Квинтэссенции. Для чего нужен внутренний контроль и аудит? Что это свк


СВК - это... Что такое СВК?

СВК

система выдачи команд

СВК

специализированный выставочный комплекс

Источник: http://www.vvcentre.ru/exhibitions/organizers_and_participants/pavilions/69/

СВК

смешанная венозная кровь

мед.

СВК

сигнализатор включения кислорода

СВК

стык с выделенным каналом

Источник: http://vks.belpak.by/library/ats/kvant/diction.htm

СВК

специфицированный вычислительный комплекс

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

СВК

судовой водолазный комплекссудовой водолазный костюм

морск.

Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. — М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003. — 318 с.

СВК

средство визуального контроля

СВК

спускаемая водолазная камера

СВК

система вибрационного контроля

энерг.

Источник: http://www.rakurs.com/press/news/detail.php?ID=3663

СВК

статив выходной коммутации

в маркировке, связь

Источник: http://radiopirat.info/ous.htm

СВК

система внутреннего контроля

фин.

Источник: http://www.directorinfo.ru/Article.aspx?id=13483&iid=570

СВК

синтетическая винная кислота

СВК

спирто-водочный комбинат

СВК

синдром врождённой краснухи

мед.

СВК

счетчик воды крыльчатый

в маркировке

Источник: http://www.1bm.ru/techdocs/kgs/tu/12/

Пример использования

СВК-15

СВК

Сибирская водочная компания

организация

Источник: http://com.sibpress.ru/19.10.2007/companies/86628/

СВК

Сибирская винная компания

организация

Источник: http://www.kommersant.ru/region/novosibirsk/page.htm?Id_doc=830579

СВК

система визуального контроля

Источник: http://www.cnews.ru/news/line/index.shtml?2006/11/29/219078

СВК

союз взаимного кредитования

Источник: http://www.ugmk.info/?sfera=2&digest=1148288913

СВК

служба внутреннего контроля

Источник: http://eos.ru/eos/134677

СВК

соединение виртуальных каналов

Источник: http://dj2.axenet.ru/FWORD.html

Словарь сокращений и аббревиатур. Академик. 2015.

sokrasheniya.academic.ru

Система внутреннего контроля: структура и подразделения

Система внутреннего контроля – это синхронизированный комплекс действий, которые совершает руководство, чтобы предупредить и выявить негативные события в организации. В целом, она направлена на выявление рисков компании, разработку мероприятий проверки, а также проведение мониторинга их эффективности.

Вся система включает в себя бухгалтерский учет, средства контроля и характеристику контролируемой среды.

Что касается структуры и задач системы внутреннего мониторинга, конечно же, нельзя выделить какую-то единую модель их создания и формирования. Однако не составит труда назвать некоторые общие черты ее построения, которые можно заметить во многих компаниях.

Так, система внутреннего контроля организовывается при участии нескольких служб. Для некоторых из них эта сфера деятельности является основной, для остальных – второстепенной. К первой категории относят службу экономической безопасности и контрольно-ревизионную структуру. Во вторую группу входит служба персонала, а также финансово-экономическая и юридическая структуры. Что касается подразделения, отвечающего за корпоративное управление, оно занимает одну из главных позиций, поскольку осуществляет контроль над регламентацией основных процедур управления.

Внутренний контроль на предприятии имеет достаточно сложную структуру. Так, служба экономической безопасности осуществляет постоянный контроль важных подсистем управления, определяет случаи серьезных нарушений положенной нормы, а также проводит профилактическую работу по предотвращению таковых. Что касается контрольно-ревизионного управления, его целью является периодическое проведение проверок финансово-хозяйственной работы подразделений, и, самое главное, осуществление контроля над соблюдением регламента управления. Финансово-экономическая служба проводит сбор информации и отвечает за планирование, то есть за тот фактор, который является отличительной чертой эффективного управления. Служба персонала занимается кадровыми вопросами и проводит проверку будущих сотрудников. Юридический же отдел несет ответственность за урегулирование всех правовых вопросов.

Система внутреннего контроля имеет несколько целей своего проведения. Так, она занимается следующим:

1. Осуществляет упорядоченную и эффективную деятельность компании.

2. Следит за тем, чтобы политики руководства придерживался каждый сотрудник предприятия.

