, ще се повиши и стойността на опцията. Ръководителите, опериращи с реален актив, могат да повишат стойността му, като по този начин ще повишат и стойността на всички ре-ални опции зависещи от него.

2. Цената на упражняване (Exercise price).

a. Това е сумата инвестирана за упражняване на опцията, ако „купувате” актива (с опция за „купуване”), или сумата, която бихте получи-ли, ако го „продавате” (с опция за „продаж-ба”). С увеличаване цената за упражняване на опцията, стойността на опцията за купуване намалява, а стойността на опцията за про-дажба се увеличава.

3. Времето до изтичане на опцията (Time to expiration).

a. С увеличаване на времето до изтичане на оп-цията се увеличава и нетната стойност.

4. Стандартно отклонение на стойността на базовия рисков актив.

a. Стойността на опцията е толкова по-голяма, колкото по-рисков е активът, защото приходи-те от опцията за купуване зависят от това, с колко стойността на актива надхвърля цената и на упражняване, като вероятността за това се увеличава с летливостта на базовия актив.


РЕАЛНИ ОПЦИИ – СЪВРЕМЕННИ ИНВЕСТИЦИОННИ РЕШЕНИЯ ЗА ЛИДЕРИ РЕАЛНИ ОПЦИИ – СЪВРЕМЕННИ ИНВЕСТИЦИОННИ РЕШЕНИЯ ЗА ЛИДЕРИ

5. Безрисковия лихвен процент (risk-free rate of interest) за времето на живот на опцията.

a. С увеличаване на безрисковия лихвен про-цент се увеличава и стойността на опцията.

6. Дивидентите (dividends), които може да пла-ща базовия актив: изходящите и входящите парични потоци (cash outflows, cash inflows) за времето на живот на опцията.

Опциите могат да бъдат: опция за купуване и опция за продаване. Опцията за купуване е пра-вото да закупите базовия актив, като заплатите цената на упражняване. В момента на упраж-няването, печалбата на опцията е разликата между стойността на базовия актив и цената на упражняване. Опцията за продажба е точно об-ратното – правото да продадете базовия актив срещу цената на упражняване.

Реалните опции от своя страна се класифици-рат по вида гъвкавост, който предлагат. Реална-та опцията не е нищо повече от правото, но не и задължението да се инвестира в един проект на по-късна бъдеща дата. Отлагателна опция (deferral option) присъства при повечето про-екти, когато инвеститора има право да забави началото на проекта. Нейната цена на упраж-няване са парите, инвестирани за започване на проекта. Опция за прекратяване (option to abandon) на даден проект на фиксирана цена е опция за продажба. Такава е и опцията за свиване или орязване (contract или scale-back option) на един проект чрез продажба на част от него на фиксирана цена. Опцията за разши-ряване (option to expand) на един проект чрез допълнително инвестиране с цел разгръщане на дейността е опция за купуване. Такава е и опцията за удължаване (option to extend) срока на проекта чрез заплащане на определена цена на упражняване.

Съществуват и опции върху опции, които се наричат съставни опции (compound options). В тази категория попадат поетапните инвести-ции. Когато един инвеститор има възможност да построи фабрика, той може да реши да го на-прави на етапи – етап на проектиране, етап на техническа организация и етап строителство. В края на всеки етап, инвеститора разполага с възможност (опция) да спре или да отложи про-екта. По този начин, всеки един от тези етапи е опция, която се обуславя от започване на пре-дишният етап - упражняването на предходната

опция. Много реални приложения се налага да бъдат моделирани като съставни многоцвет-ни опции (compound rainbow options). Например проучването и производството на нови проду-кти са съставни многоцветни опции, поради наличието на няколко неопределни фактора.

