Несмотря на то что внешние аудиторы по определению не являются частью банковского учреждения и поэтому не входят в его систему внутреннего контроля, их деятельность, в процессе которой с руководством обсуждаются рекомендации по улучшению внутреннего контроля, оказывает важное влияние на качество внутреннего контроля. К тому же внешние аудиторы обеспечивают обратную связь, помогающую следить за эффективностью системы внутреннего контроля.
Поскольку главной целью внешнего аудита является предоставление заключения о годовой финансовой отчетности банка, внешние аудиторы должны оценить эффективность службы внутреннего контроля банка, чтобы по возможности опираться на ее выводы в своей работе. По этой причине внешние аудиторы должны хорошо понимать систему внутреннего контроля банка для того, чтобы оценить, в какой степени они могут полагаться на нее при определении характера, сроков и сфер аудиторской проверки.
Специфическая роль внешних аудиторов и методы, которые они используют в своей работе, зависят от конкретной страны. Согласно профессиональным стандартам аудита, принятым во многих странах, аудиторские проверки должны проводиться на основе плана и осуществляться с целью получения достаточной уверенности, что финансовые отчеты свободны от существенных искажений. Также на выборочной основе аудиторы проверяют документальные подтверждения операций и учетных записей, являющихся основанием для финансовой (бухгалтерской) и публикуемой отчетности. Аудитор оценивает используемые принципы и правила бухгалтерского учета и существенные допущения, сделанные руководством, а также общее представление финансовой отчетности. В некоторых странах надзорные органы требуют, чтобы внешние аудиторы представляли конкретную оценку круга вопросов, адекватности и эффективности системы внутреннего контроля банка, включая систему внутреннего аудита.
При всем разнообразии общим для всех стран является предположение, что внешний аудитор сможет оценить качество системы внутреннего контроля в той степени, которая необходима для суждения о состоянии отчетности банка. Степень внимания, уделяемая системе внутреннего контроля, зависит от конкретного аудитора и банка; однако обычно предполагается, что существенные недостатки, выявленные аудиторами, должны доводиться до сведения руководства в конфиденциальных письмах по результатам аудита и во многих странах — до сведения органов банковского надзора. Более того, во многих странах к внешним аудиторам могут предъявляться специальные надзорные требования, предписывающие способ проведения оценки внутреннего контроля и составления отчета о его состоянии.
Суть проблемы. В крупных системах велико количество пользователей, приложений и информационных ресурсов, взаимосвязи между ними сложны и разнообразны. В таких системах, как правило, применяются различные средства защиты, но при построении системы защиты очень важно правильно ее внедрить, грамотно ее эксплуатировать.
И если первая задача обычно проблем не вызывает, то задача эксплуатации, управления системой на протяжении ее жизненного цикла часто становится камнем преткновения.
За безопасность информационных систем чаще всего отвечает специальное подразделение – служба безопасности, однако управление частью встроенных в приложения и операционные системы механизмов защиты лежит на IT-подразделении. Эти настройки зачастую даже не контролируются службой безопасности.
А это означает, что рано или поздно наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться. Это происходит потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. Кроме того, внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их ( да и набрать номер администратора или забежать к нему по пути куда-либо проще, чем писать заявку). В результате в определенный момент времени практически невозможно ответить на вопрос: почему к данному ресурсу имеют доступ данные пользователи? Потеряна история всех производимых изменений, и уже нельзя определить – правильно или нет сконфигурированы – пусть даже самые совершенные – механизмы защиты.
Возможные последствия. Цена ошибок за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно создание огромной уязвимости в информационной системе), либо в какой-то момент он не может получить необходимый ему доступ, при этом, возможно, срывается выполнение задач организации в целом.
Проблема управления безопасностью растет как снежный ком и усложняется по мере развития информационной системы.
Другое по теме:
Расчеты по инкассо
При расчетах по инкассо банк (банк эмитент) обязуется по поручению клиента осуществить действие (за счет клиента) по получению от плательщика платежа и (или) акцепта платежа. Банк-эмитент имеет право привлекать для выполнения поручений клиента иной банк. Типичная схема расчетов по инкассо выглядит ...
Внедрение и развитие ипотечного кредитования в Республике Казахстан
В Казахстане с самого начала экономических преобразований, несмотря на свою важность, жилищная реформа проводилась очень медленными темпами. В условиях низкой платежеспособности большей части населения, а также отсутствия долгосрочных кредитов для приобретения готового жилья, созданный в первые год ...
История образования банка на территории Казахстана
История Дочернего Банка Акционерного Общества "Сбербанк России" в Казахстане начинается в конце 2006 г., когда Сбербанк России, флагман российской финансовой системы, крупнейший финансовый институт Центральной и Восточной Европы, приобретает 99,99% акций ТексакаБанка, признанного банком с ...