3. Обеспечивает сохранность имущества компании.

    Среди объектов системы внутреннего контроля называют циклы деятельности любой организации: снабжение, производство и реализация. А одной из важных функций является контроль над тем, чтобы все сотрудники соблюдали свои прямые обязанности.

    Система внутреннего контроля для своей реализации использует несколько основных методов:

    1. Бухгалтерский, финансовый и управленческий учет.

    2. Контроль, ревизия и аудит.

    3. Использование теории управления.

      Оценка системы внутреннего контроля определяет степень доверия аудитора к представленной отчетности и влияет на его мнение при составлении аудиторского заключения.

      Уровень надежности может быть оценен либо с точки зрения качества (высокий, средний, низкий), либо с точки зрения степени вероятности пропусков и предупреждения ошибок.

      Исходя из того, что в настоящее время есть много хозяйственных операций, современный учет вести сложно, многие крупные предприятия стремятся к созданию собственной системы внутренней проверки. Все дело в том, что эта мера помогает обеспечить надежность и правильность бухгалтерской отчетности, а также поддерживать имидж надежного партнера и свести до минимума расходы на внешний аудит.

      fb.ru

      СВК — Википедия (с комментариями)

      Материал из Википедии — свободной энциклопедии

      СВК, аббревиатура, может означать:

      • СВК (рус. Ставка Верховного Командования) — чрезвычайный орган высшего военного управления СССР годы Великой Отечественной войны.
      • СВК (рус. Снайперская винтовка Калашникова) — опытный образец снайперской винтовки, предложенный М. Т. Калашниковым в 1959 году.
      • СВК (рус. Снайперская винтовка Кавамова) — экспериментальный образец снайперской винтовки под перспективный патрон 6×49 мм, созданный на заводе «Ижмаш» в конце 80-х годов XX века[1].
      • СВК (рус. Служба внутреннего контроля) — специализированные подразделения организации или предприятия для обеспечение сохранности активов, выполнения требований законодательства, собственников и т.д.
      • НПП СВК (рус. Специальные вычислительные комплексы) — российская научно-производственная компания, специализирующаяся на рынке информационной безопасности.

      Напишите отзыв о статье "СВК"

      Примечания

      1. ↑ Дик В. Н. Патроны СП и патрон 6х49 // Взрывчатые вещества, пороха и боеприпасы отечественного производства. — Минск: Охотконтракт, 2009. — Т. 1. — С. 66. — 280 с. — 1000 экз. — ISBN 978-985-6911-02-9.

      Отрывок, характеризующий СВК

      – Я чувствую всё то же, что чувствовал на Земле, только намного ярче. Представь рисунок карандашом, который вдруг заполняется красками – все мои чувства, все мысли намного сильнее и красочнее. И ещё... Чувство свободы потрясающе!.. Вроде бы я такой же, каким был всегда, но в то же время совершенно другой... Не знаю, как бы точнее объяснить тебе, милая... Будто я могу сразу объять весь мир, или просто улететь далеко, далеко, к звёздам... Всё кажется возможным, будто я могу сделать всё, что только пожелаю! Это очень сложно рассказать, передать словами... Но поверь мне, доченька – это чудесно! И ещё... Я теперь помню все свои жизни! Помню всё, что когда-то было со мною... Всё это потрясает. Не так уж и плоха, как оказалось, эта «другая» жизнь... Поэтому, не бойся, доченька, если тебе придётся придти сюда – мы все будем ждать тебя. – Скажи мне отец... Неужели таких людей, как Караффа, тоже ждёт там прекрасная жизнь?.. Но ведь, в таком случае, это опять страшная несправедливость!.. Неужели опять всё будет, как на Земле?!.. Неужели он никогда не получит возмездие?!! – О нет, моя радость, Караффе здесь не найдётся места. Я слышал, такие, как он, уходят в ужасный мир, только я пока ещё там не был. Говорят – это то, что они заслужили!.. Я хотел посмотреть, но ещё не успел пока. Не волнуйся, доченька, он получит своё, попав сюда. – Можешь ли ты помочь мне оттуда, отец?– с затаённой надеждой спросила я.

      o-ili-v.ru

      Система внутреннего контроля - это... Что такое Система внутреннего контроля?

