Максим Померко, CISA, Член Правління Інституту внутрішніх аудиторів України

Сьогодні внутрішні аудитори постійно стикаються з наростаючим і безперервним розвитком нових технологій, які нестримно проникають як в корпорації і організації, так і в наше особисте життя. "Великі дані", хмарні обчислення, використання мобільних пристроїв, соціальні мережі - ось кілька останніх трендів в технологіях, які розмивають кордони і трансформують саму суть бізнесу. Технології стають глибоко інтегрованими у все більшу кількість елементів корпоративних бізнес-процесів, пронизуючи їх від низу до верху і зверху вниз. І хоча вони прискорюють і спрощують обмін інформацією та активами, вони тягнуть за собою нові ризики, пов'язані з таким прискоренням і спрощенням. Реалізація цих ризиків веде до втрати активів, до витоку конфіденційної інформації, до зупинки бізнесу через непрацездатність комп'ютерних систем.

Однак експертиза в технологіях - давня слабка сторона для професії внутрішнього аудитора, яка ілюструється в різних оглядах "стану професії" ( "2013 State of the internal audit profession study" by PwC, "2013 Internal audit capabilities and needs survey report" by Protivity). Багато внутрішні аудитори не використовують ефективно технології для аналізу даних і автоматизації процедур тестування, також як і не включають в полі свого зору ризики і можливості, які привносять нові технології. Найчастіше незнання технологій викликає у керівника внутрішнього аудиту невпевненість в технічних питаннях, і навіть страх, і, відповідно, в річному плані аудиту ризиків ІТ відводиться мінімальний пріоритет.

Як же внутрішні аудитори можуть надати надійні гарантії та цінні поради правлінню і менеджменту в умовах глибокого проникнення високих технологій, якщо їм бракує технологічних фокуса, знань і умінь? Внутрішні аудитори не можуть дозволити собі стояти осторонь в століття постійних технологічних інновацій. Майбутнє створюється і перебудовується кожен день, і внутрішні аудитори повинні триматися "на гребені хвилі", щоб приносити користь своїм акціонерам.

Цей виклик часу стоїть особливо гостро перед керівником підрозділу внутрішнього аудиту організації, вимагаючи від нього ясних і адекватних відповідей на два ключових питання, які піднімаються повсюдним проникненням технологій: наскільки інформаційні технології безпечні, і використовуються вони ефективно і відповідно до цілей організації, внутрішніми політиками, процедурами і законодавством? Щоб відповісти на них, керівник внутрішнього аудиту не обов'язково повинен бути глибоким експертом в інформаційних технологіях, але якщо він дійсно вважає себе компетентним менеджером, він повинен впевнено орієнтуватися в них. Інакше кажучи, керівник підрозділу внутрішнього аудиту повинен вміти ініціювати розумну і впевнену дискусію про технологічні ризики в своєму спілкуванні з правлінням і аудиторським комітетом. Щоб вести таку дискусію, необхідно вміти ставити правильні питання правильним людям і уважно прислухатися до питань, які піднімає правління і аудиторський комітет. При цьому важливо поєднувати детальне розуміння специфіки роботи і операцій бізнесу, бачення зон, найбільш схильних до ризику, з базовим розумінням основних принципів інформаційних технологій. Фокус повинен бути на ключових, з точки зору поточних бізнес-ризиків, компонентах інформаційних технологій і елементах системи внутрішнього контролю, в яких ці компоненти використовуються.

Знаходження оптимального балансу між глибокої ІТ-експертизою і вміннями внутрішнього аудитора по розумінню ризику є ключовим елементом успіху керівника підрозділу внутрішнього аудиту. При цьому керівнику немає необхідності глибоко і в деталях виникають особливо роботи окремої системи або елемента ІТ-інфраструктури, вивчати його конфігурацію, але важливо вміти консультувати, давати раду, висловлювати свою об'єктивну думку про те, чи виконують ІТ свою місію і стратегічні цілі, йдуть чи вони в ногу з бізнесом.

Те, що повинен знати внутрішній аудитор про ІТ, часто обумовлене стурбованістю правління і аудиторського комітету питаннями, які можна згрупувати в наступні шість категорій:

