<<
>>

ТЕХНОЛОГИИ ИТ-АУДИТА ДЛЯ ВНУТРЕННЕГО КОНТРОЛЯ И АНАЛИЗА ДАННЫХ В ДРУГИХ ПОДРАЗДЕЛЕНИЯХ Шепитько Александр начальник управления оценки банковских рисков Департамента внутреннего аудита, АО «Банк «Российский Стандарт» (г. Москва, Россия)

В статье описан практический опыт, иллюстрирующий, как правильно вы­строенное взаимодействие между подразделениями позволяет сотрудникам различных контрольных служб показывать при неувеличении текущих расхо­дов кредитной организации высокую эффективность своей работы, которая помогает сохранить стоимость бизнеса в целом.

Ключевые слова: контрольные службы, эффективность работы, стоимость бизнеса, инструменты SQL, функция контроля целостности баз данных, операционные и правовые риски.

Ни для кого не секрет, что в настоящее время кризисные явления в российской экономике приводят к тому, что даже ведущие игроки банковского рынка вынуждены сокращать расходы. Также общеиз­вестно, что в первую очередь при сокращении расходов собственники и руководители кредитных организаций стараются «отрезать» не биз­нес-функции, а то, что как бы не приносит очевидной прибыли, вели­чину которой всегда можно легко посчитать и показать в отчетах. Ча­сто под такое сокращение могут попасть сотрудники различных кон­трольных подразделений.

Рассмотрим возможные варианты оптимизации возможностей вну­треннего контроля в целях сохранения стоимости бизнеса организации без увеличения существующего бюджета, а то и с экономией ресурсов за счет синергии.

Еще несколько лет назад далеко не все менеджеры банков понимали необходимость контроля информационных, а не только денежных по­токов. Сейчас же подразделения информационной безопасности об­ладают широкими возможностями, которые могут быть использованы различными подразделениями, в том числе и службой внутреннего кон­троля, для осуществления своих функций без дополнительных затрат.

Чаще всего служба информационной безопасности находится в под­чинении директора по безопасности и защите информации кредитной организации. В ее функции входит в зависимости от финансирования и масштабов понимания возможных рисков у руководства: обеспече­ние и контроль политики разделения доступов к информации; контроль направления информации во внешнюю среду; защита конфиденциаль­ных данных кредитной организации как физическими мерами (сейфы, поиск прослушивающих устройств), так и при помощи мероприятий в сфере информационных технологий (защита сетевых ресурсов банка, разграничение сегментов сети и т.п.).

Возьмем, к примеру, контроль совершения возможных мошенниче­ских действий. Он может быть осуществлен с помощью ПО, использу­емого ^-подразделениями и подразделениями информационной без­опасности для логирования действий пользователей в ПО. Для этого достаточно внедрить несколько правил, по которым будет выгружаться контрольный отчет для службы внутреннего контроля о необычных и сомнительных операциях, проводимых сотрудниками банка при об­служивании клиентов. Это могут быть такие правила, как:

• большое количество однотипных операций у сотрудника:

— поточное оформление держателей карт (дропов), на которые поступают средства, украденные мошенниками;

— продажа одного и того же набора сопутствующих продуктов (страховок) всем без исключения клиентам;

• продажа нескольких одинаковых продуктов одному клиенту;

• работа в своей сессии ПО одновременно на нескольких ком­пьютерах и т.п.

Имея в своем распоряжении инструменты информационной без­опасности, а также инструменты SQL, сотрудники служб внутреннего контроля легче смогут осуществлять функцию контроля целостности баз данных без дополнительных затрат.

В сфере информационной безопасности лежит достаточно большой пласт возможностей для выстраивания и мониторинга эффективности функции сошрИапее-контроля. Поэтому использование инструментов информационной безопасности позволяет выявлять различные наруше­ния требований законодательства в области обработки персональных данных в частности, а также защиты информации в целом.

Постоянная обработка результатов мониторинга и логирования, полученных средствами информационной безопасности, позволяет внутреннему контролю предотвращать существенные операционные и правовые риски, стоимость которых для банка можно доступно объ­яснить любому руководителю или акционеру.

Другим путем существенного повышения эффективности внутрен­него контроля без дополнительных затрат можно считать участие со-

трудников служб внутреннего аудита/контроля в различных рабочих группах при согласовании функционально-технологической докумен­тации, как новой, так и изменяемой в связи с требованиями законода­тельства или производственной необходимостью.