Дали стойността управленската гъвкавост, раз-глеждана като опция е винаги положителна и не е ли употребата на реални опции, опит да се наложат проекти, които иначе, използвай-ки NPV, биха били отхвърлени? Първо, методът на нетна съвременна стойност (NPV), система-тично подценява всичко, защото не отчита цен-ността на гъвкавостта на вземане на решение. Второ, макар и стойността на гъвкавостта да е винаги положителна, цената която трябва да се заплати за нея , често надхвърля стойността и. Реалните опции са важни, когато има висо-ка степен на неопределеност и ръководителите могат да реагират гъвкаво. Стойността на реал-ните опции в сравнение с NPV е голяма в зона-та, когато NPV е близо до нула. Допълнителната стойност на гъвкавостта става решаваща при вземането на трудни решения.

Отлагателна опция за купуванеПредставете си, че вие имате компания, която участва в търг за концесия върху държавни земи с въглищни залежи, даващи правото да се разработват въглищни находища. Оценката за NPV на проекта е 21 милиона лева. Въпреки това, на пазара за въглища се носеха слухове, че предлаганите цени на въглищата могат да се променят.Тъй като приходите на тон са само с 1 лев по-високи от разходите за извличането му, проектът е изключително рискован – промяна с 1 лев в цената на въглищата може да удвои печалбата или да я заличи напълно. Освен това инвестицията за разработване на полезните из-копаеми е много по-голяма от NPV.

Ръководния екип обсъждал въпроса в кой мо-мент да започне действителното разработване на концесията. Това можело да стане във всеки един момент през петте години след получа-ването на концесията. Използвайки NPV, ръко-водството изчислява пет взаимно изключващи се сценария: да се инвестира веднага, в края на първата година, края на втората и т.н., но ре-зултата не се променил особено от първоначал-ният резултат. Неизвестността от посоката на промяна на цените оставала.

От друга страна, ръководството решило да раз-гледа проекта като опция за отлагане (deferral option), позволяваща им да не вземат решение за разработването, докато цената на въглища-та не се увеличи достатъчно, за да имат отно-сителна сигурност, че ще могат да възстановят разходите по разработката, преди цената да се обърне и падне. При разглеждане на проекта като отлагателна опция, неговата стойност с гъвкавост се повишила до 76 милиона лева.

Този пример илюстрира една основна разлика между NPV и реалните опции, NPV разглежда отлагането с една, две и повече години като вза-имно изключващи се алтернативи. Анализът на реалните опции, ги обединява в една един-ствена съвременна стойност – решението дали да се започне веднага, или не – като дава също и правило за вземане на решението кога да се пристъпи към разработването на концесията.

Опции с превключванеОпциите с превключване са правото да се за-крие един действащ (стопански) обект, като се заплатят фиксирани разходи за спиране на дей-ността, и правото да се открие същия по-къс-но срещу друг фиксиран разход. Разглеждайки примера с мина за добив на злато, реалните опции не само разкриват допълнителната стой-ност на възможността за затваряне, последвано от ново отваряне на мината, но и дава практи-чески правила за определяне на подходящите за това моменти. Нека цената на трой унция злато е $1,200, а разходите за добиването й въз-лизат на $1,100. Ако цената падне под $1,099 за трой унция, мината трябва да се затвори, защо-то компанията губи по $1 на всяка произведена трой унция.

Усложненията идват оттам, че преустановява-нето и подновяването на дейността са свърза-ни с фиксирани разходи, а цената на златото е несигурна. Оптималната политика е да се из-чака докато цената падне под $1,100 за унция дотолкова, че очакваната загуба да е по-голяма от разходите по спиране на добива, тоест да се работи на загуба известно време. Ако мината е затворена и цената на златото се покачи над $1,100 за унция, мината няма да бъде отворена отново, докато цената не се покачи достатъчно, че очакваната печалба да се изравни с разхо-дите по подновяване на добива. Гъвкавостта на преустановяване и възобновяване на дейността увеличава стойността на мината. Добавената стойност е по-голяма, ако разходите за манев-риране са малки.

Реалните опции дават допълнителна стойност на гъвкавостта и времевия хоризонт за вземане бизнес решение, стойност която другите методи пренебрегват.