       Система внутреннего контроля Система внутреннего контроля Система внутреннего контроля - совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности. Система внутреннего контроля включает организованные внутри экономического субъекта и его силами надзор и проверку: - соблюдения требований законодательства; - точности и полноты документации бухгалтерского учета; - своевременности подготовки достоверной бухгалтерской отчетности; - предотвращения ошибок и искажений; - исполнения приказов и распоряжений; - обеспечения сохранности имущества организации.

      См. также:  Экономические субъекты  

      Финансовый словарь Финам.

      .

      • Система ведения реестра
      • Система выкриков

      Смотреть что такое "Система внутреннего контроля" в других словарях:

      • Система внутреннего контроля — 41. Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении …   Официальная терминология

      • Система внутреннего контроля — Cистема своевременного выявления рисков, сопутствующих деятельности НДЦ, и управления ими; контроля за соблюдением подразделениями и сотрудниками НДЦ при исполнении их служебных обязанностей, действующего законодательства, нормативных актов,… …   Депозитарных терминов

      • СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ — (англ. internal audit) – совокупность организационной структуры, методик и процедур, принятых руководителями экономического субъекта в качестве средств для обеспечения эффективного ведения хоз. деятельности. С.в.к. включает организованные внутри… …   Финансово-кредитный энциклопедический словарь

      • Система внутреннего контроля банка — Система внутреннего контроля совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, настоящим Положением,… …   Официальная терминология

      • система внутреннего контроля в аудите — Совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для эффективного ведения хозяйственной деятельности, которая включает организованные внутри данного экономического… …   Справочник технического переводчика

      • система внутреннего контроля предприятия — Политика предприятия и все связанные с ней процедуры, направленные на выявление, исправление и предотвращение существенных ошибок и искажении информации, которые могут появиться в бухгалтерской отчетности. Процедуры контроля на предприятии… …   Справочник технического переводчика

      • СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ В АУДИТЕ — совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для эффективного ведения хозяйственной деятельности, которая включает организованные внутри данного экономического… …   Большой бухгалтерский словарь

      • СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ ПРЕДПРИЯТИЯ — политика предприятия и все связанные с ней процедуры, направленные на выявление, исправление и предотвращение существенных ошибок и искажении информации, которые могут появиться в бухгалтерской отчетности. Процедуры контроля на предприятии… …   Большой бухгалтерский словарь

      • Система органов внутреннего контроля — определенная учредительными и внутренними документами кредитной организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля... Источник:… …   Официальная терминология

      • система — 4.48 система (system): Комбинация взаимодействующих элементов, организованных для достижения одной или нескольких поставленных целей. Примечание 1 Система может рассматриваться как продукт или предоставляемые им услуги. Примечание 2 На практике… …   Словарь-справочник терминов нормативно-технической документации

      dic.academic.ru

      СВК — Википедия (с комментариями)

      Материал из Википедии — свободной энциклопедии

      СВК, аббревиатура, может означать:

      • СВК (рус. Ставка Верховного Командования) — чрезвычайный орган высшего военного управления СССР годы Великой Отечественной войны.
      • СВК (рус. Снайперская винтовка Калашникова) — опытный образец снайперской винтовки, предложенный М. Т. Калашниковым в 1959 году.
      • СВК (рус. Снайперская винтовка Кавамова) — экспериментальный образец снайперской винтовки под перспективный патрон 6×49 мм, созданный на заводе «Ижмаш» в конце 80-х годов XX века[1].
      • СВК (рус. Служба внутреннего контроля) — специализированные подразделения организации или предприятия для обеспечение сохранности активов, выполнения требований законодательства, собственников и т.д.
      • НПП СВК (рус. Специальные вычислительные комплексы) — российская научно-производственная компания, специализирующаяся на рынке информационной безопасности.