Участие в таких рабочих группах помогает зачастую выявить про­блемы, о которых подразделения кредитной организации по каким- либо причинам не сообщали в рамках процедур внутреннего контроля, а также лучше понимать бизнес-процессы банка, не «высвечивая» их единовременно в ходе проверок, а участвуя в каждодневной работе по их улучшению и приведению к требованиям законодательства или нор­мативных актов регулятора.

Также к способам контроля, которые могут дать существенный эф­фект без повышения стоимости содержания сотрудников для банка, можно отнести:

• выстраивание четкой системы отчетности о реализации/потен- циальной угрозе реализации рисков;

• подключение к системам мониторинга IT-дирекции;

• максимальное овладение и использование в практике техниче­ски сложных, однако полезных для сотрудников внутреннего контроля инструментов (SQL, SAS и т.п.);

• минимальные доработки ПО, приносящие большой результат:

— введение кодификатора операционных рисков, в соответ­ствии с которым в ПО банка кодируются исправительные проводки (90% информации о рисках),

— автоматизация выгрузки информации о штрафах, уплачен­ных банком из системы бюджетирования,

— получение ежедневного отчета о норме пропуска кредит­ных продуктов.

Таким образом, правильно выстроенное взаимодействие между под­разделениями позволяет сотрудникам различных контрольных служб показывать при неувеличении текущих расходов кредитной организа­ции высокую эффективность своей работы, которая помогает сохра­нить стоимость бизнеса в целом.

Литература [9]

5. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Специфика­ция», утвержден Советом АРБ от 16.12.2010.

6. Basel Committee on Banking Supervision. The Joint Forum. High-level prin­ciples for business continuity, August 2006.

7. BS 25999-1:2006, Business continuity management. Part 1: Code of practice.

8. BS 25999-2:2007, Business continuity management.

Part 2: Specification.

9. BIP 2142:2007, The Route Map to Business Continuity Management. Meeting the Requirements of BS 25999 NEQ.

10. NFPA 1600, Standard on Disaster/Emergency Management and Business Con­tinuity Programs. National Fire Protection Association, USA.

11. Recommendations for Business Continuity Management (BCM), Swiss Bankers Association.

TECHNOLOGY IT AUDIT

FOR INTERNAL CONTROL AND DATA ANALYSIS IN OTHER PARTS

Shepitko Alexander

Head of Bank risk assessment management of the internal audit department, «Bank Rosijskiy Standart» (Moscow, Russia)

The article describes practical experience, illustrating how to properly built the collaboration between employees of different control services show when neuvelichenii current expenditure credit organization high efficiency, which helps preserve the value of the business as a whole.

Key words: control services, efficiency, business value, SQL tools, database integrity control function, operational and legal risks.

<< | >>
Источник: Коллектив авторов. Сохранение стоимости бизнеса контрольными функциями организации в кризисных условиях. 2017

Еще по теме ТЕХНОЛОГИИ ИТ-АУДИТА ДЛЯ ВНУТРЕННЕГО КОНТРОЛЯ И АНАЛИЗА ДАННЫХ В ДРУГИХ ПОДРАЗДЕЛЕНИЯХ Шепитько Александр начальник управления оценки банковских рисков Департамента внутреннего аудита, АО «Банк «Российский Стандарт» (г. Москва, Россия):

  1. ТЕХНОЛОГИИ ИТ-АУДИТА ДЛЯ ВНУТРЕННЕГО КОНТРОЛЯ И АНАЛИЗА ДАННЫХ В ДРУГИХ ПОДРАЗДЕЛЕНИЯХ Шепитько Александр начальник управления оценки банковских рисков Департамента внутреннего аудита, АО «Банк «Российский Стандарт» (г. Москва, Россия)
- Регулирование и развитие инновационной деятельности - Антикризисное управление - Аудит - Банковское дело - Бизнес-курс MBA - Биржевая торговля - Бухгалтерский и финансовый учет - Бухучет в отраслях экономики - Бюджетная система - Государственное регулирование экономики - Государственные и муниципальные финансы - Инновации - Институциональная экономика - Информационные системы в экономике - Исследования в экономике - История экономики - Коммерческая деятельность предприятия - Лизинг - Логистика - Макроэкономика - Международная экономика - Микроэкономика - Мировая экономика - Налоги - Оценка и оценочная деятельность - Планирование и контроль на предприятии - Прогнозирование социально-экономических процессов - Региональная экономика - Сетевая экономика - Статистика - Страхование - Транспортное право - Управление затратами - Управление финасами - Финансовый анализ - Финансовый менеджмент - Финансы и кредит - Экономика в отрасли - Экономика общественного сектора - Экономика отраслевых рынков - Экономика предприятия - Экономика природопользования - Экономика труда - Экономическая теория - Экономический анализ -
Яндекс.Метрика