Casual
РЦБ.RU

Операционный аудит в сервисных организациях

Июль 2007

    Растущая популярность операционного аудита заставляет задуматься о причинах этого феномена. В данной статье будут освещены некоторые теоретические аспекты операционного аудита, его значимость для компаний разного уровня и перспективы дальнейшего развития. Будут отмечены особенности такого аудита для сервисных организаций по результатам проверки в компании "Национальный депозитарный центр".

    В нашей стране в последнее время все большее внимание уделяется аудиту как неотъемлемому элементу успешного управления компанией. Крупные международные организации признают важность аудиторских процедур для стабильного долгосрочного развития бизнеса; малые и средние предприятия также начинают осознавать их значимость.
    Знаменательно, что западная практика значительно шире трактует аудит, нежели к этому привыкли на российском рынке. Речь идет не только о финансовом аудите как о проверке и подтверждении финансовой отчетности организаций, но и об аудите различных аспектов операционной деятельности. Такого рода проверки не ограничиваются бухгалтерским учетом, они могут включать оценку организационной структуры, компьютерных операций, методов производства, маркетинга и любой другой области, в которой аудитор имеет необходимую квалификацию.
    Аренс и Лоббек в книге "Аудит" дают следующее определение операционного аудита: это "проверка методов функционирования хозяйственной системы в целях оценки производительности и эффективности". Данная проверка может проводиться в отношении любой характеристики процедур и методов функционирования хозяйственной системы. В частности, в рамках операционного аудита могут быть проведены:

