ОЗНАКОМИТЕЛЬНАЯ ПРАКТИКА В PWC
PWC – ЭТО: 1 -е место в рейтинге аудиторскоконсалтинговых групп «Фирма года в области трансфертного ценообразования в России и Европе» Ведущий финансовый консультант 2009 года в России 1 -е место в рейтинге «Аудитор IPO» по объему и количеству сделок Лауреат премии «Фемида» в номинации «Аудит» за высокие образцы юридической практики в Российской Федерации, профессиональную независимость и вклад в развитие бизнеса и права «Страховой аудитор и консультант 2009 года» «Лучшая практика по налогообложению в России»
ОТДЕЛ SPA (SYSTEM & PROCESS ASSURANCE): IT General Controls Аудит системы контролей в информационных системах и базах данных. Business processes and controls Анализ контролей в пределах бизнеспроцессов, и оценка их влияния на целостность финансовых отчетов
РИСКИ И КОНТРОЛИ A=I*C*D Audit risk Detection risk Inherent risk Control risk
СИСТЕМА ВНУТРЕННИХ КОНТРОЛЕЙ Слабая система контролей Сильная система контролей
COSO© FRAMEWORK – ИНФРАСТРУКТУРА ВНУТРЕННИХ КОНТРОЛЕЙ
КОНТРОЛЬНАЯ СРЕДА Задает атмосферу в организации, влияющую на осознание людьми необходимости контроля; Основа для всех других компонентов внутреннего контроля; обеспечивает дисциплину и структуру внутренних контролей Факторы: целостность, этические ценности, стиль работы руководства, делегирование полномочий, а также процессы управления и развития людей в организации.
ОЦЕНКА РИСКОВ Предварительным условием для оценки риска является постановка целей, связанных на различных уровнях и внутренне согласованных; Выявление и анализ соответствующих рисков для достижения целей; Формирует основу для определения способа управления риском; Необходимые механизмы для выявления и рассмотрения особых рисков;
КОНТРОЛЬНЫЕ ПРОЦЕДУРЫ Стратегии и способы, обеспечивающие выполнение различных директив; Помогают обеспечить применение необходимых мер для устранения рисков; Контроли существуют на всех уровнях организации и во всех сферах деятельности; Контроли – набор различных мероприятий. Это: проверки, согласования , разделение обязанностей и др. ;
ИНФОРМАЦИЯ & КОММУНИКАЦИЯ Анализ информационных потоков; Внутренняя и внешняя информация, необходимая для принятия обоснованных бизнес-решений; Информация об осуществлении контрольных процедур;
НАБЛЮДЕНИЕ Оценка работы системы в реальном времени; Комбинация общих и выборочных контролей; Недостатки внутренних контролей сообщаются вышестоящему руководству; Совокупность текущих и автономных оценок есть гарантия, что система внутренних контролей со временем остается эффективной;
IT AND GENERAL COMPUTER CONTROLS “стратегии и методики, обеспечивающие корректное использование и целостность информационных систем и данных”
ОБЩИЕ КОМПЬЮТЕРНЫЕ КОНТРОЛИ Разработка программы Эксплуатация Внесение изменений Доступ к программе и данным
РАЗРАБОТКА ПРОГРАММЫ И ВНЕСЕНИЕ ИЗМЕНЕНИЙ Тестирование и поддержка Миграция данных Тестирование и поддержка Проектирование Проектировани е / Выбор программного пакета Анализ и дизайн Внедрение программы Запросы на редактирование Внедрение программы Запуск проекта Управление процессом разработки программы Управление процессом внесения изменений Документирование и обучение
ДОСТУП К ПРОГРАММЕ И ДАННЫМ ПРИЛОЖЕНИЕ ДАННЫЕ ОПЕРАЦИОННАЯ СИСТЕМА ВНУТРЕННЯЯ СЕТЬ ВНЕШНЯЯ СЕТЬ Управление обеспечением безопасности Администратор защиты Физическая защита
CASE-STUDY Задание на практику
CASE-STUDY Объект аудита: Информационная система «ИС МИЭТ» для ведения информации о студентах, преподавателях, сотрудниках, учебном процессе МИЭТ. Цель: Оценка качества внедрения информационной системы.
