20100316 Непрекъснато одитиране с acl
TRANSCRIPT
ACL BUSINESS ASSURANCE SERIES SOFIA
ГРАНД ХОТЕЛ СОФИЯ
16 МАРТ 2010 Г.
НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL
(CONTINUOUS AUDITING WITH ACL)
Николай Димитров, CISA, CIA, CCSA
Мениджър Вътрешен и ИТ одит
Някои дефиниции
Непрекъснат одит
• Продължително и непрекъснато извършване на одит дейности (анализ и оценка
на риска и контролите)
• Извършва се от вътрешните одитори
Непрекъснат мониторинг на контролите
• Процес, гарантиращ, че дейностите се извършват както е предвидено и
проектираните в тях контроли продължават да са адекватни и ефективни
• Извършва се от оперативното/финансовото ръководство; одиторите оценяват
уместността и резултатността на тяхната мониторингова дейност
• Автоматизирано тестване на ключови контролни дейности
Непрекъснато предоставяне на увереност
• Комбинация от непрекъснат одит и одиторски надзор върху непрекъснатия
мониторинг
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 2
Връзка между непрекъснатите одит/мониторинг/увереност
Ролята на непрекъснатия одит
зависи от ролята на ръководството
в непрекъснатия мониторинг на
контролите
– Обратна зависимост
Непрекъснато предоставяне на
увереност
– Зависи от ефективния мониторинг
на контролите, упражняван от
ръководството и независимата
оценка на тази дейност от страна
на одит функцията
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL
Интензивен мониторинг
на контролите
Намалени
усилия
Снижен
контрол
Значителни усилия
и ресурси
ОДИТ УСИЛИЯ
РЕАКЦИЯ НА РЪКОВОДСТВОТО
3
Идейна основа на непрекъснатия одит
COSO Enterprise Risk Management – Integrated Framework (2004)
http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf
Guidance on Monitoring Internal Control Systems (2009)
http://www.coso.org/documents/COSO_Guidance_On_Monitoring_Intro_online1_002.pdf
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 4
Нови рискове и предизвикателства пред одиторите
“Безхартиени” транзакции, които се извършват бързо и без преглед за
смисленост и допустимост от страна на служител
Напълно автоматизирани бизнес процеси
Широка разпространеност на зловреден код
Процеси, които обслужват повече от една организация
Интензивно ползване на аутсорсинг
Denial of Service атаки срещу услуги, предоставяни през интернет
Необходимост от своевременно и непрекъснато предоставяне на увереност
относно системите за управление на риска и вътрешен контрол
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 5
Недостатъци на традиционния одиторски подход
Прилага се ретроспективно и се тестват данни за минали събития
Използват се техники за формиране на извадки и се тества ограничено
количество информация
При всеки периодичен одит трябва наново да се събират данни
Зависимост от ИТ “специалисти” в одит екипа за извършването на анализа
… или пък на специалисти от ИТ направлението в организацията
Трудна ориентация и идентифициране на точната и нужна информация в
масивите от данни
Ниска степен на използване на CAATs = ниска ефикасност
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 6
Характеристики на непрекъснатия одит
Автоматизиран анализ и оценка на ефективността на заложените контроли
Анализ на 100% от транзакционните данни
Своевременно известяване за грешки, несъответствия, аномалии и
отклонения от определените граници
Read-only достъп до данните
Възможност за съпоставяне на данни от различни системи, подпомагащи
даден бизнес процес
Критично зависим от качеството на данните
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 7
Ползи от непрекъснатия одит (1/2)
Снижаване на риска (вероятността) от загуби, дължащи се на грешки и
злоупотреби
Укрепване на контролната среда без претоварване на одит звеното
Нарастваща увереност в адекватността на контролите чрез разкриване на
случаи на излишни плащания, измами, грешки и преразходи
Намаляване на времето за тестване на контролите от страна на одиторите
Устойчив, ценово-ефективен начин за обезпечаване на съответствие с
нормативни и организационни изисквания
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 8
Ползи от непрекъснатия одит (2/2)
Възможност за откриване и коригиране на грешки, преди те да са довели до
съществени негативни резултати
Увереност, че бизнес процесите се изпълняват както е предвидено и
възможност това да се демонстрира пред заинтересованите лица
Увеличена производителност и доходност, в резултат на оптимизиране на
неефикасни бизнес дейности и елиминиране на ненужни или погрешни
практики
Увеличено покритие на одит дейностите върху ежедневните транзакции
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 9
Изисквания към приложението за непрекъснат одит
Възможност за достъп до и нормализиране на данни, разпръснати из цялата организация
Богат набор от тестове, оценяващи ефективността на контролните практики
Своевременен анализ на данните и докладване на резултатите от тестовете
Възможност за обработка на огромен обем данни без негативен ефект върху производителността на използваната платформа
Множество параметри, по които да бъдат извършвани тестовете
Уведомления за открити отклонения и несъответствия
Сигурност и опазване интеритета на данните
Преглед и управление на резултатите
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 10
IT Audit Benchmarking Study 2009
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 11
Техники за непрекъснат мониторинг на контролите на ACL,
използвани за непрекъснат одит
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 12
Основни етапи при внедряването
1. Определяне на (бизнес и/или одит) целите и изискванията
2. Обезпечаване подкрепата на висшето ръководство
3. Получаване на разбиране за покритите бизнес процеси и определяне на ключовите контроли и присъщите рискове
4. Идентифициране на източниците на използвана от бизнеса информация и осигуряване на достъп до тях
5. Оценка на обхвата на мониторинга, извършван от ръководството и неговия редизайн, при необходимост
6. Избор на подходящо технологично решение за непрекъснат мониторинг
7. Изграждане на набор от технически умения и дизайн на подходящи тестове
8. Разпространение и съхранение на резултатите
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 13
Архитектура на техническо решение за
НМК на ACL Services Ltd.
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL
Анализ на 100% от транзакциите
във всички системи и платформи
Автоматизирани тестове на критичните контролни точки
Предоставя измерими и съпоставими данни за отклоненията
“Прозрачност” за ефективността на контролите за всички заинтересовани страни
14
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL 15
16 МАРТ 2010 Г.НЕПРЕКЪСНАТО ОДИТИРАНЕ С ACL
Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA
Мениджър Вътрешен и ИТ одит
Т 859 0122 / Ф 859 2093
http://www.dfkanda.bg
16