      Напишите отзыв о статье "СВК"

      Примечания

      1. ↑ Дик В. Н. Патроны СП и патрон 6х49 // Взрывчатые вещества, пороха и боеприпасы отечественного производства. — Минск: Охотконтракт, 2009. — Т. 1. — С. 66. — 280 с. — 1000 экз. — ISBN 978-985-6911-02-9.
      __DISAMBIG__

      Отрывок, характеризующий СВК

      От Шевардинского редута, на котором стоял Наполеон, флеши находились на расстоянии версты, а Бородино более чем в двух верстах расстояния по прямой линии, и поэтому Наполеон не мог видеть того, что происходило там, тем более что дым, сливаясь с туманом, скрывал всю местность. Солдаты дивизии Дессе, направленные на флеши, были видны только до тех пор, пока они не спустились под овраг, отделявший их от флеш. Как скоро они спустились в овраг, дым выстрелов орудийных и ружейных на флешах стал так густ, что застлал весь подъем той стороны оврага. Сквозь дым мелькало там что то черное – вероятно, люди, и иногда блеск штыков. Но двигались ли они или стояли, были ли это французы или русские, нельзя было видеть с Шевардинского редута. Солнце взошло светло и било косыми лучами прямо в лицо Наполеона, смотревшего из под руки на флеши. Дым стлался перед флешами, и то казалось, что дым двигался, то казалось, что войска двигались. Слышны были иногда из за выстрелов крики людей, но нельзя было знать, что они там делали. Наполеон, стоя на кургане, смотрел в трубу, и в маленький круг трубы он видел дым и людей, иногда своих, иногда русских; но где было то, что он видел, он не знал, когда смотрел опять простым глазом. Он сошел с кургана и стал взад и вперед ходить перед ним. Изредка он останавливался, прислушивался к выстрелам и вглядывался в поле сражения. Не только с того места внизу, где он стоял, не только с кургана, на котором стояли теперь некоторые его генералы, но и с самых флешей, на которых находились теперь вместе и попеременно то русские, то французские, мертвые, раненые и живые, испуганные или обезумевшие солдаты, нельзя было понять того, что делалось на этом месте. В продолжение нескольких часов на этом месте, среди неумолкаемой стрельбы, ружейной и пушечной, то появлялись одни русские, то одни французские, то пехотные, то кавалерийские солдаты; появлялись, падали, стреляли, сталкивались, не зная, что делать друг с другом, кричали и бежали назад.

      wiki-org.ru

      Построение системы внутреннего контроля (СВК) в ИТ

      Введение

      В настоящее время вопросам совершенствования управления информационными технологиями в компаниях уделяется все больше внимания. Причина этого явления  вполне понятна и объяснима – информационные технологии становятся неотъемлемой частью любого современного бизнеса, и очень часто основой, обеспечивающей конкурентные преимущества этого бизнеса. Однако оборотной стороной такого влияния информационных технологий на бизнес является растущая зависимость надежности бизнес-процессов, и бизнеса в целом, от надежности информационных систем и процессов самого ИТ-подразделения.

      Финансовые скандалы, растущая угроза терроризма, факты недобросовестного использования персональных данных вызвали на Западе принятие ряда законов, выполнение требований которых является обязательным для компаний, желающих остаться на рынке.

      Законы, регламентирующие системы внутреннего контроля

      • Sarbanes-Oxley Act (SOX) – определяет требования к системе внутреннего контроля и прозрачности финансовой отчетности компаний
      • Graham-Leech-Bliley(GLBA) – обязывает финансовые институты защищать неприкосновенность частной информации клиентов
      • USA Patriot Act (USAPA) – расширяет законодательство США и определяет дополнительные меры по борьбе с терроризмом в США и за пределами
      • Basel II – предлагает единые международных стандарты ведения банковской деятельности, направленные на снижение рисков
      • Health Insurance Portability and Accountability Act (HIPАA) —  направлен на защиту личных данных пациентов медицинских учреждений и информации о состоянии их здоровья

      Для большинства крупных международных компаний уже сейчас актуальны требования закона SOX, а для банков – требования Basel II. При этом, несмотря на то, что формально ИТ является только одной из областей повышенного интереса этих законов, на практике, 80% всех вопросов к другим подразделениям прямо или косвенно касаются вопросов автоматизации с помощью ИТ, поскольку ИТ поддерживают большинство основных бизнес-процессов компании.

      Этот факт ужесточает требования к системе внутреннего контроля в ИТ-подразделении и многие  ИТ- директора уже почувствовали на себе строгость внешнего аудита в данной области и озадачены вопросом организации работы ИТ в новых условиях. При этом необходимо решать вопрос — как совместить повседневную деятельность с постоянной подготовкой к аудитам и их прохождением?