Използвана литература:

1) Lenos Trigeorgis, “Real Options: Managerial Flexibility and Strategy in Resource Allocation”, The MIT Press 1996

2) Tom Copeland, Vladimir Antikarov; “Real Options, Revised Edition: A Practitioner's Guide” Texere, 2003

3) Johnatan Mun, “Real Options Analysis: Tools and Techniques for Valuing Strategic Investments and Decisions”, John Wiley and Sons, Inc. 2006


ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

Редовните одити на използваните ИТ защити и превантивни мерки могат да разкрият дали служителите вършат необходимото за защита на фирмените данни и мрежи.

Ланс Семер

Акцентът сред рисковете за информацион-ната сигурност обикновено се поставя върху упоритите нови заплахи, асоциира-

ни с ИТ. Макар овладяването на тези заплахи да е важно, те представляват само една част от трите стълба на сигурността „технологии, про-цеси и хора“, всеки от които играе важна роля за подпомагане на фирмената програма за инфор-мационна сигурност. Поддържането на програ-ма за информираност на служителите относно проблемите на информационната сигурност поставя фокуса върху хората, които могат да допринесат за намаляване на рисковете за ма-териалната и информационна сигурност, както и за спазването на наредби и браншови стан-дарти, които налагат по-силен контрол върху ИТ сигурността като американския закон „Сар-бейнс-Оксли“ от 2002 г., Директивата за защита на данните на ЕС, Стандарта за сигурност на да-нните при картови разплащания (вижте секци-ята „Наредби и стандарти“ по-долу).

Одитът на програма за информираност относ-но проблемите на информационна сигурност и административните процеси, свързани с нея, е от съществено значение за прецизната оценка на нейната успеваемост. Документацията по информационната програма с приложени фор-муляри за съгласие и етичен кодекс трябва да се разпространяват сред служителите всяка го-дина, с които всички те трябва да се запознаят и подпишат. За да се осигури пълно покритие, добре е този процес да бъде централизиран, да бъде изградена и поддържана база данни за проследяване на попълнените формуляри за съгласие. В случаите, когато служителите не от-говорят своевременно, трябва да се следват ус-тановени процедури, включващи ескалиране на проблема на по-високо ниво. Одиторите трябва да обърнат специално внимание на шест об-ласти, застъпени в програмата: данни, мрежи, поведение на потребителите, социални медии, мобилни устройства и социално инженерство.

ДАННИДокументацията на информационната програ-ма трябва да описва подробно одобрени прак-тики за опазване на фирмените данни, съхра-нявани на електронен или материален носител. Особено значение трябва да се отдаде на си-гурността на клиентската непублична инфор-мация (НПИ) и фирмената частна информация. НПИ се дефинира като име на клиента плюс други данни като номер на сметка или дата на раждане. Частната информация представля-ва чувствителна бизнес информация, която би могла да бъде полезна за конкурентите. Доку-ментацията по програмата за информираност относно проблемите на сигурността трябва да инструктира служителите да се свържат с ме-ниджъра си, ако подозират, че НПИ или частна информация е била изгубена, открадната или неволно разкрита пред неупълномощени лица, за да могат да бъдат задействани установените процедури за ескалиране на проблема.

ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

НАРЕДБИ И СТАНДАРТИСъставянето и прокарването на програма за информираност на служителите относно про-блемите на информационна сигурност е нещо повече от съществуваща възможност за мно-го организации; някои законови разпоредби и браншови стандарти превръщат това в необхо-димост. Ето защо одиторите трябва да са запоз-нати със законите и стандартите, касаещи тях-ната фирма.

