ВЪТРЕШЕН ОДИТОР 2014/Vytreshen Oditor 2014 - Br.4_WE… · са в своя блог:...

1Брой 4 | 2014 | ВЪТРЕШЕН ОДИТОР

2

3

8

14

18

22

25

28

33

39

40

ГЛАВЕН РЕДАКТОРСнежана Стефанова, CFSA, CCSA, CRMA

ОТГОВОРЕН РЕДАКТОР Цветелина Станева, CGAP

РЕДАКЦИОНЕН СЪВЕТСнежана Стефанова, CFSA, CCSA, CRMAЦветелина Станева, CGAPВаня Гюрова, CGAPКръстина Тоткова, CIA, CGAPСнежина Ставрева, CGAPИвелин Камбуров, АССАСветлозар КаранешевВасил Кайрямов, CISA, CCNA

ГРАФИЧЕН ДИЗАЙН И ПЕЧАТТихо АлексовскиC&M advertising - www.ciem.info

Редакцията на списанието не се ангажира с правото на лично мне-ние, изразено от авторите в техните статии и публикации.

Разпространяване и препечатване на материали от броя на списание “Вътрешен Одитор” или на части от тях без изричното писмено раз-решение на редакцията води до правните последици, предвидени в Закона за авторското право и сродните му права.

Приемат се оригинални ръкописи - 1800 знака на стандартна страница.

АДРЕС НА РЕДАКЦИЯТАСофия, ул. Граф Игнатиев 7А, ет.3тел.: 986 28 08; 981 67 80факс: 986 28 08e-mail: [email protected]

ВЪТРЕШЕН ОДИТОРспециализирано списание на Института на вътрешните одитори в България

ГОДИНА XI | брой 4 | 2014

СЪДЪРЖАНИЕ

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР

АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИТотю Тотев, CIA, Стефан Сапунджиев, CIA, CGAP, CRMA, CFSA, CCSA

Полезни инструменти

ТЕХНИКИ ЗА АНАЛИЗ НА ДАННИКонстантин Лалов

ДОКОЛКО ЗАЩИТЕНА Е ОРГАНИЗАЦИЯТА ВИ – ОТГОВОРЪТ НА PENETRATION TESTER-АБоян Янчев

Одит академия

СЪЗДАВАНЕ НА БАЛАНСИРАНА СИСТЕМА ОТ ПОКАЗАТЕЛИ ЗА ЕФЕКТИВНОСТ НА УПРАВЛЕНИЕТО НА ИТ С ПОМОЩТА НА КОБИТ 5Д-р Найден Неделчев, CISM

ОДИТ НА РИСКОВИТЕ ПРОЦЕСИ В ЛИЗИНГОВИТЕ ДРУЖЕСТВА КАТО ФИНАНСОВИ ИНСТИТУЦИИГергана Георгиева

Позиция

ВЪНШЕН ОДИТ VS ВЪТРЕШЕН ОДИТВаня Донева

Прогрес чрез споделяне

ПЪТЯТ НА РВОРъсел А. Джаксън

ОДИТ СЪС СКОРОСТТА НА ТЕХНОЛОГИИТЕТим МакКолъм

ОБУЧЕНИЕ НА ГРУПА ОДИТОРИ ОТ РЕПУБЛИКА КИРГИЗСТАН

ЗА ВЪТРЕШНИЯ ОДИТ... С УСМИВКА За информация относно софтуера на Pentana и услугите, свързани с него:[email protected] 935 7777

• Модерен дизайн, работещ в мрежови условия с различна скорост, без функционални ограничения.

• Гъвкаво планиране на одити по обекти и процеси.• Начален екран визуализиращ персоналните задачи и

назначения.• Вградена одитна методология и автоматично генериране

на одитни доклади.• Лесно внедряване и автоматична актуализация на софтуера• Фокусиране на одитния ангажимент върху идентифици-

раните рискове, чрез вградения риск регистър.

Pentana VisionСофтуер за цялостно управление на Одитния процес и Риска (GRC)

Софтуер за цялостно управление на Одитния процес и Риска (GRC)

[email protected]

+ 44 1707 373335

2 3Брой 4 | 2014 | ВЪТРЕШЕН ОДИТОР

СТРАНИЦА НА ГЛАВНИЯ РЕДАКТОР

АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИБийтълс, Принц Чарлз и още нещо …

Тотю Тотев, CIAСтефан Сапунджиев, CIA, CGAP, CRMA, CFSA, CCSA

Kонференцията беше открита от председате-ля на борда на IIA Global Пол Собел и пред-седателя на организационния комитет на

конференцията Никола Ример. Презентациите стартираха с Алистър Кембъл, директор по кому-никациите на бившия премиер на Великобрита-ния Тони Блеър. По-късно същия ден, президен-тът и изпълнителен директор на The IIA Ричард Чеймбърс беше модератор на дискусия на тема „Управление на вътрешен одит в мултикултурна среда“. През втория ден на конференцията беше представен докладът „Пулс на професията за 2014“ и беше обявено стартирането на новата сер-тификационна програма на The IIA – Qualification in Internal Audit Leadership. Беше проведен диску-сионен панел с Пол Собел, който разговаря с Мар-вин Кинг за това „Как интегрираното докладване ще промени ролята на вътрешния одит“. В послед-ния ден от събитието водещи лектори бяха Норина Херц от University College, London и Кейт Хейууд1. В рамките на конференцията беше проведено и годишното заседание на The IIA, на което бяха из-брани изпълнителен комитет за периода 2014-15 и глобален борд на директорите. Новият предсе-дател на глобалния борд е Антон ван Вейк, който понастоящем е партньор в PwC Южна Африка.

Кралско приветствие към участниците в конференцията

Сред най-запомнящите се моменти на 73-та меж-дународна конференция на The IIA беше видео приветствието към участниците от Принц Чарлз. Петминутното видео, което можете да видите на сайта на конференцията2, беше съдържателно и демонстрира авторитета, с който се ползва профе-сията във Великобритания. Ричард Чеймбърс напи-са в своя блог: „Като дългогодишен поддръжник на опазването на околната среда и устойчивото раз-витие Принц Чарлз сподели с над 2300 участници от цял свят своите притеснения относно замърся-ването, свръх-потреблението и широкомащабните социални и екологични проблеми. Той посочи, че тези рискове често не присъстват в дневния ред на управителните органи или при обсъждане на стра-тегическите насоки на организациите, и че като въ-трешни одитори ние имаме ключова роля във фор-мирането на поведението на управителните органи, които са отговорни за корпоративното управление и управлението на риска. Той окуражи вътрешните одитори да бъдат по-активни и да обръщат повече внимание на социалните и екологични проблеми.“

Уважаеми читатели,

Едва ли някой, който професионално се занимава с одит ще оспори факта, че информацията и информационните системи все повече се превръщат във фактор, който не трябва да бъде пренебрегван от вътрешните одито-ри, както при извършането на услуги по предоставяне на увереност, така и при консултантските услуги. Това се обуславя от обстоятелството, че информационните и комуникационните технологии така здраво са навлез-ли във всички сфери на икономиката и на обществения живот, че е трудно да си представим какво би било без тях. Преди време звената за вътрешен одит ограничаваха функцията си по ИТ одит до тестване на някои основни контроли, като: предоставяне на права за достъп; разделение на задълже-нията за администриране и ползване на ИТ системи; закупуване, отчита-не и опазване на ИТ активите; спазване на лицензионните политики по отношение на ползваните приложения.

През годините информационната и комуникационна инфраструктура както в частния, така и в публичния сектор се разви и усложни. Към настоящия момент облачните услуги са вече реалност за много организации, а виртуализацията е задължителен елемент от плановете за оптимизация на ресурсите. Все повече компании оперират в множество локации, включително в други държави, дори континенти. Едва ли има организация, която да не е свързана с глобалната мрежа. Освен терито-риалното разширяване, друг фактор който способства за усложняването на инфраструктурата е необходимостта от включване на разнородни устройства в мрежите на организаците – от тра-диционните персонални компютри, сървъри и периферия до специализирани заводски контролери, мобилни устройства и др.

Новите реалности изискват и ново отношение към одита на информационните системи. Вече не е достатъчно да се тестват само основни ИТ контроли. Задължително е да е налице и специали-зирано познание. Неслучайно в много организации в България през последните години в звената за вътрешен одит бяха назначени ИТ одитори и беше организирана специализирана ИТ одит функция. Това позволява на звената за вътрешен одит да предоставят увереност на ръководствата относ-но адекватността и ефективността на контролите и нивата на остатъчните рискове както за отделни информационни системи, така и за цялостни ИТ процеси в организацията, като: Информа-ционна сигурност; Управление на информационните технологии; Дистанционни канали за предос-тавяне на услуги и др.

Водени от целта списание „Вътрешен одитор” да бъде в максимална степен полезно на аудиторията си от професионалисти, ние - екипът на списанието, избрахме „ИТ одитът” за тема на настоящия брой.

Надяваме се предоставената информация да Ви бъде полезна.

