Операционный аудит

В последнее время понятие «аудит» постепенно расширяется и трансформируется. Мы являемся свидетелями возникновения новых типов аудита. Уже обшепризнаны такие новейшие типы аудиторских проверок, как компьютерный аудит, аудит качества, аудит производительности. Особое место в этом ряду занимает так называемый операционный аудит. Как известно, в основе работы многих финансовых компаний лежит принцип обработки информации, принадлежащей третьим лицам. Примером могут быть операции расчетных и проиессинговых центров, регистраторов, депозитариев, брокерских компаний и, конечно, бирж.

Во всем мире финансовыми организациями уделяется повышенное внимание построению систем внутреннего контроля, поскольку автоматизированная обработка информации не только значительно повышает эффективность работы, но и привносит специфические риски.

Под термином «система внутреннего контроля» обычно понимается набор положений и процедур, включающих формирование департаментов внутреннего контроля, управления рисками, наличие целого набора как управленческих (или, по-другому, мониторинговых) процедур, так и более детальных детективных и превентивных мер контроля за бизнес-процессами, включая управление рисками информационных систем.

Как показать профессиональному сообществу, акционерам, потенциальным и существующим клиентам преимущества системы внутреннего контроля?

Традиционный аудит финансовой отчетности не решает данную задачу. Ведь финансовая отчетность не всегда показывает вложения организации в квалифицированный персонал, системы управления рисками, современные информационные технологии, разработки и построение систем внутреннего контроля.

На решение данной задачи нацелено другое направление деятельности аудиторов - операционный аудит. Он осуществляется в соответствии с международным стандартом SAS-70. Этот стандарт был разработан американским институтом сертифицированных бухгалтеров (AICPA) для организаций, предоставляющих услуги третьим лицам по обработке данных и осуществлению или учету транзакций.

Практика операционного аудита.

В настоящее время операционный аудит в соответствии со стандартом SAS-70 широко используется депозитарными, клиринговыми и процессинговыми организациями во всем мире для повышения доверия клиентов к внутренним системам и процессам. Аудит по стандарту SAS-70 применяют такие компании, как Europay, Euroclear, Chase Custody, StateStreet, Verisign и др. В начале 1998 г. первой российской компанией, прошедшей такой аудит, стал депозитарий Внешторгбанка. В прошлом году PricewaterhouseCoopers провел такой аудит в Депозитарно-клиринговой компании (ДКК).

Основные задачи операционного аудита:

• проведение анализа состояния процедур внутреннего контроля и подготовка соответствующего отчета по международным стандартам;
• поиск пробелов в системе внутреннего контроля и выработка мер для их устранения;
• разработка и планирование новых и реорганизация существующих процедур внутреннего контроля для повышения эффективности выполнения бизнес-процессов.

Таким образом, аудит по стандарту SAS-70 означает, что аудитор:

• произвел оценку деятельности и методов контроля, используемых компанией;
• сделал заключение, что процедуры внутреннего контроля разработаны должным образом;
• подтвердил наличие положений и процедур на определенную дату.

По мнению президента ДКК Константина Костыны, «отчет по стандарту SAS-70 нужен не только для демонстрации высокого уровня контролируемости процессов внутри организации, но и для целей использования его в качестве одного из элементов корпоративного управления, а также маркетингового средства для привлечения потенциальных клиентов».

Аудит по стандарту SAS-70 позволяет не только провести систематизацию контрольных процедур, но и оптимизировать затраты на внутренний контроль.

Анализируя опыт проведения аудита по стандарту SAS-70 в различных компаниях, отмечу, что общим недостатком компаний является, например, отсутствие резервного вычислительного центра и четких планов перевода операций на новые площади при чрезвычайной ситуации длительного характера. До сих пор в России, да и на Западе, отсутствие плана восстановительных мер после чрезвычайной ситуации считалось нормальным и допустимым недостатком. По оценкам PricewaterhouseCoopers, до событий 11 сентября 2001 г. только 55% компаний финансового сектора имели такие планы. Конечно, после взгляд на этот вопрос изменился не только в Америке, но и во всем мире, включая Россию. Наличие таких планов особенно важно для организаций, предоставляющих услуги большому количеству клиентов.

Операционный аудит проводят специалисты в области системы внутреннего контроля, сертифицированные американским институтом независимых аудиторов (CPA), имеющие опыт аналогичной работы. Часто эти специалисты имеют специальные навыки в области контроля информационных систем (Certified Information Systems Auditor-CISA) и риск-менеджмента.

Аудиторский отчет.

Стандарт SAS-70 подразумевает две формы аудиторского отчета.

Аудит первого уровня. Результатом проведения аудита первого
уровня является аудиторский отчет, подтверждающий:

• достоверность прилагаемого описания системы обработки клиентской информации во всех существенных отношениях;
• разработку процедуры системы внутреннего контроля должным образом;
• наличие положения и процедуры на определенную дату.

Примерное содержание отчета SAS-70 первого уровня:

1. Отчет независимых аудиторов.

2. Общее описание деятельности компании.

• Введение.
• Организационная структура.
• Задачи, функции и виды услуг, оказываемых сервисной организации.
• Элементы общей организации контроля.
• Положения и процедуры, касающиеся персонала.
• Управленческий контроль.
• Внутренний контроль и информационная безопасность.

3. Задачи контроля, а также соответствующие положения и процедуры.

4. Информация, предоставленная независимым аудиторам.

Аудит второго уровня. Отчет второго уровня включает в себя тестирование аудитором положений и процедур контроля. Он составляется не на конкретную дату, а за период.

Отчеты по стандарту SAS-70 значительны по объему и служат для полного перечня систем контроля, а также записи результатов аудита и тестирования. Отчет должен показать:

• открытость и прозрачность организации. Компания раскрывает информацию о порядке и правилах работы технологических систем и предоставляет услуги в соответствии с изложенными
  правилами;
• целостность и качество предоставляемых услуг. Компания использует эффективные механизмы контроля, обеспечивающие гарантии точности и аккуратности обработки клиентских запросов;
• наличие и эффективность контроля за информационными системами: контроль доступа к данным, организационная структура ИТ, разработка и изменение программ, физическая и логическая безопасность, хранение информации, восстановление систем и т.п.

Подход к осуществлению операционного аудита.

Обычно реализация проекта операционного аудита делится на два основных этапа:

Этап I. Документирование стратегических задач контроля, предварительный обзор внутренних документов и руководств по выполнению процедур и выработка рекомендаций по улучшению процедур контроля в соответствии с требованиями международного стандарта SAS-70. После завершения первого этапа компании предоставляется время на обсуждение и реализацию рекомендаций.

Этап II. Подготовка основного отчета, документирование процедур детального контроля, оценка их адекватности для целей выполнения контроля.

Процесс операционного аудита обычно сам по себе занимает немного времени (около одного месяца), однако при расчете сроков на исполнение проекта необходимо учитывать тот факт, что существенное время занимает сама процедура реализации компанией предложенных мер повышения эффективности и внедрения процедур внутреннего контроля (обычно от трех месяцев до полугода).

В заключение отметим, что большой опыт PricewaterhouseCoopers в подготовке отчета SAS-70 как в России, так и во всем мире свидетельствует: помимо существенного маркетингового и рыночного эффекта, операционный аудит способствует существенному повышению эффективности системы внутреннего контроля и бизнес-процессов организации. Поэтому мы рекомендуем активно использовать этот новейший и весьма эффективный инструмент.

Б. ЛЬВОВ, CPA, CISA, старший менеджер PricewaterhouseCoopers.