Технологии IT-аудита для внутреннего контроля и анализа данных в других подразделениях

ТЕХНОЛОГИИ ИТ-АУДИТА ДЛЯ ВНУТРЕННЕГО КОНТРОЛЯ И АНАЛИЗА ДАННЫХ В ДРУГИХ ПОДРАЗДЕЛЕНИЯХ

Ни для кого не секрет, что в настоящее время кризисные явления в российской экономике приводят к тому, что даже ведущие игроки банковского рынка вынуждены сокращать расходы. Также общеизвестно, что в первую очередь при сокращении расходов собственники и руководители кредитных организаций стараются «отрезать» не бизнес-функции, а то, что как бы не приносит очевидной прибыли, величину которой всегда можно легко посчитать и показать в отчетах. Часто под такое сокращение могут попасть сотрудники различных контрольных подразделений.

Рассмотрим возможные варианты оптимизации возможностей внутреннего контроля в целях сохранения стоимости бизнеса организации без увеличения существующего бюджета, а то и с экономией ресурсов за счет синергии.

Еще несколько лет назад далеко не все менеджеры банков понимали необходимость контроля информационных, а не только денежных потоков. Сейчас же подразделения информационной безопасности обладают широкими возможностями, которые могут быть использованы различными подразделениями, в том числе и службой внутреннего контроля, для осуществления своих функций без дополнительных затрат.

Чаще всего служба информационной безопасности находится в подчинении директора по безопасности и защите информации кредитной организации. В ее функции входит в зависимости от финансирования и масштабов понимания возможных рисков у руководства: обеспечение и контроль политики разделения доступов к информации; контроль направления информации во внешнюю среду; защита конфиденциальных данных кредитной организации как физическими мерами (сейфы, поиск прослушивающих устройств), так и при помощи мероприятий в сфере информационных технологий (защита сетевых ресурсов банка, разграничение сегментов сети и т. п.).

Возьмем, к примеру, контроль совершения возможных мошеннических действий. Он может быть осуществлен с помощью ПО, используемого^{-подразделениями} и подразделениями информационной безопасности для логирования действий пользователей в ПО. Для этого достаточно внедрить несколько правил, по которым будет выгружаться контрольный отчет для службы внутреннего контроля о необычных и сомнительных операциях, проводимых сотрудниками банка при обслуживании клиентов. Это могут быть такие правила, как:

• • большое количество однотипных операций у сотрудника:
  • — поточное оформление держателей карт (дропов), на которые поступают средства, украденные мошенниками;
  • — продажа одного и того же набора сопутствующих продуктов (страховок) всем без исключения клиентам;
• • продажа нескольких одинаковых продуктов одному клиенту;
• • работа в своей сессии ПО одновременно на нескольких компьютерах и т. п.

Имея в своем распоряжении инструменты информационной безопасности, а также инструменты SQL, сотрудники служб внутреннего контроля легче смогут осуществлять функцию контроля целостности баз данных без дополнительных затрат.

В сфере информационной безопасности лежит достаточно большой пласт возможностей для выстраивания и мониторинга эффективности функции сошрИапее-контроля. Поэтому использование инструментов информационной безопасности позволяет выявлять различные нарушения требований законодательства в области обработки персональных данных в частности, а также защиты информации в целом.

Постоянная обработка результатов мониторинга и логирования, полученных средствами информационной безопасности, позволяет внутреннему контролю предотвращать существенные операционные и правовые риски, стоимость которых для банка можно доступно объяснить любому руководителю или акционеру.

Другим путем существенного повышения эффективности внутреннего контроля без дополнительных затрат можно считать участие сотрудников служб внутреннего аудита/контроля в различных рабочих группах при согласовании функционально-технологической документации, как новой, так и изменяемой в связи с требованиями законодательства или производственной необходимостью.

Участие в таких рабочих группах помогает зачастую выявить проблемы, о которых подразделения кредитной организации по какимлибо причинам не сообщали в рамках процедур внутреннего контроля, а также лучше понимать бизнес-процессы банка, не «высвечивая» их единовременно в ходе проверок, а участвуя в каждодневной работе по их улучшению и приведению к требованиям законодательства или нормативных актов регулятора.

Также к способам контроля, которые могут дать существенный эффект без повышения стоимости содержания сотрудников для банка, можно отнести: контроль бизнес бюджет мошеннический.

• • выстраивание четкой системы отчетности о реализации/потенциальной угрозе реализации рисков;
• • подключение к системам мониторинга IT-дирекции;
• • максимальное овладение и использование в практике технически сложных, однако полезных для сотрудников внутреннего контроля инструментов (SQL, SAS и т. п.);
• • минимальные доработки ПО, приносящие большой результат:
• — введение кодификатора операционных рисков, в соответствии с которым в ПО банка кодируются исправительные проводки (90% информации о рисках),
• — автоматизация выгрузки информации о штрафах, уплаченных банком из системы бюджетирования,
• — получение ежедневного отчета о норме пропуска кредитных продуктов.

Таким образом, правильно выстроенное взаимодействие между подразделениями позволяет сотрудникам различных контрольных служб показывать при неувеличении текущих расходов кредитной организации высокую эффективность своей работы, которая помогает сохранить стоимость бизнеса в целом.

• 1. ГОСТ Р 53 647.1−2009 «Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство».
• 2. ГОСТ Р 53 647.2−2009 «Менеджмент непрерывности бизнеса. Часть 2. Требования».
• 3. ГОСТ Р 53 647.3−2010 «Менеджмент непрерывности бизнеса. Часть 3. Руководство по внедрению».
• 4. Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
• 5. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Спецификация», утвержден Советом АРБ от 16.12.2010.
• 6. Basel Committee on Banking Supervision. The Joint Forum. High-level principles for business continuity, August 2006.
• 7. BS 25 999−1:2006, Business continuity management. Part 1: Code of practice.
• 8. BS 25 999−2:2007, Business continuity management. Part 2: Specification.
• 9. BIP 2142:2007, The Route Map to Business Continuity Management. Meeting the Requirements of BS 25 999 NEQ.
• 10. NFPA 1600, Standard on Disaster/Emergency Management and Business Continuity Programs. National Fire Protection Association, USA.
• 11. Recommendations for Business Continuity Management (BCM), Swiss Bankers Association.