ОБЩАЯ ИНФОРМАЦИЯ ИС МИЭТ Разработчики Клиент Пользователи Резервные копии ИС МИЭТ 18
ТЕХНОЛОГИИ АУДИТА
ОПТИМИЗАЦИЯ ВНУТРЕННИХ КОНТРОЛЕЙ Выделение существенных рисков Выделение контрольных процедур, которые покрывают существенные риски. Проведение их тестирования На основе знаний и опыта предложить клиенту варианты для повышения эффективности внутренних контролей
ОТЧЕТНЫЕ ФОРМЫ План-график (№, Этап, Задача, Документы, Ответственный, Срок) Таблица описания бизнес-процесса (Диаграмма (контекстная, декомпозиции), текстовое описание) Матрица рисков (Описание риска, вероятность, комментарии) Матрица контролей и тестирования (Риск, Описание контроля, Частота контроля, Тип контроля, Тестирование контроля, Выводы) Замечания и рекомендации (Ситуация/замечание, Риск, Рекомендация)
ИСПОЛЬЗУЕМЫЕ ГРАФИЧЕСКИЕ ФОРМЫ
БИЗНЕС-ПРОЦЕССЫ
СОСТАВЛЕНИЕ УЧЕБНЫХ ПЛАНОВ Риски Учебный план не соответствует ГОСам 2. 4 Названия предметов не соответствуют установленным в ГОСах 2. 4 Искажение данных при вводе ведомостей 24 2. 1
СОСТАВЛЕНИЕ УЧЕБНЫХ ПЛАНОВ Риски 2. 7 25 Корректировка данных не была осуществлена
Составление экзаменационного расписания
Составление экзаменационного расписания
Составление экзаменационного расписания Экзамен не внесен в расписание Экзамен назначен в неудобное для преподавател я время Некорректно назначен экзамен
Составление экзаменационного расписания Возникновение ошибок, связанных с некорректным вводом начальных данных
ВЫВОДЫ & Отчетная документация
МАТРИЦА РИСКОВ. № Описание риска Вероятность Комментарии (высок/cр/ низк) Общие 2 Ввод некорректных данных Высокий Нет контроля и сверки при вводе данных. Ввод данных разделён. При вводе оценок за экзамены нет проверки на то, кто на самом деле ставил их. 3 Пользователи не являются Высокий Они не считают данные, содержащиеся в компетентными в вопросах системе важными. Не понимают, что такое безопасности персональные данные. Могут удалять целиком целые разделы в таблице. 7 Задержка вводимых данных Низкий Составление расписания экзаменационной сессии 14 Экзамен не внесен в Низкий расписание 15 Экзамен назначен в неудобное для преподавателя время. Все нераспределенные экзамены вносятся в специальную таблицу. Низкий Расписание экзаменов корректируется в соответствии с пожеланиями преподавателей
КОНТРОЛЬНЫЕ ПРОЦЕДУРЫ. № Риск Краткое описание контроля 2. 4 Названия предметов не соответствуют установленным в ГОСТах. Предмет вводится из заранее созданной базы данных. Цель: обеспечить правильность ввода. 2. 6 Искажение данных при вводе ведомостей Распечатка отрезков, их проверка и утверждение в деканате, УО, на кафедрах. Цель: проверка точности и правильности информации. Результат: план группы на семестр согласован тремя подразделениями. Частота контрол я Контроль предупре дительн. / обнаруже ния Нескольк Предупред о раз в ительный день Раз в семестр Обнаруже ния Контроль Тестирование ручной/ контроля автомати ческий Выводы Автоматич Процедура: еский наблюдение за вводом плана. Результат: цели контроля достигаются. Исполнитель: Светозарова Т. Л. 14. 02. 11 Ручной След контроля: подписи декана, зав. УО и зав. кафедрой. Исполнитель: Светозарова Т. Л. 14. 02. 11 Обеспечивает соответствие стандартам. Т. к. контроль проводится несколькими подразделениями, есть вероятность обнаружить неточности или ошибки.
ЗАМЕЧАНИЯ И РЕКОМЕНДАЦИИ № Ситуация/ замечание Рекомендация ITGC Пароли, как правило, представляют собой комбинацию из 4 символов, которые регулярно не обновляются. Ужесточение контроля за регулярным обновлением паролей, а также установить минимальную длину пароля в 6 символов. ITGC Некоторые учетные записи имеют доступ, в котором нет необходимости Реорганизовать матрицу доступа в систему, четко обозначив круг ответственности каждой из групп. ITGC Отсутствует обратная связь между разработчиками и пользователями Необходимо установить обязательную обратную связь. Реализация: личный опрос подразделений с целью выявить проблемы и пожелания или внедрение обязательного отчёта по оценке качества функционала. ITGC Пользователи никак не извещаются о доработках. Зачастую усовершенствования остаются ими незамеченными. Следует проводить регулярные семинары или рассылки, в которых будут рассказываться о проводимых доработках и поясняться непонятные моменты. ITGC Вся разработка ведётся в закрытом режиме. У пользователя нет возможности пожаловаться на нерабочую опцию в режиме реального времени. Усовершенствовать процедуру отсылки информации об ошибок или сделать её автоматической. Проводить мониторинг за возникающими ошибками и оперативно реагировать на них. ITGC Отсутствует разделение сред. Разработкой и администрированием занимаются одни и те же лица. Они же имеют доступ к производственной части, что нежелательно. Желательно разделить администрирование и рабочую среду. С учетом специфики нашей организации и развития ИС нет в этом необходимости до определенного момента
ВЫВОДЫ. ЦЕЛИ БИЗНЕСА Автоматизация работы деканата. Предоставление доступа родителям Формирование прогнозов по успеваемости Реализация концепции информатизации
ВЫВОДЫ Внедрение ИС МИЭТ оказало существенное влияние на работу многих подразделений Достигнуты определенные успехи в осуществлении автоматизации процессов Не все модули доработаны. Стоит обратить внимание на «узкие» места системы Отсутствует обратная связь пользователей с разработчиками, нет активной заинтересованности в улучшении системы Администрация не проявляет интереса к ИС МИЭТ и желания ее совершенствовать В сфере компьютерных контролей имеются недоработки
ВЫВОДЫ Повсеместное внедрение ИС МИЭТ и повышение уровня компетентности персонала в области ИТ позволит: Реализовать однократный ввод данных и исключить дублирование документов Формализовать и упорядочить бизнес-процессы университета Сократить объем бумажного документооборота Формировать типовой набор документов Повысить исполнительскую дисциплину Обеспечить прозрачность данных Обеспечить комплексный мониторинг деятельности ВУЗа
ВОПРОСЫ?
СПАСИБО ЗА ВНИМАНИЕ!