НАРЕДБА/ БРАНШОВИ СТАНДАРТ ЮРИСДИКЦИЯ

Ръководство за информационна сигурност на австралийското правителство. Австралия

Директива за защита на данните на ЕС ЕС

Закон за почтени и акуратни кредитни транзакции (FACT) САЩ

Федерален закон за управление на информационната сигурност (FISMA) САЩ

Закон „Грам-Лийч-Блилей“ (GLBA) САЩ

Закон за преносимост и отчетност на здравните осигуровки (HIPAA) САЩ

Интернационална организация по стандартизация (ISO) 27001 и 27002 Интернационална

Стандарт на Северноамериканската корпорация за електрическа отговор-ност (NERC)

САЩ

Национален институт за стандарти и технологии (NIST) САЩ

Стандарт за сигурност на данните при картови разплащания (PCI DSS) Интернационална

Закон за защита на личните данни и електронните документи (PIPEDA) Канада

Закон „Сарбейнс-Оксли“ от 2002 г. САЩ


Одиторите на тестови процедури е добре да обмислят използването на въпросници с кри-терии за измерване на общата информираност; оценка на инциденти при нарушения с данни и процедури за ескалиране на проблема, ре-гистриране на данни за събития и доклади за решения и резултати; преглед на договорите с куриери, за да се гарантира, че инцидентите, свързани с липсващи или накърнени пратки се третират по подходящ начин.

Одитът на НПИ и фирмена информация трябва да включва и физическия носител, на който се съхраняват данните. За да се гарантира, че до-кументите, съдържащи чувствителна информа-ция са защитени и недостъпни за неупълномо-щени лица, служителите трябва да изключват компютрите си в края на деня и да обезопася-ват преносимите си компютри, когато не се из-ползват. Освен това служителите трябва да из-чистват екраните на компютрите си, когато не са на работно си място и, ако е възможно, да ги позиционират така, че да са встрани от погледа на неупълномощени лица, както и да използват защитни покривала за екрани, когато работят на публични места или места със силен тра-фик. Одиторите трябва да провеждат неплани-рани посещения по отдели, за да се уверят че се спазва политиката за чисти бюра, свободните работни места са обезопасени, всички шкафове и бюра, където се съхраняват чувствителни до-кументи, се заключват, когато не се използват, както и че е налична физическа охрана за огра-ничаване на достъпа само до упълномощения персонал на организацията.

Същото внимание трябва да се отделя и на фи-зическите документи, съдържащи чувствител-на информация, които служителите трябва да изхвърлят в обезопасени кошчета, а не в общи-те контейнери за отпадъци или рециклиране. Електронни носители, съдържащи НПИ или фирмена информация трябва да се унищожа-ват по начини и със средства за изтриване на данни, одобрени от ръководството, за да се га-рантира, че информацията не би могла да бъде възстановена. Провеждането на интервюта с персонала и обхождането на работните прос-транства ще даде възможност на одиторите да забележат дали кошчетата за отпадъци се обез-опасяват и заключват, да наблюдават практи-ката по изхвърляне на документи и да проверят начина, по който се унищожават електронните носители на информация.

ДОСТЪП ДО МРЕЖИФирмените мрежи и приложения предоставят достъп до производствени процеси, бази данни и имейл системи, които изискват комбинация от потребителско ИД и парола за достъп. Доку-ментацията по програмата за информационна сигурност трябва да припомни на служителите, че носят лична отговорност за всички дейст-вия, които извършват, използвайки правата си за достъп. Споделянето на потребителски име-на и пароли за достъп, особено, може да даде възможност на неупълномощени служители да достъпват системи и данни. Вътрешните одито-ри трябва да интервюират служителите и да на-блюдават техните работни места, за да гаранти-рат, че паролите и друга информация за достъп не се споделя или записва, както и че изпол-ваните пароли са съобразени с одобрените из-исквания за сложност/сила на паролата. Одито-рите трябва да проверят дали формулярите по програмата за информационна сигурност или етичния кодекс съдържат клауза, изискваща от служителите да не разкриват и защитават свои-те данни за достъп.

Също така необходимо е обезопасяването на гласовата поща, за да се гарантира, че съобще-нията са защитени. Възможен риск представля-ват служителите, които използват ПИН, базиран на вътрешния си телефонен номер. Одиторите могат да устаноявят такива случаи чрез произ-волни тестове.