      С другой стороны, интерес к SOX и другим регулирующим актам проявляют компании формально не подпадающие под требования данного законодательства. И это не случайно, поскольку соответствие данным требованиям выводит компанию на качественно иной уровень управления и инвестиционной привлекательности.

      Системы внутреннего контроля в ИТ

      На сегодня существуют признанные в мировой практике подходы к построению процессов ИТ-подразделения, оформленные в виде стандартов. Для аудита и совершенствования деятельности ИТ – подразделения можно использовать стандарт COBIT, однако большинство практических вопросов остаются за границей данного стандарта и требуют дополнительной самостоятельной проработки. При  этом, в рамках совершенствования деятельности ИТ невозможно оставить в стороне вопросы информационной безопасности описанные в соответствующем стандарте ISO 27000, поскольку информационная безопасность является одним из основных тем  внутреннего контроля.

      Другим стандартом, с помощью которого сертифицируется качество работы сервис — ориентированного  ИТ- подразделения, является недавно принятый  ISO 20000, имеющий в своей основе библиотеку ITIL. Использование данных стандартов при совершенствовании процессов ИТ — подразделения является обязательным, однако некоторые вопросы внутреннего контроля регламентированы требованиями сформированными на основании подзаконных актов SOX.

      При этом, в новой ситуации, когда ключевые процессы компании, и в частности ИТ-процессы, должны соответствовать требованиям регулирующих актов и законов, принципиальное значение имеет не только каноническая правильность  построения системы управления процессами, с точки зрения того или иного стандарта, но, в первую очередь,  наличие органично встроенной системы внутреннего контроля. Для руководителя ИТ-департамента это означает внедрение нового процесса, призванного обеспечить требуемый уровень прозрачности и качества ИТ-услуг, и ,желательно, без значительного повышения их стоимости. Таким образом, становится очевидным, что задача построения системы внутреннего контроля, базируется не только на методологии управления процессами, но еще и на методологии управления операционными рисками.

      Система внутреннего контроля — определения

      • Процесс (Process) – определенная последовательность повторяющихся действий направленная на достижение определенного  результата
      • Риск (Risk) – потенциально существующая вероятность потери ресурсов или неполучения доходов
      • Контроль (контрольная процедура)(Control) – специальные требования при выполнения процесса, направленные на исключение или минимизацию  риска
      • Подтверждение (Evidence) – документальное подтверждение выполнения требований контроля
      • Процедура тестирования (Test procedure)–периодическая процедура проверки  эффективности выполнения контролей

      Подходы к внедрению системы внутреннего контроля в ИТ

      Внедрение процесса внутреннего контроля в компании и, в частности в ИТ, — серьезный проект, включающий следующие стадии:

      • анализ применимости требований регулирующих актов;
      • идентификация критических областей и процессов;
      • описание процессов «как есть»;
      • определение рисков в процессах;
      • оценка рисков;
      • разработка контрольных процедур;
      • тестирование  контрольных процедур;
      • автоматизация процессов ИТ – подразделения;
      • управление внутренним контролем.

      Рассмотрим эти этапы последовательно в следующих главах.

      Анализ применимости требований регулирующих актов и идентификация критических областей и процессов

      Как правило, для российских представительств западных компаний требования внутреннего контроля «спускаются сверху». Обычно они формируются централизованно на уровне корпорации, что очень часто не всегда соответствует реальным процессам компании и реалиям российской действительности. В этой связи, задачей данной стадии является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

      Для компаний, рассматривающих SOX только как ориентир для повышения эффективности своих процессов, изучение методологических материалов SOX немаловажно, поскольку позволяет выбрать для себя правильные управленческие решения и ранжировать работы по совершенствованию процессов по важности. Поэтому, для начала следует определить, какие из требований регулирующих законов применимы для компании, определить критичные области в бизнес-процессах и информационной инфраструктуре. При этом для ИТ – определяются информационные ресурсы и системы компании, отвечающие за поддержку основных процессов компании.

      Описание процессов « как есть» 

      На данной стадии проводится описание существующих процессов ИТ — подразделения для понимания и фиксации имеющихся в компании основных направлений деятельности ИТ. Для решения данной задачи целесообразно за основу взять процессы верхнего уровня, перечисленные в двух стандартах COBIT и  ISO 20 000. Фактически, на этой стадии, формируется целевые процессы, которые должны существовать в ИТ- подразделении в соответствии с требованиями стандартов.