Приятно четенеСнежана Стефанова, CFSA, CCSA, CRMA

1 Галерия със снимки от конференцията можете да разгледате на https://www.flickr.com/photos/iiamedia/sets/72157645079674279/2 https://ic.globaliia.org/Pages/default.aspx#ooid=0zYTdxbjrJ3FxhNLJW-wfnndT1Y3yAfR

Конференцията в цифриНад 2300 участници от повече от 100 стра-ни посетиха Международната конферен-ция на The IIA в Лондон. Най-голям брой участници очаквано имаше от Великобри-тания (650), САЩ (250), Южна Корея (84), Южна Африка (72), и … Гана (54).


определен проблем на правилното ниво и пред-ложат решения, дори и тези решения да не са най-добрите“.

Майкъл Уудфорд – историята на един whistleblowerМайкъл Уудфорд, бивш главен изпълнителен ди-ректор на Olympus, говори по време на третата основна сесия за своята кариера и за трудните дилеми и опасностите, с които се е сблъскал на върха на една от най-мощните глобални корпора-ции. Уудфорд е уволнен от японската компания Olympus, след като публично оповестява измам-на схема на компанията за повече от един мили-ард и половина долара. Той разказа увлекателно за събитията, случили се през месеците преди да се реши да се свърже с медиите и уведоми об-ществеността за схемата. След уволнението му той работи за неправителствени организации, насърчаващи служители на компании да пра-вят публично достояние информация за подо-зирани измами. Тези организации предлагат и подкрепа на служители, оповестили подобна ин-формация. Майкъл Уудфорд е получил няколко награди във Великобритания за неговия кураж да разкрие истината за финансовата ситуация в Olympus. Повече за скандала с японската ком-пания може да прочетете в книгата му Exposure: Inside the Olympus Scandal: How I Went from CEO to Whistleblower (Разобличаване: Скандалът в Olympus отвътре: Как станах от главен изпълни-телен директор оповестител на измама).

Проф. Марвин Кинг и Integrated Reporting (IR)Представянето на темата за IR (интегрирано док-ладване) премина като разговор между Пол Со-бел и проф. Марвин Кинг. Проф. Кинг е председа-тел на Kомитета за корпоративно управление на Южна Африка, който публикува т.нар. Доклади Кинг I (1994), II (2002) и III (2009). Докладите се считат за най-добрият източник на ефективни практики за корпоративно управление в света и са задължително условие за листване на фондо-вата борса в Йоханесбург. Марвин Кинг е пред-седател и на базирания в Лондон International Internal Reporting Council (IIRC), където The IIA се представлява от Ричард Чеймбърс. IR е глоба-лен проект, подкрепян от над 100 международ-ни корпорации, големите одиторски компании и счетоводната професия, целта на който е реали-зиране на фундаментални промени в корпора-тивното финансово отчитане. През декември 2013 IIRC публикува Международна рамка за IR, която

съдържа водещите принципи и задължителните елементи на корпоративна отчетност, вече при-лагани чрез пилотна програма. Представител на една от пилотните компании, прилагащи IR (The Crown Estate) също участваше в интересната дис-кусия. Според проф. Кинг еволюцията към IR ще повиши важността на вътрешния одит и ролята му на независим източник на увереност, като въ-трешните одитори трябва все повече да гледат на-пред. IR ще промени корпоративното поведение и ще има силно влияние върху одита като цяло.

Норина Херц и как да вземаме умни решения в сложния святНорина Херц е автор на бестселъри, експерт по стратегическо планиране и съветник по вземане на решения на водещи лидери в икономиката, ге-ополитиката и бизнеса. Нейните съвети, на фона на ярките примери за геополитическите тенден-ции и корпоративните възходи и сривове, бяха за повече скептицизъм към прогнози от всякакъв тип и търсене на различната гледна точка при съ-бирането на информация. Тя даде и своите препо-ръки към ежедневието на всеки един съвременен лидер – минимум 30 минути, отделени само за мислене и планиране всеки ден и пълно онлайн изключване (e-mail, Facebook и т.н.) поне един ден в седмицата.

Кейт Хейууд – нов бизнес, нови ценностиКейт Хейууд от Зимбабве беше най-атрактивният и провокативен лектор и неслучайно презенти-ра последен в натоварената тридневна програ-ма. Той е популярен лектор по теми като бизнес трансформация, развитие на талантите и бранди-ране. Всяка от тезите му беше подкрепена с крат-ко видео или изображение. Например, тезата му за това, че вече няма business as usual и място за самодоволство, беше подкрепена със снимка от полуфиналния мач между Бразилия и Германия от световното първенство по футбол, игран пред-ната вечер. Също така, според него, с развитието на социалните медии отделният човек придобива все повече власт, която обаче е почти неуправля-ема. Ще се запомни и новото летоброене, което използва Хейууд - B.G. (before Google) – ера, в коя-то човекът търсеше отговор на въпросите си без интернет търсачки. Освен това Хейууд беше под-брал в презентацията си ключови фрази от из-казванията на лекторите преди него, което беше чудесна идея за финал на конференцията.

Акценти от паралелните сесии Паралелните сесии на конференцията бяха групи-рани около основните теми, които са в центъра на вниманието на вътрешните одитори. Диана Съли-ван, добре позната на вътрешните одитори в Бъл-гария, изнесе чудесна интерактивна презентация за петте ключови аспекта на успешно лидерство и използването на модела DiSC за оценка на пове-дението. Интерес предизвика и презентацията на вътрешния одитор на компанията–организатор на Олимпийските игри в Лондон през 2012 годи-на. Мери Харди сподели своя опит от провеждане на ангажименти по вътрешен одит в тази силно динамична среда. Това е наложило извършването на един одитен ангажимент обикновено за 3 (три!) дни, което е включвало планиране, извършване и докладване. Най-честата констатация на одито-рите е била липса на достатъчно документална следа за взетите решения, като идентифицирани-те рискове са били представени на Одитния коми-тет заедно с отговорните за тях мениджъри, чрез използване на диаграмата от модела за трите ли-нии на защита на The IIA.

Уроци, научени на одитната пътекаМоже би една от най-посетените презентации от паралелните сесии беше тази на Ричард Чей-мбърс. Той сподели личния си опит и научените уроци от своя почти 40 годишен опит в профе-сията вътрешен одит. В рамките на конференци-ята беше представена и неговата книга Lessons Learned on the Audit Trail (Уроци научени на одит-ната пътека), като всички желаещи имаха въз-можност да се сдобият с книгата с личен автограф от автора.

Управление и одитиране на социалните медииТичаона Зороро от Южна Африка изнесе презен-тация за управлението и одитирането на соци-алните медии. Според него вътрешните одитори трябва да обърнат внимание на следните въз-можни слабости: липса на стратегия за ползване-то на социалните медии от компанията и нейните служители; липса на вътрешни експерти, които да разбират условията за ползване на социалните мрежи; незаинтересованост по темата от ръково-дителите на компанията и борда на директорите; липса на мониторинг и система за проследява-не на коментари в социалните мрежи, засягащи компанията; изтичане на информация; вреди от добронамерени маркетингови кампании; на-

АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИ АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИ

За основните сесии на конференцията бяха пока-нени топ презентатори от цял свят. Те се провеж-даха пред всички участници с помощта на три видеостени.

Алистър Кембъл – адаптиране към скоростта на променитеАлистър Кембъл, директор по комуникации по времето на управлението на британския минис-тър-председател Тони Блеър, беше лекторът на първата основна сесия, озаглавена „Адаптиране към скоростта на промените“. Той откри лекцията си като обясни, че на път за конференцията е по-молил в Туитър профила си да му бъдат изпрате-ни одиторски вицове. Получил е отговор, че една от най-добрите страници за одиторски хумор е www.the-alternative-accountant.com. Посланието на Кембъл към одиторите може да бъде обобще-но в следните две изречения: „Бъдете смели, кога-то трябва да оценявате рискове“ и „Накарайте не-щата да се случат“ (англ. Make things happen). Той също така се спря на разликата между криза и проблем, описвайки как правителството на Тони Блеър е реагирало по време на няколко кризи (вътрешно- и външнополитически). Ключови при кризи от подобен мащаб са наличието на главна цел и стратегия за постигането и́ , централизира-не на управлението на кризата, лидерски уме-ния, постоянна комуникация, както и планиране за връщане към нормална дейност след края на кризата.

Как се ръководи вътрешен одит в мултикултурна среда?Втората основна сесия по време на първия ден беше на тема „Управление на вътрешен одит в мултикултурна среда“. Тя беше модерирана от Ри-чард Чеймбърс. Участниците в разговора – ръко-водителите на вътрешния одит в Международния валутен фонд (МВФ), японската компания Мет-лайф Алико и немския концерн Сименс – диску-тираха какво е нужно, за да се ръководи успешно многонационална група от одитори. Също така те се спряха на знания, качества и умения, кои-то търсят като работодатели у кандидат-одито-ри - напр. международен опит, комуникационни умения, активно слушане и емоционална инте-лигентност. Силните одиторски екипи се състоят от одитори с различни образователни профили и стилове на работа, като споделянето на знания трябва да бъде насърчавано. Ръководителят на вътрешния одит на МВФ посъветва делегатите да „предизвикват и провокират при одит, но със съпричастност“, както и да „изградят мнение за

7Брой 4 | 2014 | ВЪТРЕШЕН ОДИТОР

рушения на законодателството; репутационни вреди; загуба на продуктивност; и „пожарникар-ски“ подход към социалните медии. Сред препо-ръките за подобряване на използването на тези медии, Зороро изтъкна изработването на прави-ла за служителите и мениджърите, обучение на служителите и мониторинг на начина, по който те използват тези медии, както и използването на индикатори на риска и представянето, за да се оцени как социалните медии допринасят за при-лагането на стратегията на компанията.