  • проверка обработки транзакций (полнота и правильность обработки);
  • аудит в области управления изменениями (авторизация и тестирование изменений);
  • аудит информационных систем (анализ систем на наличие контролей);
  • аудит налоговых расчетов (оптимизация налоговых расчетов);
  • аудит изменения тарифов (проверка экономической обоснованности изменений).
        Возможность проведения операционного аудита лишь в некоторых интересующих заказчика областях повышает интерес к данным услугам. Средняя продолжительность такого аудита составляет 2-4 нед., и, как следствие, подобные проекты могут уложиться в бюджеты предприятий совершенно разного уровня.
        Особую важность операционный аудит имеет для финансовых организаций. Ввиду специфики их деятельности проверка независимым аудитором может оказаться значительным фактором, способным вызвать доверие к аудируемой организации, и позволит сделать выводы о ее надежности.
        Операционный аудит может быть проведен как по индивидуальным требованиям заказчика, по внутрикорпоративным стандартам, так и в соответствии с международными стандартами и лучшими практиками.
        Одним из распространенных стандартов в области аудита сегодня является SAS 70 (Statement on Auditing Standards № 70), который является руководством для независимых аудиторов при проведении проверок в сервисных организациях (занимающихся клирингом, процессингом, предоставлением IT-услуг и т. д.). Стандарты аудита SAS 70 были разработаны в 1992 г. Американским институтом сертифицированных бухгалтеров и широко используются сервисными организациями и их партнерами и инвесторами.
        Широкая распространенность стандарта SAS 70 объясняется тем, что он позволяет оценить уровень анализа рисков и степени внедрения соответствующих контрольных процедур, в том числе в области информационных технологий. В эпоху глобализации, когда процедуры аутсорсинга становятся все более и более распространенными, сервисные организации должны иметь адекватные контрольные процедуры, обеспечивающие безопасность данных и надежность услуг.
        По результатам аудита в соответствии со стандартом SAS 70 независимый аудитор выпускает отчет, предназначенный не только для внутреннего пользования компанией-клиентом, но и для использования ее партнерами - в том числе потенциальными. Подобный отчет позволяет получить представление о наличии контрольной среды в компании и о том, насколько адекватно компания оценивает и управляет рисками, а также соответствуют ли ее действия лучшим мировым практикам.
        Безусловно, существует методика ведения подобных проектов:
        1. Любой операционный аудит начинается с фазы планирования, когда создается управляющий комитет, определяются сроки и ответственные специалисты, создается подробный план работы.
        2. Затем по результатам проведения "круглых столов" вместе с консультантами либо на основании анкетирования происходит идентификация рисков. Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов. На данном этапе консультанты на основании собственного опыта и проведенных с заказчиком встреч уже могут сделать первые выводы о наличии тех или иных контрольных процедур.
        3. Впоследствии идентифицированные риски ранжируются по определенной шкале, которая формируется на основе индивидуальных требований компании и текущей конъюнктуры. Возможна как качественная, так и количественная оценка рисков. Качественный анализ рисков определяет степень важности риска и помогает выбирать способ реагирования на него. Количественная оценка определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.
        4. Следующая фаза операционного аудита подразумевает выявление существующих контрольных процедур, их описание, определение владельцев бизнес-процессов.
        5. Далее идет подготовка к тестированию и непосредственно тестирование дизайна и операционной эффективности существующих контрольных процедур. Делаются выводы о том, насколько существующие контроли покрывают идентифицированные риски, в противном случае формулируются дополнительные необходимые контрольные процедуры. Проводится анализ того, насколько эффективно функционируют внедренные контроли, - аудиторы просматривают документацию, оценивают работу информационных систем и т. д.
        6. По результатам такой проверки формируется отчет с рекомендациями, который предоставляется руководству компании для последующего устранения недостатков. Далее разрабатывается план внедрения рекомендаций, также согласованный с руководством.
        Если перейти к вопросу о том, кто же проводит операционный аудит, то, несомненно, в первую очередь это компании "большой четверки", имеющие большой опыт в проектах по оценке контрольной среды в соответствии с международными стандартами и требованиями законодательства (как, например, закон Сарбейнса-Оксли).
        Конечно, такого рода проверки могут проводиться как внутренними аудиторами, так и внешними аудиторскими фирмами. Однако привлечение аудиторской фирмы имеет свои неоспоримые преимущества: независимость и, соответственно, объективность, глубокие технические знания как в различных областях ИТ, так и методологии в области контролей. В таких проектах специалисты аудиторских компаний дополнительно выступают в роли консультантов, дающих рекомендации не только по совершенствованию систем внутреннего контроля, но и в области управления рисками в целом.
        В последнее время все больше российских компаний утверждаются в мысли о необходимости уделять внимание, а также выделять средства на грамотное управление бизнес-рисками. Однако рынок все еще находится на стадии становления, российским компаниям присущи некоторые типичные недостатки. Среди них, например, пренебрежение формализацией процессов, недостаточное разделение обязанностей, пренебрежение методологией в области информационных технологий. В практике компании "Делойт" не раз встречались случаи, когда сотрудники бухгалтерии заказчика имели возможность как сформировать, так и авторизовать платеж; нередко те же люди могли скорректировать дебиторскую задолженность.
        Российские компании довольно часто являются приверженцами информационных систем собственной разработки. Однако, разрабатывая необходимый функционал систем, компании нередко забывают о внедрении контролей - как на этапе разработки и внедрения, так и при дальнейшей эксплуатации приложений. Отсутствие формализации процессов предоставления доступа, разграничения прав, по опыту "Делойта", часто оказывается очевидным недостатком этих систем. Также встречаются случаи, когда рядовые сотрудники отделов информационных технологий и бухгалтерии имеют полные права в системе бухгалтерского учета, что недопустимо в условиях корректного функционирования приложений и безопасности данных. Такие случаи, безусловно, доводятся до сведения руководства, и в дальнейшем эти недостатки устраняются.
        В начале текущего года в компании "Национальный депозитарный центр" специалистами "Делойта" был проведен операционный аудит нескольких операционных процессов - учет ценных бумаг, обработка транзакций, управление изменениями, обеспечение непрерывности деятельности. Аудиторы проанализировали способ построения (дизайн) контрольных процедур с точки зрения выполнения задач контроля. Были подготовлены и согласованы рекомендации по совершенствованию дизайна существующих контрольных процедур, а также по внедрению дополнительных контрольных процедур, что позволило оптимизировать определенные процедуры и минимизировать некоторые риски.
        В России спрос на операционный аудит постепенно растет, и это связано не только с общим ростом экономики страны. Намерение России войти во Всемирную торговую организацию, безусловно, ставит высокие требования перед российскими предприятиями - возможный приход на рынок международных конкурентов из различных областей заставляет отечественные компании стремиться к международным стандартам. А наилучшим подтверждением соответствия мировым практикам является именно независимый аудит.

    • Рейтинг
    • -1
    Добавить комментарий
    Комментарии (3):
    Трефа
    18.03.2016 11:47:12
    Мы уже на собственном опыте убедились в значении проведения регулярного аудита.
    Нина
    21.03.2016 11:36:26
    Подскажите, вы своими силами проводите аудит или обращаетесь к посреднику?
    Трефа
    22.03.2016 15:53:32
    Нам эту процедуру организовали сотрудники http://rosco.su/.

    • Статьи в открытом доступе
    • Статьи доступны на платной основе
    Актуальные темы    
     Сергей Хестанов
    Девальвация — горькое лекарство
    Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
    Александр Баранов
    Управление рисками НПФов с учетом новых требований Банка России
    В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
    Варвара Артюшенко
    Вместе мы — сила
    Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
    Сергей Майоров
    Применение blockchain для развития биржевых технологий и сервисов
    Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
    Все публикации →
    • Rambler's Top100