      Далее необходимо проанализировать насколько существующие процессы соответствуют целевой модели процессов ИТ, при этом очень часто многих из них вообще нет в ИТ- подразделении, и это повод задуматься о необходимости их организации. Далее существующие процессы описываются и детализируются до уровня рабочих мест, с четким описанием действий каждого участника, а также входящей и исходящей информации. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.

      Определение рисков в процессах

      На этом этапе, необходимо определить, насколько существующие процессы рискованны с точки зрения выполнения требований регулирующих законов. Так, например, для выполнения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также мошенничеству.

      К основным группам рисков в ИТ — процессах относятся неавторизованный физический и логический доступ к ИТ — инфраструктуре (корпоративная сеть, базы данных, приложения), внесение неавторизованных или не одобренных должным образом изменений в ИТ -инфраструктуру, системное или прикладное программное обеспечение и т.д.

      Определение рисков проводится на основании анализа детального описания процессов. Целью данной операции является получение ответа на вопрос – что может  случиться в данной операции с точки зрения вышеперечисленных категорий рисков. В результате – формируется перечень рисков, привязанных к соответствующим процессам и операциям, где они были обнаружены. Экспертная процедура формирования рисков без анализа процессов, как правило, не позволяет достичь полноты и при внешнем аудите обнаруживается множество неучтенных рисков.

      Оценка рисков

      Данная стадия необходима для выработки эффективной стратегии компенсации рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и приоритезировать мероприятия по их устранению. В данном случае применяется метод качественных экспертных оценок, позволяющий ранжировать риски по критериям вероятность и убытки. (Метод  количественных оценок, основанный на точном расчете вероятного ущерба  и вероятности риска,  в данном случае сложен в применении).

      Выделяют четыре стратегии управления операционными рисками:

      • Принимать: низкая вероятность – низкие убытки. Данная стратегия наиболее простая – риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно.
      • Страховать: низкая вероятность —  высокие убытки. Данная стратегия требует страхования данных рисков с помощью страховых компаний
      • Избегать: высокая вероятность – высокие убытки.  Данная стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании
      • Предотвращать: высокая вероятность – низкие убытки. Данная стратегия требует построения контрольных процедур направленных на минимизацию рисков.

      Таким образом, в рассматриваемом случае применимы две последние стратегии: «Избегать» и «Предотвращать». На их достижение направлены две деятельности: оптимизация процессов и внедрение контрольных процедур.Наиболее простым способом оценки рисков может являться оценка рисков методом качественных оценок (3 на 3) и дальнейшая минимизация рисков, не имеющих в оценке низких значений.

      Разработка контрольных процедур

      Вообще говоря, деятельность по оптимизации процессов всегда присутствует, скрыто или явно, в любой компании, и в ИТ — подразделении в частности. Но обычно она вызвана внутренними побуждениями:  стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление же внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения этого направления деятельности в компании.      Целью и критерием успешности оптимизации процессов в этой связи является исключение или минимизация найденных рисков путем создания контрольных процедур. Наиболее эффективными являются превентивные контрольные процедуры, которые минимизируют саму вероятность появления риска, однако, для повышения надежности процесса, часто, превентивные процедуры применяют в паре с периодическими проверочными. Например, наряду с процедурой удаления прав доступа к информационным системам при увольнении сотрудника, должна существовать контрольная периодическая процедура сверки списка активных пользователей информационных систем со списком уволенных за период.

      Другими примерами контрольных процедур могут являться следующие:o       Периодическая проверка восстановления резервных копий файл-серверов, баз данных, приложений;o       Проверка наличия документированных и одобренных руководством запросов на изменение:— прав доступа пользователя,— конфигурации сетевого, аппаратного или системного программного обеспечения,— функциональности приложений.Для последующей оценки эффективности контролей внутренним или внешним аудитом, крайне необходимо чтобы при выполнении ИТ-процессов вручную или автоматически создавались документальные подтверждения работоспособности каждой контрольной процедуры.