Одит в публичния секторДжеймс Джонг, главен вътрешен одитор в Минис-терството на образованието на Нова Зеландия, представи опита на неговия отдел при одитиране на големи обществени проекти. Според него це-ленасочените въпроси, на които одиторите трябва да намерят отговор, са следните:

1. Оправдан ли е проектът и ако е, как ще бъде измерен успехът му?

2. Ясна ли е логиката на намеса, т.е. как ще из-мерим дългосрочната полза за обществото от направените разходи и предлаганите услуги?

3. Извършват ли се дейностите по проекта по един ефикасен и икономичен начин с използ-ването на правилните ресурси?

4. Ефективно ли е доставянето на планираните услуги? 5. Постигната ли е търсената полза?

Примерни ползи са подобряване на здравеопазва-нето, правосъдието и/или общественото благосъс-тояние. Един проект може да се одитира при подго-товката му, по време на осъществяването му и след края му. Джеймс Джонг подчерта, че подготвител-ната фаза е най-важната за успеха на един проект; ето защо вътрешните одитори биха допринесли най-много, ако одитират проекта по време на тази фаза.

Новата сертификационна програма на The IIAПо време на третата основна сесия, Института на вътрешните одитори (The IIA) представи офи-циално новата си сертификационна програма - Qualification in Internal Audit Leadership (QIAL). Програмата е разработена със съдействието на Института на вътрешните одитори на Обединените Арабски Емирства. След представянето, Пол Собел връчи сертификатите на първите 11 квалифици-рани лидери във вътрешния одит, успешно при-ключили програмата. Квалификацията е предназ-начена за бъдещи лидери във вътрешния одит с

поне пет години опит в областта и сертифицирани като вътрешни одитори (т.е. притежатели на CIA сертификата), както и за мениджъри с 15-годишен управленски опит (с или без опит като ръково-дители на отдели за вътрешен одит през тези 15 години). Уменията, които сертификационната про-грама тества, са задължителни за всяка лидерска позиция и включват лидерство в четири области: вътрешен одит, организация (т.е., добавяне на стой-ност по отношение на процесите на управлението, риска и контрола), етика, и иновация и промяна3.

За организаторитеБезспорно трябва да отбележим и отличната рабо-та на домакините от IIA UK & Ireland, които бяха подкрепени от 136 доброволци. Сред чудесните попадения беше приятното посрещане на учас-тниците в конференцията понеделник сутрин с група, която свиреше наживо и изглеждаше почти като истинските Бийтълс. Сред технологичните ас-пекти може да се посочат изключително полезни-ят conference app за андроид и iOS, устойчивият и безплатен wifi и възможността за задаване на въ-проси на лекторите чрез смс по време на дискуси-онните панели. На съпътстващото изложение бяха представени всички големи одиторски компании, специализирани издателства и компании, пред-лагащи одитен софтуер, като бяха налице много възможности за контакти и обмен на информация.

Домакини на следващата международна конфе-ренция през юли 2015 година ще бъдат колегите от IIA Канада, а през 2016 година международна-та конференция ще се проведе в Ню Йорк.

Как станах лектор на международната конференция“– Стефан Сапунджиев Тази международна конференция беше втората поред, на която изнесох презентация в една от паралелните сесии (темата ми през 2013 година беше опитът на Европейската комисия в борба-та с измамите и корупцията, а през 2014 година – поддържането на високи етични стандарти в Комисията). Като първият българин лектор на този престижен международен форум, за мен беше чест и предизвикателство да споделя моя опит с колеги от целия свят и по този начин да дам своя скромен принос за развитието на про-фесията, на която дължа толкова много. Но как станах лектор на тези две конференции?

Всичко започна с регистрирането ми в гру-пата на The IIA в социалната мрежа LinkedIn. Ежеседмично членовете на групата получават електронен бюлетин с важна информация за публикации, предстоящи конференции и други събития в света на вътрешния одит. През проле-тта на всяка година, предхождаща годината на международната конференция (т.е. през проле-тта на 2013 година за конференцията в Лондон), The IIA публикува съобщение в бюлетина, че търси лектори. Кандидат-лекторите трябва да попълнят формуляр с кратка автобиографична справка, заглавието на тяхната презентация и няколко основни точки, по които ще говорят. Обикновено срокът за кандидатстване е края на май за конференцията през следващата година.

Няколко месеца по-късно (в периода септември - ноември) The IIA изпраща електронна поща до избраните лектори с покана да презентират на конференцията. След приемането на тази по-кана, Институтът уведомява презентаторите за крайния срок, до който те трябва да изпратят презентациите си (в моя случай това беше 20 май, 2014 година за конференцията в Лондон, т.е. приблизително месец и половина преди съ-битието).

Тук е важно да отбележа, че The IIA поема ре-гистрационната такса за участие в конферен-цията на всички лектори, както и две нощувки (понеделник и вторник) в конферентния хотел. Въпреки това аз разчитах и на финансовата под-крепа на моя работодател, тъй като пътните и командировъчни разходи не се покриват от Ин-ститута; същото важи и за хотелската нощувка преди началото на конференцията (неделя).

Изнасянето на презентация пред международ-на аудитория от вътрешни одитори ми донесе не само професионална удовлетвореност, но и точ-ки за поддържане на моите сертификати (т.нар. продължаващо професионално обучение, CPE). Всъщност участието във всички основни сесии и присъствието на максималните възможни осем презентации по избор от предлаганите се-дем паралелни сесии се равнява на 15-20 CPE точки в зависимост от времетраенето на всяка сесия. С други думи едно участие в междуна-родна конференция може да се окаже напълно достатъчно, за да се наберат всички CPE точки за една година, необходими за поддържането на специализираните сертификати на The IIA (20 точки на година) или половината точки, нужни за одиторите сертифицирани като CIA. Освен това лекторите получават и обратна връзка от присъствалите на презентациите им чрез фор-муляри за оценка, резултатите от които се обоб-щават от The IIA и изпращат на лекторите във формата на кратък доклад- оценка.

И накрая бих искал да използвам тази възмож-ност да насърча вътрешните одитори в Бъл-гария да кандидатстват да станат лектори на международната конференция. След като аз успях, можете и Вие! Единственото условие е да презентирате много добре на английски; тема за Вашата презентация винаги ще намерите. Всяка година Институтът задава няколко по-всеобх-ватни теми под формата на „образователни по-тоци“ (educational tracks), в един от които трябва да се вмести предложението ви за презентация (през 2014 година в осемте потока бяха направе-ни 64 презентации, така че наистина има нужда от лектори!). За съжаление вече е късно да опи-тате за следващата конференция във Ванкувър, но решите ли да кандидатствате за конференци-ята в Ню Йорк през 2016 година, не се колебайте да ми пишете за съдействие на LinkedIn (ще ме откриете като Stefan Sapundzhiev) и...току-виж се видим в „Голямата ябълка“ след по-малко от две години. Успех!

АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИ АКЦЕНТИ ОТ ГЛОБАЛНОТО ТОП СЪБИТИЕ НА ГОДИНАТА ЗА ВЪТРЕШНИТЕ ОДИТОРИ

ОтличияАндрю Чеймбърс е познат на мнозина въ-трешни одитори в България с дейността си като обучител и лектор. Той получи Bradford Cadmus Memorial Award за приноса си към професията в глобален мащаб. Проф. Чейм-бърс е световен авторитет в областта на кор-поративното управление и вътрешния одит, като библиографията му е наистина впечат-ляваща. Той е заемал редица позиции в The IIA, като също така е преподавател по вътре-шен одит и член на одитни комитети.

Родерик Уинтърс беше почетен с наградата Victor Z. Brink. Той беше отличен за изключи-телните си заслуги като бивш председател на глобалния борд на The IIA, настоящ председа-тел на Комитета за международни конферен-ции и бивш главен одитор на Microsoft.

3 Повече информация за условията за кандидатстване и изпитните части на програмата (три казуса с продължителност от три до четири часа всеки, 20-минутна презентация, последвана от въпроси, и 90-минутно интервю) може да прочетете на следната страница на Института на вътрешните одитори: https://na.theiia.org/qial/Pages/Qualification-in-Internal-Audit-Leadership.aspx. Там има и кратко видео, представящо QIAL. Информация може да откриете и на www.iiabg.org


ПОЛЕЗНИ ИНСТРУМЕНТИ

ТЕХНИКИ ЗА АНАЛИЗ НА ДАННИ

Константин ЛаловЛоген ЕООД

Kолко са тези, които спокойно биха заявили, че от утре с лекота ще продължат ежедне-вието си на работа и в дома, без да имат под

ръка своя лаптоп, телефон или таблет? Е, аз не съм сред тази група от хора! За мен е немислимо да се откажа от всички малки и големи удобства, предоставени от „технологичните ми другарчета”. Със сигурност и фирмите, които искат да оцелеят в света на безмилостната конкуренция не са сред тях. Докато преди няколко години новите техно-логии бяха „пожелателни”, то сега те се превръ-щат в „задължителни”.

