Обязанности и роль внешних аудиторов

Несмотря на то что внешние аудиторы по определению не являются частью банковского учреждения и поэтому не входят в его систему внутреннего контроля, их деятельность, в процессе которой с руководством обсуждаются рекомендации по улучшению внутреннего контроля, оказывает важное влияние на качество внутреннего контроля. К тому же внешние аудиторы обеспечивают обратную связь, помогающую следить за эффективностью системы внутреннего контроля.

Поскольку главной целью внешнего аудита является предоставление заключения о годовой финансовой отчетности банка, внешние аудиторы должны оценить эффективность службы внутреннего контроля банка, чтобы по возможности опираться на ее выводы в своей работе. По этой причине внешние аудиторы должны хорошо понимать систему внутреннего контроля банка для того, чтобы оценить, в какой степени они могут полагаться на нее при определении характера, сроков и сфер аудиторской проверки.

Специфическая роль внешних аудиторов и методы, которые они используют в своей работе, зависят от конкретной страны. Согласно профессиональным стандартам аудита, принятым во многих странах, аудиторские проверки должны проводиться на основе плана и осуществляться с целью получения достаточной уверенности, что финансовые отчеты свободны от существенных искажений. Также на выборочной основе аудиторы проверяют документальные подтверждения операций и учетных записей, являющихся основанием для финансовой (бухгалтерской) и публикуемой отчетности. Аудитор оценивает используемые принципы и правила бухгалтерского учета и существенные допущения, сделанные руководством, а также общее представление финансовой отчетности. В некоторых странах надзорные органы требуют, чтобы внешние аудиторы представляли конкретную оценку круга вопросов, адекватности и эффективности системы внутреннего контроля банка, включая систему внутреннего аудита.

При всем разнообразии общим для всех стран является предположение, что внешний аудитор сможет оценить качество системы внутреннего контроля в той степени, которая необходима для суждения о состоянии отчетности банка. Степень внимания, уделяемая системе внутреннего контроля, зависит от конкретного аудитора и банка; однако обычно предполагается, что существенные недостатки, выявленные аудиторами, должны доводиться до сведения руководства в конфиденциальных письмах по результатам аудита и во многих странах — до сведения органов банковского надзора. Более того, во многих странах к внешним аудиторам могут предъявляться специальные надзорные требования, предписывающие способ проведения оценки внутреннего контроля и составления отчета о его состоянии.

Суть проблемы. В крупных системах велико количество пользователей, приложений и информационных ресурсов, взаимосвязи между ними сложны и разнообразны. В таких системах, как правило, применяются различные средства защиты, но при построении системы защиты очень важно правильно ее внедрить, грамотно ее эксплуатировать.

И если первая задача обычно проблем не вызывает, то задача эксплуатации, управления системой на протяжении ее жизненного цикла часто становится камнем преткновения.

За безопасность информационных систем чаще всего отвечает специальное подразделение – служба безопасности, однако управление частью встроенных в приложения и операционные системы механизмов защиты лежит на IT-подразделении. Эти настройки зачастую даже не контролируются службой безопасности.

А это означает, что рано или поздно наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться. Это происходит потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. Кроме того, внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их ( да и набрать номер администратора или забежать к нему по пути куда-либо проще, чем писать заявку). В результате в определенный момент времени практически невозможно ответить на вопрос: почему к данному ресурсу имеют доступ данные пользователи? Потеряна история всех производимых изменений, и уже нельзя определить – правильно или нет сконфигурированы – пусть даже самые совершенные – механизмы защиты.

Возможные последствия. Цена ошибок за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно создание огромной уязвимости в информационной системе), либо в какой-то момент он не может получить необходимый ему доступ, при этом, возможно, срывается выполнение задач организации в целом.

Проблема управления безопасностью растет как снежный ком и усложняется по мере развития информационной системы.

Другое по теме:

Сущность банковского кредитования
В процессе исторического развития кредит приобрел многообразные формы, основные из которых - это коммерческий и банковский кредит, которые различаются по составу участников, объектам кредитования, динамике, величине процента и сфере функционирования. Кредит представляет собой движение ссудного капи ...

Формы ссудных счетов
Методы кредитования - это способы выдачи и погашения кредита в соответствии с принципами кредитования, определяющие характер связи движения кредита с процессом кругооборота фондов и заёмщика. В международной банковской практике существует: -метод индивидуального выделения кредита (ссуда выдаётся на ...

Ценообразование и экономические законы на рынке ценных бумаг
Процесс ценообразования на рынке ценных бумаг чрезвычайно сложен, на цену влияют различные факторы: спрос, предложение, издержки, конкуренция, риск . На рынке ценных бумаг в процессе ценообразования в основном взаимодействуют два экономических закона: закон спроса и предложения и закон стоимости. С ...