Одиторите трябва да проверят и дали се спаз-ват фирмените политики и процедури относно безжичните мрежи. Свързването с безжични устройства или създаването на безжични точки на достъп до фирмената вътрешна мрежа тряб-ва да бъде забранено, освен ако не е одобрено от ръковдството или ИТ отдела на организацията. За да се уверят, че се позволява само оторизи-ран достъп до фирмените мрежи, одиторите мо-гат да проверят действащите практики по ото-ризиране и мониториране на достъпа.

ПОВЕДЕНИЕ НА ПОТРЕБИТЕЛИТЕВремето и средствата, които фирмата изразход-ва за технологии се обезсмислят, ако контролът върху тях може лесно да се наруши в следствие на неподходящо потребителско поведение. Ето защо документацията по програмата за инфор-мационна сигурност заедно с етичния кодекс за служителите трябва да комуникират очаква-нията на фирмата за потребителско поведение. Не трябва да се позволява на служителите да инсталират софтуер за лични или други небиз-нес цели – като игри, аудио файлове или дру-ги приложения за „пиър-ту-пиър“ споделяне на файлове – на служебните си компютри, тъй като такава практика може да доведе до инста-лиране на зловреден софтуер или нарушение на авторски права и лицензи на използвания соф-туер. Освен това всички файлове сваляни извън фирмената мрежа трябва да бъдат сканирани за вируси. Одитът на използвания контролен механизъм за намаляване на тези рискове трябва да установи дали се използват програми за автоматично сканиране на файлове и поста-вяне под карантина на софтуер със съмнително съдържание.

Програмата за информационна сигурност тряб-ва да въведе и правила за ползване на фир-мения имейл. Най-малкото, в което одиторите следва да се уверят е, че програмата дава на-соки за очакваното поведение като ограничава-не на ползването на фирмения имейл само за служебни цели. Документацията по програма-та трябва да инструктира служителите и как да разпознават спам, измамно или подозрително съдържание на имейл съобщения, успели да преминат през фирмения спам филтър. При измамните имейли се използват подправени имейл съобщения, които изглеждат като изпра-тени от легитимен потребител с цел да привле-кат получателите да отворят съобщението и да отговорят. Служителите, получили такива съоб-щения не трябва да отговарят на тях, нито да отварят приложени към тях файлове или лин-кове, които могат да доведат до свалянето на зловреден софтуер. Вместо това те трябва да ги препратят на отдела по информационна сигур-ност за по-подробен анализ.

СОЦИАЛНИ МЕДИИСоциалните медии изправят компаниите пред нов специален проблем, тъй като размиват гра-ниците между личния и професионалния живот на служителите. Поради това компаниите тряб-ва да комуникират ясни и подробни правила за поведение на служителите в социалните мрежи на работното място и извън него.

Одиторите трябва да разгледат много внимател-но фирмените указания за социалните медии, за да се уверят, че те предават точно и пълно фирмените очаквания за поведение в социал-ните мрежи. Макар, че съдържанието може да варира в различните фирми поради културни, браншови или регулаторни фактори, одиторите трябва да очакват следните основни указания:

• Ползването на социални медии за лични цели по време на работното време трябва да бъде забранено или ограничено до времето, отре-дено за обедна почивка, други одобрени по-чивки или извън регламентираното работно време.

• Служителите никога не трябва да публикуват конфиденциална или друга фирмена инфор-мация в лични или спонсорирани от компани-ята социални медии.

• Фирмените социални медии трябва да бъдат използвани само за служебна комуникация.

• Служителите трябва да осъзнават, че публи-кувайки в социални медии, спонсорирани от компанията, те представляват лицето на ком-панията и от тях се очаква да се съобразяват с това.

• Служители, които коментират или публикуват в социалните медии, спонсорирани от компа-нията, не трябва да намекват по никакъв на-чин, че тяхното лично мнение отразява това на фирмата.

• Служителите трябва да се съобразяват с ав-торски права, търговски марки и друг вид фирмен брандинг, когато публикуват в соци-ални медии, спонсорирани от компанията.