Предполагам никой не може да отрече бурния прогрес на технологиите през последните десе-тилетия. Преди издавахме и подписвахме факту-ри на ръка, сега имаме фактуриращи програми с електронни подписи. Воденето на счетоводство вече не е онова „творение” на молива и калкула-тора върху протърканите от гума листи, а добре организирана счетоводна програма, даваща пъ-лен и точен поглед върху информацията. Еднопо-сочният път, по който вървим е цялостно дигита-лизиране на информацията във всички аспекти на бизнеса и ежедневието ни – от поръчките към външни доставчици, през банкови транзакции, до ежедневната ни комуникация по ел. поща.

Това развитие на технологиите, а до известна сте-пен и зависимостта от тях, дава своето отражение и върху вътрешния одит. Одиторите имат достъп до много повече информация с помощта, на която могат да изразят значително по-голяма увере-ност в установените резултати, стига да съумеят да се преборят с някои често срещани предизви-кателства. Най-големите сред тях са достъпът до информацията (данните), справянето с огромния й обем и правилното й анализиране. Повечето от Вас се досещат, че именно новите технологиите, в лицето на специализираните софтуерни про-

ТЕХНИКИ ЗА АНАЛИЗ НА ДАННИПОЛЕЗНИ ИНСТРУМЕНТИ

дукти за анализ на данни (така наречените CAAT системи) са ключът към разрешаването на тези проблеми, но с едно малко уточнение - без прави-лен подход и техники за работа с тези инструмен-ти, те биха били също толкова безполезни, колко-то най-модерния и високотехнологичен смартфон в ръцете на малко дете.

За много хора анализът на данни е нещо изключи-телно сложно, което се изпълнява само от хора с ИТ образование. Ще се опитам да опровергая тази теза, като демонстрирам колко е лесен в своята същност анализът на данните. За целта ще опиша отделните етапи при анализ на данни и най-често прилаганите техники.

Анализът на данни се изпълнява в пет основни етапа. Пропускането на някой от тях, в много слу-чаи, води до неефективност или получаване на грешни, или непълни резултати.

IПървият етап е Планиране: един от най-подценя-ваните, но и от най-важните етапи. В търсене на бързи резултати много често тази фаза се преска-ча, което в последствие води до значителни про-блеми и загуба на време. Правилното планиране е ключът към успеха за постигане на целите на анализа. Именно затова този етап може да отне-ме до 2/3 от времето, нужно за извършване на це-лия анализ.

Основните проблеми при прескачане на тази фаза:

‣ пропускане на констатации поради неправил-ни анализи или липсващи данни; ‣ изразходване на време за анализ на одитни цели, които не са критични; ‣ идентифициране на констатации, които не от-говарят на одитните цели;

‣ повторно извършване на една и съща работа, и многократни запитвания за допълнителни данни към доставчика им; ‣ докладване, което не отговаря на одитните нужди;

Не пестете време и ресурси при планирането! Изготвянето на един добър план ще превърне ос-таналите стъпки от анализа на данни в структу-риран процес, при който само ще следвате пред-начертаните задачи.

Основни задачи при планирането са определянето на:

‣ основна цел на анализа, т.е. какво искаме да постигнем и намерим; ‣ какви данни ще ни бъдат необходими, за да постигнем тези цели; ‣ къде можем да намерим необходимите данни, т.е. в коя компютърна система или база данни се намират те; ‣ какви техники за анализ (инструменти) трябва да приложим, за да изпълним анализа и в как-ва последователност; ‣ как искаме да докладваме и споделяме резул-татите от анализа.

IIВторият етап е достъп до данните: след като по време на планирането сме определили какви данни са ни нужни за реализирането на анали-за, трябва да си осигурим достъпа до тях. Това се осъществява в четири основни стъпки:

II.1. Локализиране на данните: за да направите коректно запитване до доставчика на данни, е не-обходимо да разберете какви данни са на разпо-ложение и техния формат. За да спестите време, както на Вас така и на ИТ отдела, предоставящ данните, е необходимо ефективно да обсъдите какви са нужните Ви данни. В резултат на тази стъпка трябва да изградите карта на данните, оп-исваща местонахождението, типа, структурата, връзките и достъпа до тях.

II.2. Изискване на данните: Изискването на да-нните е критична стъпка в даден проект за ана-лиз на данни. Усложнения с достъпа до тях може сериозно да компрометира навременното изпъл-нение на даден анализ. Важно е прецизно да се уточни какви данни са необходими, къде се на-мират тези данни и как те да бъдат доставени. За тази цел, трябва да се подготви и предостави пис-мо за искане на данни и обобщен отчет.

Писмото за искане на данните трябва задължи-телно да съдържа поне следните елементи:

‣ дата на искането; ‣ име на системата или базата данни, където се намират данните; ‣ име на искания файл, таблица или отчет; ‣ времеви интервал за данните. Например, може да уточните от 1 Януари 2013 г. до 31 Декември 2013 г., включвайки началната и крайна дата; ‣ всички възможни критерии за филтриране. Например, може да уточните да бъдат филтри-рани само сметки от определена група, само дебитни транзакции и т.н.; ‣ кога бихме искали да получим данните; ‣ формат на данните, в който бихме искали те да бъдат доставени; ‣ носител, на който бихме искали да бъдат прех-върлени.

Обобщеният отчет е добре да съдържа:

‣ информация за структурата на записа (имена на полета, стартови позиции, дължини, типове данни и форматиращи детайли); ‣ контролни суми (брой на записите, суми на полета); ‣ извадка от приблизително 50 записа от оригинал-ния файл;

II.3. Трансфер на данните: предпоследната стъпка при достъпа на данни е техният трансфер. Трябва или да получите копие от данните, или да ги съх-раните на устройство, където софтуера за анализ на данни да може да ги прочете, или трябва да ви се предоставят права за директен достъп до из-точника на данните. Методът за трансфер зависи от размера на файла, начина на съхранение и на-личната технология. Примерен начин за трансфер на данните са: CD/DVD, ел. поща, външна памет (USB, HDD), директен достъп през ODBC и т.н.

II.4. Достъп до данните: Когато данните са дос-тъпни в подходящ формат, следва процесът на импортиране на данните в софтуера за анализа им. В зависимост от източника на данните и из-ползвания софтуер за анализ на данни тази про-цедура е в различна степен автоматизирана.

IIIТретият етап е свързан с проверка интегритета на данните: преди да преминете към същност-та на анализа, задължително проверете целостта на данните. Ако започнем проект без първо да се


провери точността и целостта на данните, резул-татите могат да бъдат ненадеждни или непра-вилни. Интегритет на данните означава, че таб-лиците за анализ включват:

‣ Всички данни, които са ни необходими и сме поискали; ‣ Няма данни извън тези, които сме поискали; ‣ Данните не са повредени, например при тех-ния трансфер или достъп; ‣ Данни само в тези полета, в които се очаква; ‣ Само уникални редове, т.е. да няма дублиране на цели редове с информация; ‣ Контролните суми съвпадат с дадените в обоб-щения отчет; ‣ Само валидни дати; ‣ Само числови стойности в числовите полета; ‣ Връзката между полета, които са последова-телни и логични, е коректна.

Ако таблицата не отговаря на тези стандарти, анализът може да бъде базиран на неправилни предварителни предположения и по този начин направените препоръки и решения ще се окажат невалидни. За да се извърши проверка за цялост на данните, най-често се използват следните техники:

‣ Проверка за валидност: проверява се дали ти-повете и дефинициите на данните съвпадат. Т.е. дали в текстовите полета има само принти-ращи се символи, цифровите полета съдържат само цифри, а в полетата от тип дата - реални дати; ‣ Проверка на контролни суми: намиране на броя на записите и сумите на цифровите поле-та, за да се сравнят с тези от обобщения отчет, получен при изискването на данните; ‣ Проверка на границите: проверява се дали да-нните са в границите, установени при поискване-то им. Това включва цифрови граници (например, ако сме поискали само кредитни транзакции), граници в датите (например, ако сме поискали само данни за определен период) и т.н.; ‣ Проверка за липсващи елементи: проверява се дали не липсват данни (например, липсващи номера в издаваните фактури) или липсващи записи на информация (информация, която не е била попълнена). При идентифициране на та-кива елементи, има голяма вероятност данни-те да са повредени или неправилно извлечени от системата; ‣ Проверка за дублирания: наличие на дублирани

редове или некоректно дублирани стойности. Това би могло да е в следствие на неправилно извличане на информацията от източника на данни; ‣ Проверка за надеждност: източникът на дан-ни може да съдържа стойности, получени при пресмятания, обикновено на базата на други полета. Например, поле с „обща сума” на една фактура е резултат от умножението на полета-та „единична цена” и „количество”. Необходимо е повторно пресмятане на тези полета, за да е сигурно, че те са надеждни за използване при анализа. ‣ Проверка за логичност и свързаност: познава-нето и разбирането на данните, позволяват на одиторите да направят допълнителни провер-ки, свързани с очакванията на данните и логи-ческата обвързаност между отделните полета. Например, познавайки организацията, която кaсае данните, те могат да очакват, че в дадена сметка не трябва да има записи над опреде-лен праг. Следователно одиторите могат лесно да проверят данните, чрез филтриране на тази сметка със суми над определения праг и да идентифицират изключенията.