      Тестирование контрольных процедур

      Для того чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо периодически проверять, как выполняются контрольные процедуры и эта проверка выполняется с помощью набора тестов

      Тесты состоят из нескольких последовательных шагов, первым из которых, как правило, является проверка наличия базового документа (политики, процедуры, регламента),  в котором определяется порядок и правила выполнения данного процесса. Далее по шагам проверяется выполнение на практике требований, описанных в базовом документе, и документируются конкретные примеры выполнения с приложением документального подтверждения. По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры, причем это касается, как  эффективности алгоритма процедуры, так и правильности его выполнения. Количество тестов определяется количеством экземпляров процессов проходящих через контрольную процедуру. Обычно тестированию подлежит от 2 до 10% от числа выполненных экземпляров процессов. Периодичность проведения тестирования устанавливается в  зависимости от критичности процесса и может варьироваться от ежемесячной до годовой. Дополнительной сложностью в организации процесса тестирования может быть требование, что тестирование должно проводится сотрудниками, не участвующими в проверяемых процессах.

      Автоматизация процессов ИТ- подразделения

      В современных условиях, когда количество бизнес- транзакций достигает сотен тысяч в секунду, количество обращений в ИТ — сотен в день, а  среднее количество контрольных процедур для ИТ- процессов колеблется от 50 до 100, наивно надеяться на возможность обеспечить эффективность выполнения контролей «на ручном уровне». Поэтому, единственным эффективным путем является автоматизация ИТ-процессов.

      В настоящее время существует достаточное количество программных продуктов импортного и отечественного производства, решающих эту задачу и построенных на принципах ITIL. Другим возможным подходом является применение систем класса Workflow , в рамках которых производится автоматизация всех операций процесса, сбор и каталогизация необходимой информации.

      Помимо этого, вслед за автоматизацией процессов необходимо автоматизировать систему тестирования для обеспечения регулярного тестирования контрольных процедур, сбора и архивации результатов.

      Управление внутренним контролем

      После всего вышесказанного становится понятно, что внутренний контроль должен быть регулярным и, следовательно, должен быть процессом. Как процесс, внутренний контроль требует правильного планирования, выполнения, проведения и совершенствования.  При этом наиболее рационально организовать этот процесс  на уровне компании и сделать владельцем процесса отдел внутреннего контроля или аудита.

      Основными задачами владельца процесса внутреннего контроля являются назначение собственников контролей, разработка графика тестирования, оповещение тестеров и собственников контроля о сроках проведения очередного тестирования, сбор и архивация результатов тестирования и получение отчетности для руководства и проверяющих. Эти задачи так же можно и нужно автоматизировать.

      Для этого можно применять различные ИТ- решения, от разработанных  самостоятельно, до серьезных.

      Заключение

      В связи с появлением требований регулирующих законов, одной из основных задач ИТ- директора становится построение системы управления ИТ- и связанными бизнес-процессами, в которой органично присутствует система внутреннего контроля за рисками.

      Основной ошибкой является отношение к этой деятельности как к проекту, результаты которого нужны внутреннему или внешнему аудитору. Необходимо изменить отношение к данной деятельности и организовывать ее как процесс, выполняемый на регулярной основе.

      Наличие процесса внутреннего контроля в ИТ является отличительным признаком зрелости процессов компании и  ИТ- подразделения, что повышает надежность и прозрачность бизнеса, инвестиционную привлекательность компании, и, что немаловажно, позволяет ИТ – директору заниматься планомерным развитием ИТ и бизнеса, а не скоропостижным устранением списка недостатков в ожидании аудиторов.

       

      Голубев Виктор Филиппович,  Директор департамента продаж ИТ — решенийКоптелов Андрей Константинович,  Директор департамента ИТ – консалтингаКонсалтинговая компания IDS Scheer Россия и страны СНГ

      koptelov.info

      Квинтэссенции. Для чего нужен внутренний контроль и аудит? — Bankir.Ru

      …Вообще-то ответ на этот вопрос будет зависеть от того, кто на него отвечает: собственник, вкладчик, руководитель, исполнитель или сотрудник ЦБ.

      …Главная задача СВК - совместить несовместимые вещи: бухгалтерский учет, налоговое законодательство, гражданское законодательство и писанину, исходящую от ЦБ.