В допълнение, вътрешните одитори трябва да оценят и обученията и други методи, използва-ни от ръководството на компанията за запозна-ване на служителите с указанията за поведение в социалните медии.

ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ


МОБИЛНИ УСТРОЙСТВА И WI-FIПодобно на социалните медии, практиката служители да използват лични устройства на работното място за достъп до служебна елек-тронна поща или други фирмени информа-ционни системи – често наричана „донеси си свое устройство“1 (BYOD) - представлява особе-но предизвикателство пред фирмите. Ето защо е необходимо служителите да се придържат към фирмената политика относно практиките „донеси си свое устройство“ (BYOD) и предлага-ните от доставчика решения за управление на мобилни устройства (MDM). MDM технологии-те се използват за дистанционно управление на преносими устройства, налагане на поли-тики по сигурността и защита на фирмено съ-държание като имейл и данни. Програмата за информационна сигурност трябва да насочва служителите да се консултират с ръководството на техния собственик или да потърсят помощ от техния доставчик при конфигурирането на настройките на тяхното устройство. Освен това, служителите трябва да избягват свободните wi-fi места за достъп до фирмените имейл и данни, освен ако не е налична сигурна връзка, за да предотвратят злоупотреби с безжичния пренос на данни.

Старателната проверка на BYOD и MDM практи-ките може да гарантира, че рисковете, свързани с изтичане на информация в случай на изгубва-не, кражба или не добро конфигуриране могат да бъдат намалени. Вътрешните одитори тряб-ва да оценят адекватността на фирмените по-литики относно допустимата употреба на BYOD практиката, да оценят сигурността на конфигу-рационните настройки при MDM практиката, за да гарантират, че НПИ и фирмените данни са защитени, както и да разгледат дейностите по възстановяване на загуби, за да се гарантира, че компенсаторната практика е съобразена с политиката на компанията относно служители-те, които използват собствени устройства.

СОЦИАЛНО ИНЖЕНЕРСТВОС помощта на техники като измама, манипула-ция, заплашване и други, социалното инженер-ство експлоатира отделни лица с цел да бъде открадната информация за постигане на бизнес облаги, извършване на индустриален саботаж или търсене на парична печалба. Обикновено това се постига чрез лица, извършващи посеще-ния от „търговеца“, телефонни обаждания или имейли, в които лицата се представят за слу-жители, държавни служители или търговци. В отговор на този вид заплахи е необходимо ор-ганизациите да въведат подробни процедури, които служителите трябва да следват.

Неочакваните посетители, които твърдят, че са продавачи трябва да бъдат проверени преди да бъдат допуснати на територията на компания-та, особено когато посещението включва места, където се съхраняват компютри, помещения на компютърни мрежи и ел.инсталации и клиент-ска информация. Служителите трябва да изис-кват посетителите да представят официален документ за идентификация със снимка; да се свържат със съответния отдел, за да потвър-дят служебната поръчка, която може да е не-действителна; и да се уверят, че посетителите са придружавани до приключване на работата. Посетители, които не могат да бъдат проверени трябва да бъдат ескортирани извън офиса.

Служители, които получават телефонно обаж-дане от служител, когото не познават, трябва да потърсят лицето в списъка на служителите във фирмената директория или да попитат за „дневната дума за сигурност“ - секретна дума или фраза, която се променя всеки ден и е дос-тъпна само за служителите чрез фирмената ин-транет страница. Освен това, документацията по програмата за информационна сигурност трябва да инструктира служителите да се свър-жат с мениджъра си незабавно, ако получат такова телефонно обаждане, тъй като лицето може да продължи с опитите си да се свърже със служители, докато не постигне успех.

В допълнение служителите не трябва никога да предоставят своите данни за достъп или ИП ад-реса на работния си компютър по телефон или имейл на лица, представящи се като служите-ли от ИТ отдела или отдела по информационна сигурност на фирмата, тъй като това може да е опит да се достигне до чувствителна инфор-мация. Служители, които предполагат наличие на подозрителна дейност трябва да уведомят ръководството. Също така служителите трябва да избягват ползването на преносими флаш ус-тройства, които са открили на видни места като паркинги, тъй като те могат да съдържат злов-реден софтуер.