IV

Анализ на данните:

Всеки анализ е уникален сам по себе си. В тази връзка, не може да бъде създадена “универсална рецепта”, която да бъде използвана във всеки един случай. За сметка на това, могат да се използват набор от стандартни техники и инструменти за анализ на данни, които да ни помогнат за пости-гане на поставените цели. Истинската сила на тези техники е в тяхната привидна елементарност и лесно прилагане, но същевременно изключителна мощност. Комбинирането на отделните техники дава практически неограничени възможности за постигане на исканите резултати.

Някои от основните инструменти и техники при анализа на данните са профилиране, изолиране и организиране на данните, както и възможността за работа с различни източници на информация. Нека разгледаме няколко примера конкретно за всеки един от тях:

1. Профилиране на данни:В повечето информационни системи данните би-ват записани на детайлно ниво (познато още като транзакционно ниво), което дава изключителна гъвкавост за тяхната обработка и анализ. Въпре-

ки това, в много случаи се изисква използването на данните в по-обобщен вид. За тази цел се из-ползват инструменти за профилиране на данните по зададени критерии. Също така, профилиране-

то на данните може директно да помогне за оп-ределянето на тенденции и аномалии в тях. Нека разгледаме някои от основните видове профили-рания на данни:

ТЕХНИКИ ЗА АНАЛИЗ НА ДАННИТЕХНИКИ ЗА АНАЛИЗ НА ДАННИ ПОЛЕЗНИ ИНСТРУМЕНТИ ПОЛЕЗНИ ИНСТРУМЕНТИ

Номер сметка Стойност4020 1502041 2004020 1004020 202041 180

Сметка Дебит

Сметка Кредит Сума

1664 5001 102031 4020 52031 7621 1502031 4020 5001664 5001 302031 4020 801664 5001 60

Сметка Сума4010 600.004010 42984.494010 29059034.594010 11715.894010 54882.164010 1143869.314010 1090.304010 9.284010 0.80

Дата Сума3/15/12 8915/2/12 41349.365/11/12 57452.184/12/12 1785125/31/12 7653010/30/12 358793/2/12 34536.963/2/12 360003/1/12 1790.843/1/12 15886.2

Сметка Параграф Сума

1664 5001 1002031 4020 5852031 7621 150

Интервал% спрямо брой

% спрямо сума

Сума

0.80 - 9,686,345.39 88.89% 4.14% 1,255,152.23

9,686,345.40 - 19,372,689.99 0.00% 0.00% 0.00

19,372,690.00 - 29,059,034.59 11.11% 95.86% 29,059,034.59

Интервал в дни

% спрямо брой

% спрямо сума

Сума

0 - 29 0% 0% 0.0030 - 59 0% 0% 0.0060 - 89 10% 7.49% 35,879.0090 - 119 0% 0% 0.00> 120 90% 92.51% 442,948.54

Номер сметка Стойност4020 3802041 280

Фиг. 1

Фиг. 2

Фиг. 3

Фиг. 4

‣ Групиране по 2 или повече клю-чови полета: позволява групи-ране по едно или повече тексто-ви полета, или полета тип дата/време и обща сума по едно или повече цифрови полета. Напри-мер, откриване на общата сума на кореспондиращи сметки с параграфи, сума на фактури за определен ден и т.н.

‣ Разпределение по цифрови ин-тервали: групи-ране на данните в интервали на база да дадено цифрово поле. Например, от-криване на нео-бичайно голям брой фактури под или над оп-ределен праг.

‣ Разпределение по времеви интер-вали: групиране на данните във времеви интер-вали на база на конкретно поле от тип дата. Напри-мер, откриване на необичайно го-лям брой фактури за дадено четири-месечие.

‣ Групиране по 1 ключово поле: позволява групиране по едно текстово поле и обща сума по едно или повече цифрови по-лета. Например, откриване на общата сума по дадена сметка, параграф, служител, номер на фактура и т.н.


B C

ТЕХНИКИ ЗА АНАЛИЗ НА ДАННИТЕХНИКИ ЗА АНАЛИЗ НА ДАННИ ПОЛЕЗНИ ИНСТРУМЕНТИ ПОЛЕЗНИ ИНСТРУМЕНТИ

2. Изолиране на данни ‣ Филтриране на данни по определен критерий: филтрирането на данните е ключов инструмент при анализирането на данните, особено при ра-ботата с голям обем от информация. При фил-трирането проверяващите могат с лекота да изолират само данните, нужни им за анализа като например отделяне на конкретна сметка, продукт, номер на фактура и т.н. ‣ Изолиране на данни в отделни таблици: В мно-го случаи е необходимо да отделим резулта-тите от направените анализи или приложени филтри в отделна таблица за допълнителна обработка или докладване. Това спомага за бързодействието и по-добрата нагледност при анализирането на данните.

3. Създаване на изчислителни полета:много често, когато източникът на данни не ни предоставя цялата необходима информация, е необходимо ние сами да я създадем. Елемента-рен пример за това: ако в данните нямаме ин-формация за общата сума, заплатена за дадени продукти, но имаме единичната им цена и тях-ното количество. В този случай, лесно можем да създаден ново изчислително поле, което ще е ре-зултат от умножението между единичната цена и количеството. Изчислителните полета могат да бъдат, както сравнително елементарни, така и много по-комплексни.

4. Откриване на дублирани и липсващи елементи: ‣ Откриването на дублирани елементи, е както един от най-лесните за изпълнение анализи (при наличието на подходящата CAAT систе-

ма), така и сред най-резултатните. С негова по-мощ могат да бъдат открити много различни проблеми и аномалии в данните, като дублира-ни плащания на фактури, преводи на заплати, осчетоводяване на една и съща фактура и т.н. ‣ Откриване на липсващи елементи в опреде-лена поредица. Пример за това са липсващи номера на фактури, платежни, инвентарни но-мера и всички други данни, където очакваме наличието на последователност в тяхната но-мерация.

5. Организиране на данни: основната цел е подготовка на данните за допълнителна обработка. ‣ Сортиране във възходящ или низходящ ред по едно ключово поле; ‣ Сортиране във възходящ или низходящ ред по едно или повече ключови полета;

6. Работа с данни от различни източници ‣ Присъединяване на таблици: много често, ко-гато имаме много таблици, които имат една и съща структура и съдържат един и същ тип информация, трябва да ги присъединим в една обща основна таблица, с оглед по-лесната им последваща обработка. Примери за това са по-лучаване на инфорамция от различни триме-сечия на една година, която искаме да обеди-ним в една обща таблица или получаване на счетоводна информация от различни региони, разпоредители, счетоводители и т.н., която от-ново бихме искали да обобщим;

‣ Обединяване на таблици: обединяване на поле-та от две различни таблици, с цел създаване на трета таблица, състояща се от съвпадащи или не съвпадащи записи от всяка една таблица или комбинация от двете. Записите в третата таблица са базирани на сравнението на общи "ключови полета" в двете оригинални таблици. Полетата, които се намират в третата таблица може да бъдат всяка комбинация от полета от двете таблици - източници. Това е често из-

Плащяния ЯнуариФактура Продукти Дата на фактура Сума01542047232945246778

ПринтерТонерПринтерСкенер

05-Януари-1118-Януари-1119-Януари-1130-Януари-11

257.8939.99

294.32125.99

Плащяния 1 тримесечиеФактура Продукти Дата на фактура Сума

01542047232945246778047230333946778015428875446778

ПринтерТонерПринтерСкенерХартияХартияТонерHDDТонерСкенер

05-Януари-1118-Януари-1119-Януари-1130-Януари-1101-Февруари-1115-Февруари-1128-Февруари-1102-Март-1103-Март-1131-Март-11

257.8939.99

294.32125.9915.8684.3379.9899.9939.99

134.66

Плащяния ФевруариФактура Продукти Дата на фактура Сума

047230333946778

ХартияХартияТонер

01-Февруари-1115-Февруари-1128-Февруари-11

15.8684.3379.98

Плащяния МартФактура Продукти Дата на фактура Сума015428875446778

HDDТонерСкенер

02-Март-1103-Март-1131-Март-11

99.9939.99

134.66 Фиг. 5

Фиг. 6

Фиг. 7

Извличане

Първична

Директна връзка Индиректна връзка

Вторична

Присъединяване

Присъединяване

1. Съвпадащи 2. Съвпадащи, Всички първични 3. Съвпадащи, Всички вторични 4. Съвпадащи, Всички първични,

Всички вторични 5. Несъвпадащи

= A= A and B= A and C

= A and B and C = B

A

ползвана техника, когато информацията, нуж-на за анализа, се намира в два различни из-точника и съответно в две различни таблици. В зависимост от това дали информацията в ключовото поле на основната таблица е налична в информацията на ключовото поле на вторич-ната таблица, можем да разграничим 5 основни типа обединения:

‣ Свързване на таблици: пресъздаване среда на релационна база данни, при която информа-цията от свързаните таблици е достъпна за

IV Последният етап е обобщаване и докладване на резултатите: това е етапът, на който резултатите и констатациите се оформят и подготвят за докла-дване или споделяне със заинтересованите лица. Стандартно резултатите от анализите се подготвят в табличен или графичен вид, в зависимост от въз-приетия формат на конкретната организация.