• Інформаційна безпека. Це самий загальновідомий аспект ризиків в ІТ, який виникає в головах правління і менеджменту, коли мова йде про інформацію і технологіях. Тут керівнику внутрішнього аудиту потрібно дати чітку відповідь, які ризики інформаційної безпеки існують (наприклад, зупинка основної системи через вірусної атаки, несанкціоноване втручання зсередини або ззовні в роботу фінансових систем, що спричинило спотворення звітності або крадіжку грошових коштів, крадіжка секретної інформації) та як вони обробляються. Він повинен розуміти, як організовано управління інформаційною безпекою, які проекти були і будуть реалізовані, розуміти оцінку ризиків, яку має робити підрозділ інформаційної безпеки або ІТ, знати про поточні проблеми, інциденти, питаннях, піднятих внутрішніми і зовнішніми аудиторами, перевіряючими органами, консультантами.
• Інтеграція ІТ в бізнес-процеси. Аудиторський комітет або правління часто цікавить оцінка контролів в ключових бізнес-процесах, включаючи використовувані технології, і тут важливо розуміти потік транзакцій і операцій, інформаційний потік, який обслуговує ключові процеси і вміти накласти на цей потік необхідні контрольні механізми, автоматизовані та ручні. Адже в сучасному світі бізнес-процеси вже безпосередньо залежать від технологій, є єдиним цілим з ними. І проблеми в ІТ виливаються в проблеми в бізнесі компанії. Потокові діаграми, діаграми бізнес-процесів є ключовим інструментом для отримання правильних відповідей в цьому випадку.
• Основна автоматизована система управління підприємством (також відома як ERP-система) або у випадку з банком - ОДБ - операційний день банку, - головний елемент ІТ-архітектури організації з точки зору бізнесу і, відповідно, правління. Тому багато уваги у керівництва направлено саме в цей бік. Тут дійсно потрібно розібратися в операціях, що обслуговуються системою і принципової технічної архітектурі додатки, а часто і обслуговуючої ІТ-інфраструктури (бази даних, операційні системи і сервера, мережі), щоб впевнено розуміти ризики, пов'язані з використанням, супроводженням і розвитком АСУП / ОДБ.
• Управління ІТ-проектами. ІТ-проекти часто мають значні фінансові та ресурсні бюджети, що особливо турбує правління, і розуміння ризиків в поточних проектах є важливою частиною роботи глави внутрішнього аудиту, так як від проектів безпосередньо залежить реалізація бізнес- та ІТ-стратегії організації. Обгрунтування проекту з точки зору стратегії компанії, адекватний статут проекту і організація проектної роботи, повна залученість бізнесу і чітка постановка вимог з його боку, повноцінне документування системи і надійне тестування рішення - ось ключові фактори успіху в проектній роботі, і керівник підрозділу внутрішнього аудиту повинен їх ясно розуміти.
• Взаємозв'язку з бізнес-партнерами і постачальниками. Це особливо важливо, коли партнери надають послуги на умовах аутсорсингу та мають прямий доступ в мережу організації до ключових її технічних елементів, обслуговують і розвивають їх. Тут аудитор повинен розуміти ступінь відповідальності постачальників, розбиратися в угодах про рівень сервісу, рівень опрацювання угод про нерозголошення інформації, включати в план аудиторських перевірок аудити системи внутрішнього контролю критично важливих постачальників послуг, переданих на аутсорсинг.
• Питання корпоративного управління ІТ. Корпоративне управління охоплює велику кількість питань, таких як постановка цілей, їх взаимоувязка з бізнес-цілями, вимір результатів, делегування повноважень, вибудовування структур, підзвітність і забезпечення того, щоб люди робили правильні речі. Правління запитує багато питань з цього набору, наприклад такий ключовий "Чи впевнені ми що діяльність ІТ ефективно підтримує досягнення бізнес-цілей?"

В цілому, аудиторський комітет або правління не хоче слухати про відірвані від життя технічні недоліки. Вони хочуть знати те, що прямо пов'язано з бізнесом і стратегією компанії.

Яким же чином керівник підрозділу внутрішнього аудиту може розібратися у всьому цьому широкому і технічно специфічному спектрі питань? Це дійсно не просто для людини, ніколи не мав раніше справу з технічними аспектами. Але розуміння це дійсно необхідно, і тут тільки від бажання аудитора і його наполегливості залежить, чи зможе він розібратися в цих питаннях. Необхідно поставити собі таке завдання і систематично приділяти частину свого робочого часу вивченню технологій і технологічних ризиків. Можливим шляхом вирішення цього питання може бути залучення в штат аудитора ІТ, або навчання ІТ-фахівця усередині підрозділу аудиту, спільно з яким керівник буде розбирати весь спектр ІТ-ризиків і особливостей технологій, при цьому обговорювати не технічні деталі окремих елементів інфраструктури, а ключові і принципові питання технологій, її архітектурні аспекти в тісній прив'язці до обслуговуваних процесам.

Іншим способом може бути залучення експертів з підрозділів інформаційних технологій на регулярній основі для отримання технічних консультацій. Однак, тут керівник аудиту повинен бути впевненим, що він може довіряти такому ІТ-експерту, що його консультації вільні від конфлікту інтересів.

Крім того, хорошим ресурсом ІТ-експертизи може бути підрозділ інформаційної безпеки, з яким має сенс налагодити конструктивну співпрацю, так як одна з його функцій - це також контроль інформаційних технологій, і, значить, цей підрозділ у багатьох питаннях грає на стороні аудиту.

Технології не зупиняють свій розвиток, генеруючи нові ризики і виклики, також будуть розвиватися і вимоги до знань аудиторів. Керівник підрозділу внутрішнього аудиту все більше і більше повинен розвивати свої знання і компетенції в області інформаційних технологій. Прогресуючі технології будуть вимагати від нього все кращого, все більшого, хоча і не обов'язково глибоко деталізованого, розуміння технологічних ризиків. Ніхто не очікує від керівника внутрішнього аудиту, що він підкорить зламаний комп'ютер, або оцінить правильність конфігураційного параметра окремого сервера. Але кожен, хто покладається на його слово, чекає від нього доброго володіння питаннями інформаційних технологій, ключових ІТ-ризиків, або знання де знайти необхідну інформацію.

=====

Якщо у Вас є питання і коментарі, Ви можете зв'язатися з автором: mpomerko [at] gmail.com

Если ви нашли орфографічну помилки, повідомте нас про це, Вибравши цею текст и натіснувші Ctrl + Enter.