За да оценят информираността на служителите в цялата организация относно социалния ин-женеринг, одиторите могат да обмислят про-веждането на дейности от типа етичен хакер (наричан още "бяла шапка"), с които да бъдат идентифицирани и отстранени уязвимите мес-та в сигурността, преди да бъдат използвани за злоупотреби. Например, като извършват посещения, по време на които се представят за търговци, одиторите могат да научат дали служителите се усъмняват в самоличността на посетителите и дали следват процедурите за проверка на идентичността им преди да пре-доставят достъп до съоръженията на компа-нията. Също така чрез изпращане на фишинг имейл или представяйки се за служители на IT отдела одиторите ще установят дали служите-лите могат да бъдат подмамени да предоставят поверителна информация.

ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ ОЦЕНКА НА ПРОГРАМАТА ЗА ИНФОРМИРАНОСТ НА СЛУЖИТЕЛИТЕ ОТНОСНО ПРОБЛЕМИТЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ

ОБЩА ОТГОВОРНОСТЕдна ефективна програма за информираност на служителите относно информационната си-гурност трябва да изясни, че всеки в организа-цията носи отговорност за IT сигурността. При подозрение или сведение за нарушения на фир-мената политика служителите трябва да бъдат инструктирани да уведомяват своевременно своя пряк мениджър или мениджър от по-ви-соко ниво. За да определят дали процедурите за докладване на нарушения на сигурността са ефективни и функционират, както е предвиде-но, одиторите трябва да интервюират служите-лите от отдела по информационна сигурност. Взети заедно всички тези усилия за одит на информираността относно проблемите на си-гурността могат да възвърнат много дивиденти във вид на препоръки за справянето с пропу-ските и недостатъците на програмата.

Ланс Дж. Семер, CIA, CISA, CISSP, е служител по информационна сигурност за „Вашингтон Фе-дерал“, Сиатъл.

Превод: Камелия Генова

1“bring your own device” i Тази статия е публикувана с разрешение от списание “Internal Auditor”, Декември 2012, издание на The Institute of Internal Auditors, Inc., www.theiia.org. и е преведена на български от английски език.

This article was reprinted with permission from the December 2012 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., www.theiia.org. and has been translated from English to Bulgarian.

40

ВАЖНО ЗА ПРИТЕЖАТЕЛИТЕ НА ПРОФЕСИОНАЛНИ СЕРТИФИКАТИ НА THE IIA

От 2013 г. The IIA въведе няколко промени в докладването на CPE точки от притежателите на сер-тификати CIA, CCSA, CGAP, CFSA и CRMA.

Срокът за докладване до 31 декември се запазва, но през 2013 г. притежателите на сертификати в България ще подават своите CPE доклади само по електронен път чрез системата CCMS (Certifications Candidate Management System) на сайта на The IIА.

The IIA въвежда такса за докладване, размерът на която се определя от притежаваните сертифика-ти и това дали кандидатът е член на ИВОБ/ The IIA.

CIA Специализирани сертификати

Такса за докладване $ 100 $ 100

Такса за докладване - за членове $ 25 $ 10

Таксите се заплащат с кредитна карта, чек или по банков път по сметка на The IIA Global.Актуализираните изисквания за докладване на български език, можете да се намерите на сайта на ИВОБ.За повече информация може да се обърнете към ИВОБ.

The IIA издаде ново практическо ръководство – ПР 2320: Одитни извадки

Ръководството се отнася към стандарт 2320 – Анализ и оценка. Включва информация за видовете извадки - статистически и нестатистически, техники за формиране на извадки, риск на извадката, очаквана грешка и т.н.

Ръководството може да откриете на сайта на IIA Global като влезете с Вашето потребителско име и парола.

www. global.theiia.org/Standards & Guidance

НА ВЪТРЕШНИТЕ ОДИТОРИ С ФОКУС НА … 2013/vytreshen oditor...

Documents