анализ от основната таблица. Съществуват два основни вида връзки: директни и индиректни.

Плащания (основна)Номер фактураДата фактураНомер доставчикНомер договор

ДоставчициНомер доставчикИмеАдресГрадБулстат

Плащания (основна)Номер фактураДата фактураНомер договор

ДоговориНомер договорДата договорСтойностНомер доставчик

ДоставчициНомер доставчикИмеАдрес

‣ Анализирането на данни отдавна не е задача само за ИТ специалистите, а е част от задълже-нията на одиторите. За да се справят с това пре-дизвикателство, е задължително използването на специализирани инструменти за анализ на данни, но въпреки изключителна им мощност и гъвкавост, от тях не би имало никаква полза, без прилагането на правилните инструменти и техники.


ПОЛЕЗНИ ИНСТРУМЕНТИ

ДОКОЛКО ЗАЩИТЕНА Е ОРГАНИЗАЦИЯТА ВИ – ОТГОВОРЪТ НА PENETRATION TESTER-А

Боян Янчев Ръководител направление „Реализация на бизнес решения и услуги”, Лирекс.ком

ДОКОЛКО ЗАЩИТЕНА Е ОРГАНИЗАЦИЯТА ВИ – ОТГОВОРЪТ НА PENETRATION TESTER-АПОЛЕЗНИ ИНСТРУМЕНТИ

Penetration test – какво е това?

Тестовете за пробив, популярни като „Penetration test“, още често наричани тестове за сигурност или „pen test”, представляват атакуване на Ва-шите собствени системи или тези на Вашите клиенти по същия начин, както би го направил евентуален хакер. Целта е една - откриване на дупки в сигурността. Разбира се това се прави по възможност без да се навреди на тестваните системи, понякога в извън работно време или през неактивните часове за системата. Разли-ката между penetration тестера и хакера е, че първият извършва действията с разрешението на собственика на системите.

Ако трябва да се определи понятието penetration тест с по-точни термини, то представлява про-активен и оторизиран опит да се оцени сигур-ността на ИТ инфраструктурата, чрез безопасни опити да се използват уязвимости на система-

та, например такива в операционната система, услугите и приложенията, неправилни конфи-гурации и дори рисково поведение на крайните потребители. Такива оценки са полезни също и при проверката на ефикасността на защитните механизми, както и на спазването на политики-те за сигурност от потребителите.

Тестовете обикновено се провеждат чрез из-ползване на систематизирани ръчни или ав-томатизирани технологии, целящи да ком-прометират сървъри, крайни устройства, уеб приложения, безжични мрежи, мрежови ус-тройства, мобилни устройства и други потен-циални точки на уязвимост. При откриване на уязвимост на дадена система, тестерите могат да използват тази система за стартиране на нови опити за пробив към другите вътрешни ресурси, например получаване на по-високо ниво на достъп чрез ескалация на привилегии. Фундаменталната цел на penetration тестовете

е да определи възможностите за компромети-ране и да прогнозира негативния ефект, който биха имали подобни инциденти върху ресурси-те или функционирането на системата.

Информацията за уязвимостите в сигурнос-тта, открити при провеждането на тестовете, обикновено се оформя в доклад и се предста-вя на ръководителите на ИТ и мрежовите отде-ли. На база на изготвения документ се правят стратегически заключения и се приоритизират бъдещите действия по развитие на системите. Обикновено докладът съдържа и препоръки за действия, които могат да бъдат извършени, за да се намали или отстрани възможността за пробив чрез тази уязвимост.

Понятието „уязвимост“ означава всичко, което увеличава вероятността атакуващ недоброже-лател да прекъсне дадена услуга или да по-лучи неоторизиран достъп до система или до данните, съдържащи се в нея. Най-обичайните уязвимости са пропуски при проектирането на системата, конфигурационни грешки и софту-ерни проблеми. Веднъж открити при тестване-то, обикновено те могат лесно да се отстранят чрез малък реинженеринг.

Защо е необходимо да се правят Penetration тестове?

Пробивите в сигурността и свързаните с това прекъсвания на услугите могат да доведат до изтичане на чувствителна информация, преки финансови загуби, да повлияят негативно на репутацията на организацията, да намалят до-верието на клиентите и други негативни после-дици за организацията. Важно е да се осигури достъпа до цялата информация на организа-цията през цялото време. Повечето организа-ции традиционно се опитват да предотвратят пробивите в сигурността чрез инсталиране и поддържане на защитни механизми на различ-ни нива, включително контрол на достъпа на служителите, криптографски механизми, сис-теми за откриване и предотвратяване на про-никвания (IDS и IPS), защитни стени и други. Но постоянното внедряване на нови технологии, включително и тези нови системи за сигурност увеличава сложността на системите и прави все по-сложно откриването и елиминирането на всички уязвимости и инциденти по сигур-ността. Всеки ден се откриват нови уязвимости и атаките към системите постоянно се развиват

в техническо и социално отношение, както и в степента на автоматизация.

Тестовете за проверка на сигурността оценя-ват възможността на организацията да защити своите мрежа, приложения, крайни системи и потребители от външни или вътрешни опити за преодоляване на механизмите за сигурност на достъпа до защитените активи. Резултатите от тестовете валидират риска, предизвикан от уяз-вимостите в сигурността, позволявайки на ИТ мениджмънта и специалистите по сигурността да приоритизират усилията си по отстранява-не на пропуските. Чрез изпълнение на по-чести и по-сложни тестове организациите могат по-ефективно да предвидят рисковете в сигурнос-тта и да се предпазят от неоторизиран достъп до критични системи и ценна информация.

Обикновено в повечето организации могат да бъдат дефинирани следните причини за из-вършване на тестове:

- Някои данни са законово регулирани и трябва да бъдат съхранявани по сигурен начин (на-пример лични данни, информация за кредитни и дебитни карти, финансови активи на клиен-тите и др.). В такива случаи регулаторът често изисква провеждането на тестове за сигурнос-тта, като част от сертификационния процес; - Разработчиците на продукти (например уеб-базирани приложения) често разработват про-дукти за клиенти, които са обект на регулации и за да удовлетворят изискванията на клиента може да поръчат тестове на своя продукт; - Дадена организация може да подозира или знае, че вече е била атакувана от недоброже-латели и иска да оцени и намали уязвимостта на своите системи и възможността за бъдещи атаки; - Организации, които държат на високи нива на сигурност и проактивно провеждат тестове, за да научат за своите слабости, преди да бъдат компрометирани с атака и изтичане на инфор-мация.

Какво трябва да се тества?

Точната съвкупност на тестваните системи за-виси от конкретната организация. По-долу е примерен списък, който обикновено е подхо-дящ за повечето организации:

- Готовите закупени системи, като сървъри, смартфони, защитни стени, мрежови устрой-ства и др.;

Боян Янчев е Директор Техническа Реализация/CTO/ в компаниите Ли-рекс.ком. Експерт с над 15 години опит в об ластта на Аутсорсинг на ИТ процеси, информационната сигурност и управление на ИТ услуги. Участвал в над 50 проекта, свързани с консул тиране, аутсорсинг, одит и големи инфраструктурни проекти, както в България, така и в цял свят. Притежава сертификати като CISA, CobiT Foundation, ISO27001 Lead Auditor, MCP, MCSA, MCSE, ITIL Intermediate, ISO20000 Auditor.


ДОКОЛКО ЗАЩИТЕНА Е ОРГАНИЗАЦИЯТА ВИ – ОТГОВОРЪТ НА PENETRATION TESTER-АДОКОЛКО ЗАЩИТЕНА Е ОРГАНИЗАЦИЯТА ВИ – ОТГОВОРЪТ НА PENETRATION TESTER-А ПОЛЕЗНИ ИНСТРУМЕНТИ ПОЛЕЗНИ ИНСТРУМЕНТИ

- Софтуерните системи, създадени по поръчка, например уеб-сайтове, мобилни и стационарни приложения, портали и др.; - Телефонни системи, като IP телефония, теле-фонни и факс сървъри, интерфейси към дос-тавчици на услуги; - Безжични мрежи и системи, системи за без-контактни плащания, радиоидентификацион-ни системи и др.; - Физическа защита, като системи за видеонаб-людение, контрол на достъп и др.

Колко често е необходимо да се правят Penetration тестове?