      …роль СВК не зависит ни от квалификации сотрудников СВК и банка вообще, ни от положения СВК в банке, ни от бизнеса самого банка.

      …Насколько мне известно, Внутренний контроль начал создаваться в банках в связи с огромным желанием России войти в мировое сообщество, для чего это самое мировое сообщество потребовало "Чтоб деньги в Вашей великой стране не отмывались". Мы ответили: "Оk" и создали СВК в коммерческих банках. Но постепенно это все извратилось и на очередной встрече г-на Кудрина с руководителями стран "семерки" (на прошлой неделе) России в очередной раз предъявили, что слишком уж много стирают (в смысле отмывают денег) у нас. Вошли в тройку лидеров, говорят, вместе с одной африканской страной и одной суперофшорной (не помню точно, все это смотрел одним глазом по телеку, но ассоциации почему-то такие). Так вот, предъявили и говорят: "Исправляйте", мы, как я понял, с чувством ответственности (как пионэры в свое время "Всегда готовы") продекларировали: "Да чтоб нам не стоять на этом месте все сделаем, нам только кредитов побольше и реструктуризацию долга". Наверное, сейчас что-то будет предпринято по усилению. Думаю, это будет дополнительная декларация, которая будет накладывать на коммерческие банки дополнительные обязательства и затраты, а не фактические действия по формированию нормальной контрольной среды (понимание необходимости внутреннего контроля на всех уровнях управления) в этих банках.

      Полностью согласен. Все это находится в рамках линии ЦБ по удовлетворению капризов западных кредиторов. Для нас же проблема в том, что, как говорится, заставь дурака богу молиться - он и лоб себе расшибет.

      …Не хочу показаться абсолютным нигилистом, но мое мнение основано на личном наблюдении. Для начала мы должны сами для себя усвоить, что и в 509-ом Положении, и в 603-ем Указании заложено некое недоразумение. Недоразумение это выражается в следующем. С одной стороны, то, что лежит на поверхности (то, что, Вы, собственно, и перечислили в подпунктах "а", "б", "в" и т.д. своего опроса), то есть то, что и указано по большой части в документах Центробанка. Мол для мониторинга рисков, мол для защиты интересов клиентов, для прозрачности банка, для еще чего-то и проч. При этом даже придумали игрульки с аттестацией контролеров. С другой стороны, видна явная незаконнорожденность этого института, которая созревала где-то в утробе надзирающих органов. Это видно хотя бы по тому, что непонятно, какое именно подразделение в территориальном управлении курирует СВК и комплаенс-контроль. Поговаривают, что, якобы, в течение полугода наконец-таки приведут все эти нормативные акты в соответствие, но все пока вилами по воде писано. Это также видно хотя бы из Центробанковской непоследовательности относительно статуса руководителя СВК и комплаенс-контролера: то они хотят, чтобы он был независим от исполнительного органа, то они рекомендуют, чтобы и комплаенс и СВК были в одном флаконе, а комплаенс при этом зам исполнительного органа. В общем непонятно, чего сам ЦБ хочет. Впрочем, на самом деле понятно, чего хочет. Это желание можно объяснить двояко: 1) мало обложили банки как волков красными тряпками, надо еще, добиться при этом еще одного формального рычага для возможности в случае чего принять легальное решение по тому или иному банку, здесь же ко всему прочему еще и данные на персоналиям собираются в центробанковской базе данных; 2) сделать вид, что что-то делается в свете борьбы с легализацией незаконных доходов (хорошая мина при плохой игре), явно не тот вариант, но что еще можно придумать получше, пока не знают. Прогноз: придумают, обязательно придумают. Если не на уровне ЦБ (хоть там и работает много умных людей), то на каком-то другом: например, примут закон о противодействии, и Правительство закрутит гайки. А ЦБ уже в свою очередь на основании этого закона причешет и вопрос с СВК.

      …Делать из СВК консалтинговое подразделение считаю в корне неправильным, хотя настоящий сотрудник СВК должен иметь четкое юридическое и экономическое представление обо всех банковских операциях и об их отражении в учете. Однако, если к Вам за консультациями обращается узкоспециализированный сотрудник к примеру кредитного департамента, имеет смысл порекомендовать управлению по работе с персоналом провести аттестацию подобного работника и его непосредственного руководителя.

      bankir.ru