Тестовете трябва да се извършват редовно, за да се осигури по цялостна защита на ИТ и мре-жовата инфраструктура, като по този начин се осигурява оценка на защитата на системите срещу постоянно развиващите се и новооткрити атаки и уязвимости. Освен планираните тестове на предварително дефиниран период от време, трябва да се извършват и извънредни тестове в следните случаи:

- При добавяне на нова мрежова инфраструкту-ра и/или приложения; - Значителни актуализации или модификации на инфраструктурата или приложенията; - Преместване или добавяне на нови офиси; - Прилагане на кръпки на приложения или опе-рационни системи; - Промяна на политиките за сигурност за край-ните потребители.

Какви са ползите от Penetration тестовете?Тестовете осигуряват много предимства, позво-лявайки:

- Интелигентно управление на уязвимостите. Penetration тестовете осигуряват детайлна информация за актуалните уязвимости в си-гурността, които могат да бъдат използвани за неоторизиран достъп. Чрез провеждане на penetration тест може проактивно да се иден-тифицира кои уязвимости са най-критични, кои са с по-малко значение и кои са фалшиви. Това позволява на организацията по-интели-гентно да приоритизира реакциите на откри-тите уязвимости, да приложи необходимите кръпки за сигурност и да алокира ресурсите по-ефективно, за да осигури по-добра достъп-ност на услугите; - Избягване на загубите от неработоспособност на приложенията и услугите. Възстановяване-то от пробив в сигурността може да струва на организацията милиони, изразени в разходи за преструктуриране на ИТ ресурсите, защита на данните и активите на клиентите, възвръщане на доверието на бизнес партньорите, пониже-на производителност на служителите и други скрити разходи. Провеждането на penetration тестове помага избягването на тези загуби, чрез проактивно идентифициране и адреси-ране на рисковете преди да се случат реални атаки и пробиви; - Осигуряване на съвместимост със стандартите и регулаторните органи и избягване на глоби или отнемане на лицензи. Тестовете помагат на организациите при процесите на одитиране и осигуряване на съвместимост с различни стан-

дарти и регулаторни изисквания, например GLBA, HIPAA и Sarbanes-Oxley и да определят специфичните изисквания, документирани например в PCI-DSS. Резултатите от тестовете могат да се ползват като доказателство за съ-ответствието на организацията с изискванията на съответните стандарти. - Запазване на корпоративния имидж и лоял-ността към клиентите. Дори един единствен инцидент с компрометирани данни на клиент може да бъде много скъп и да повлияе нега-тивно на продажбите и публичния имидж на организацията. Penetration тестовете помагат да се избягват подобни инциденти и по този начин осигуряват стабилност на репутацията и доверието в компанията.

Организации, обединяващи правила, добри практики и сертификати

Съществуват някои организации, които изра-ботват стандарти и сертификации за данни и системи, които са обект на регулации. Пове-чето консултанти и организации, провеждащи penetration тестове, следват техните препоръки. Ето някои от най-често използваните:

- OWASP (www.owasp.org) – проектът Open Web Application Security Project (OWASP) разработ-ва софтуерни инструменти и документация, базирана на знанието с отворен достъп. Тези продукти помагат за осигуряване на уеб-бази-рани приложения и услуги. Този проект е база за съвременните системни архитекти, разра-ботчици, потребители и професионалисти по сигурността, които проектират, разработват, внедряват и тестват сигурността на уеб-прило-жения и услуги. - PCI (www.pcisecuritystandards.org) – Изисква-нията по сигурност на данните в индустри-алните картови разплащания са определени през декември 2004 и са приложими за всички търговци, доставчици на услуги и други, които съхраняват, обработват или предават данни на картодържатели. Като част от съответствието с този стандарт съществува изискване за доказа-телство за съвместимостта от независим орган. - ISACA (www.isaca.org) – Организация, създа-дена през 1967 г. и в момента разпознаваема като определяща стандартите за управление на сигурността на информацията сред про-фесионалните одитори. Нейните стандарти за одитиране и управление на информацион-на сигурност се следват от професионалисти

по целия свят. Сертификацията CISA (Certified Information Systems Auditor) е позната по це-лия свят от 1978 г. като символ за качество в областта на информационната сигурност. - OSSTMM (www.osstmm.org) – Ръководство за методология за тестване на сигурността с отворен код (Open Source Security Testing Methodology Manual), което има за цел да ус-танови стандарт за тестване на сигурност в Интернет. Определя база за тестване, която осигурява извършването на обстоен и подро-бен penetration тест. То може да увери клиента за нивото на техническата оценка, независимо от други организационни интереси, например корпоративния профил на компанията, осигу-ряваща тестването.

Избор на доставчик на услуги

Особено важно при избора на доставчик е на пър-во място да се избере доказан в тази област парт-ньор. Ние, в Лирекс БГ, извършваме Penetration тестове от над 10 години, като в началото бяха част от одит на информационни системи, а след 2007 г. се извършват и като самостоятелна услуга. По наша статистика около една трета от органи-зациите във финансовия сектор в България са се доверили на Лирекс като надежден доставчик на услуги по Penetration Теsting. Извършваме такива тестове и за държавната администрация, силови-те ведомства, телекоми, компании, осигуряващи интернет услуги, центрове за данни и ко-локация, енергийния сектор, разработчици на софтуерни продукти и редица други.

Информационната сигурност е много обширна област, изискваща много познания и опит, за-това от ключова важност за организациите е да имат до себе си партньор, който е доказал своя професионализъм и компетентност. Лирекс, като системен интегратор с опит в изграждането и поддръжката на множество проекти и решения има и допълнителни познания за силните и слаби места на готовите продукти и решения. Опитът натрупан през годините води със себе си и необ-ходимия нюх за откриване на слаби места.

От особено значение е и изборът на партньор, кой-то разполага с екип от етични хора, които работят съблюдавайки строг морален кодекс. В областта на тестовете на сигурността има редица между-народно признати сертификати за експертите, които доказват тяхната подготовка и опит. Това са CISA на ISACA, CPTE на Mile2, CEH и редица други.


ОДИТ АКАДЕМИЯ

Д-р Найден Неделчев, CISM

СЪЗДАВАНЕ НА БАЛАНСИРАНА СИСТЕМА ОТ ПОКАЗАТЕЛИ ЗА ЕФЕКТИВНОСТ НА УПРАВЛЕНИЕТО НА ИТ С ПОМОЩТА НА КОБИТ 5

От началото на новия век управлението на информационните технологии (ИТ) преми-на неколкократно през няколко значими

промени. Разглеждани до този момент предимно като разходно перо в бюджета на компаниите, ИТ се превърнаха не само във фактор при правене-то на бизнес, но и въобще в необходимо условие бизнесът да функционира. По тази причина, пред управлението на ИТ възниква необходимостта от дългосрочност и мащабност, съчетана с гъвка-вост и адаптивност, което да позволи тясната му интеграция с цялостното управление на бизнеса. Същевременно в стратегическото управлението на бизнеса все по-широко приложение намира балансираната система от показатели за ефек-тивност (БСПЕ) – разработен от Каплан и Нортън модел за управление на производителността с по-мощта на разнотипни, но свързани показатели за ефективност в постигането на поставените пред бизнеса цели. Чрез ползването на БСПЕ за упра-влението на ИТ се създава възможност за бързо и гладко превеждане на бизнес целите в ИТ такива, за оценка на зрелостта на практики по управле-нието на ИТ, а също и за ясно определяне на при-носа, които ИТ има в развитието на бизнеса.

Основната, заложена в БСПЕ идея на Каплан и Нортън е, че когато се оценява ефективността на управлението на една организация не трябва да се гледат единствено нейните финансови пока-затели, а и също толкова важните като тях удо-влетвореност на клиентите, състоянието на биз-нес практиките в употреба, както и творческия

потенциал на работния колектив. Постигнатото в обхвата на тези няколко перспективи е същин-ската сила, която тласка организацията към пос-тигането на нейните стратегически цели, докато тя запазва своя устойчив баланс чрез функциони-ране на изградените системи и процеси в пълна хармония. Всяка от перспективите в модела се описва чрез трислойна структура, която включва:

- Мисия, отразяваща смисълът от съществува-нето на практиките и какво е специфичното, уникалното им място сред останалите пока-затели. Такава например може да е ролята на най-предпочитан от клиентите доставчик на услуги. - Задачи, описващи крайните резултати, които трябва да бъдат получени. Пример за такава е поддържането на високо квалифициран ИТ персонал. - Мерки, с чиято помощ по обективен начин се оценява ефективността (вършим ли правилни-те неща) и ефикасността (вършим ли нещата правилно) на изпълняваните дейности. Напри-мер, процентът от оборота, който е получен от предлаганите нови услуги.

Множество разработки, публикации и изследва-ния показват, че БСПЕ може да се използва за оп-тимизиране на управлението на ИТ. Съществуват разбира се някои специфики, които трябва да се имат предвид при разработването на БСПЕ за ИТ. Адаптирането на БСПЕ за целите на ИТ се нала-га поради това, че ИТ играе предимно ролята на

вътрешен доставчик на услуги, с изключение на ограничения брой на случаите, в които на кли-енти на организацията се предоставя достъп до ограничен набор от ИТ системи.

В Таблица 1 е разгледан пример за общовалид-на БСПЕ за ИТ. Ориентацията на потребителя представлява гледната точка на ползващия ИТ услугите. Оперативното превъзходство обхваща използваните ИТ процеси за предоставяне на търсените ИТ услуги. Бъдещата насоченост от-

разява необходимите за работата на ИТ проце-сите ресурси под формата на хора и технологии. Бизнес приносът определя ползите (финансови и други) получени в следствие на направените ин-вестиции в ИТ. Тук Ориентацията на потребителя е перспективата Отношение с клиентите в кла-сическата БСПЕ, а Оперативното превъзходство, Бъдещата насоченост и Бизнес приносът съответ-но са Вътрешните процеси, Обучение и развитие, и Финансовата ефективност.

Първата перспектива в БСПЕ на ИТ – Бизнес при-носът, отразява ползите за бизнеса, получени в следствие на направените в ИТ инвестиции. В нея производителността на ИТ се разглежда от глед-ната точка на управителния съвет на организа-цията, на нейното изпълнително ръководство и като цяло от гледната точка на заинтересовани-те от просперитета й страни. За тях това могат да са бизнес ползите от ИТ проекти, постигната синергия на дейности или ресурси или принос в изпълнението на стратегическия план на органи-зацията.

Таблица 1. Примерна общовалидна БСПЕ на ИТ.

СИСТЕМА ЗА ЕФЕКТИВНОСТ НА УПРАВЛЕНИЕТО НА ИТ С ПОМОЩТА НА КОБИТ 5ОДИТ АКАДЕМИЯ

Бизнес принос Ориентация на потребителя

Как ръководството възприемат ИТ звеното?Мисия: Да се получи разумен принос за биз-неса чрез инвестиране в ИТ.Задачи:

• Контрол на разходите за ИТ. • Създаване на ползи чрез ИТ проекти. • Създаване на нови възможности за бизнес.

Как потребителите възприемат ИТ звеното?Мисия: Да бъдем предпочитания доставчик на ИТ услуги.Задачи:

• Предпочитан доставчик на приложения. • Предпочитан консултант за ИТ решения. • Предпочитан партньор на потребителите. • Висока удовлетвореност на потребителите.

Оперативно превъзходство Бъдеща насоченост

Колко ефективни и ефикасни са ИТ процесите?Мисия: Предоставяне на оптимизирани ИТ услуги.Задачи:

• Ефективно и ефикасно разработване на ИТ приложения.

• Ефективна и ефикасна оперативна поддръж-ка на ИТ инфраструктурата.

Какви са възможностите на ИТ за посрещане на бъдещите изисквания?Мисия: Поддържане на възможност за изпъл-няване на бъдещи потребности.Задачи:

• Обучение и образование на ИТ персонала. • Развитие на експертиза в ИТ. • Следене и експериментиране с нови технологии. • Актуалност на каталога с ИТ услуги.

Следващата – Ориентацията на потребителя, показва оценката на потребителя на ИТ услуги. Тази перспектива оценява производителността на ИТ от гледна точка на бизнес потребителите, а чрез тях и тази на клиентите на бизнес потреби-телите. Това може да засяга например нивото на партниране между ИТ и бизнес звената, удовлет-вореността на клиентите от конкретни аспекти на ИТ услугите като време за реакция при инцидент или необходимост от промяна, общото ниво на обслужване или ефективността при разработва-не на ново решение (програма, система или среда, съобразно сложността на необходимото за клиен-тите решение).


• Формулираните цели са подходящи и изме-рими, както и могат да се ползват на няколко нива - стратегия на организацията, стратегия на ИТ, тактически инициативи и др.

• Дейности в посока подобрения могат да бъдат предизвикани директно още в хода на прео-бразуването на целите - например чрез пър-воначално фокусиране върху важните неща или върху нещата които биха довели до бързи видими резултати.

• Достатъчно гъвкави са за да бъдат лесно адаптирани и ползвани от организации от всякакъв тип и размер - малки, средни и го-леми, в публичния или частния сектор, с иде-ална или друга цел.

• Представляват изключително удобно сред-ство за потвърждаване на създаваните ползи и синхронизирането на стратегиите.

• Трансформирането и групирането им съглас-но модела на БСПЕ е вече направено и не из-исква никакво допълнително усилие.

Използването на йерархията от цели в КОБИТ 5 за създаване на БСПЕ на ИТ може да се стане на-пример по следния начин, илюстриран на Фигу-ра 1. В случая фокусът на интересите на заинте-ресованите страни е насочен към затвърждаване на нивото и заетите позиции в бизнес сегмента, съчетано с пълна яснота за вземаните решения. Това се превежда на първо място като финансова прозрачност при функционирането на организа-цията, която цел се трансформира в система от мерки, резултиращи във видимост на извършва-ните разходи и съществуващите рискове по отно-шение на потенциалните щети и възможности.

СИСТЕМА ЗА ЕФЕКТИВНОСТ НА УПРАВЛЕНИЕТО НА ИТ С ПОМОЩТА НА КОБИТ 5СИСТЕМА ЗА ЕФЕКТИВНОСТ НА УПРАВЛЕНИЕТО НА ИТ С ПОМОЩТА НА КОБИТ 5 ОДИТ АКАДЕМИЯОДИТ АКАДЕМИЯ

В перспективата Оперативно превъзходство се обръща внимание на състоянието на ИТ проце-сите, които се изпълняват при създаването, внед-ряването, поддръжката и усъвършенстването на ИТ решения. В тази перспектива се прави оценка на производителността на ИТ като следствие от управлението на ИТ – в това число на участни-ците в различните процеси като функционални роли и оперативни позиции, а също и на контро-лиращите управлението на ИТ под формата на вътрешен одит, сигурност, предотвратяване на измами, нормативна изрядност и др. Обхватът на задачите тук може да включва осигуряването на сигурна и безопасна работна среда, оптимизира-ни процеси на работа, готовност за реакция при възникване на непредвидени обстоятелства и др.

Последната перспектива – Бъдещата насоченост, концентрира вниманието върху безценните за ИТ човешки и технологични ресурси, с чиято помощ своевременно и качествено се предоставят жела-ните услуги. Тук се прави самооценка за произво-дителността на ИТ организацията от нея самата – включително от титулярите на процеси и ядрото от участниците във всеки от тях. В този случай удачни въпроси за следене са зрялост на орга-низацията на работа, развитие на способностите в отделните направления, информираността по отношение на нововъзникващите технологии в с отношение към бизнес сегмента и др.

Като интегрираща (Принцип 3 – Прилагане на единен интегриран модел) управлението на биз-неса и ИТ методика КОБИТ 5 предлага подходящи механизми и конкретни инструменти, с чиято по-мощ БСПЕ на ИТ може лесно да се материализира на практика. В КОБИТ 5 бизнес и ИТ целите са об-общени до 34 (по 17 за всяка група) общовалидни за организации от всякакъв тип. За постигането на всяка от тях, организациите разчитат на оп-ределени резултати, получавани в следствие на използването на ИТ. Тези резултати са валидни цели за ИТ, които могат да бъдат формулирани и структурирани в БСПЕ. Методиката включва пре-образуване на бизнес целите в ИТ цели (и обра-тното), както и кои ИТ цели имат принос към кои бизнес цели. Връзката между целите в много към много. В допълнение към това за всяка от бизнес целите е направено класифициране по отношение на тяхната обвързаност с трите основни цели на макроуправлението, като се посочва кои от тях имат първостепенно или второстепенно отноше-ние към постигането им. Предимствата, които йе-рархията на целите предоставя са следните:

Желание на заинтересована страна

Ефективно и устойчиво експлоатира-не на ИТ ресурсите.

ИТ цел (Бизнес принос)

Прозрачност на ИТ разходите, риско-вете и изгодите.

ИТ задачи

Създаване, придобиване и осъщест-вяване:

- BAI09: Управление на активите

Преценка, напътствие и надзор:

- EDM02: Подсигуряване реализира-нето на ползи - EDM03: Подсигуряване оптимизи-рането на риска - EDM05: Подсигуряване прозрач-ността към заинтересована страна

Синхронизиране, планиране и орга-низации:

- AP006: Управление на бюджета и разходите - AP0012: Управление на риска - AP0013: Управление на сигурността

Цел на организация

Финансова прозрачност

Йерархията от цели в КОБИТ 5 не е панацея за всяка болежка в управлението и респективно контрола на ИТ и тя не трябва да се ползва чисто механично. Прилагането й трябва да става след внимателен анализ на средата и чрез подходящо за отделните организации адаптиране. Както тя, така и БСПЕ са универсални инструменти, но не трябва да се забравя че всяка организация има своите специфики, които най-вече се изразяват в:

• Ниво на зрялост по отношение на бизнес кул-тура и експертиза

• Обхват от задачи и приоритети • Уникалност на организационната структура • Икономически възможности

По тази причина първата стъпка при създаване-то на БСПЕ на ИТ с помощта на инструментите в КОБИТ 5 трябва винаги да е тяхното адаптиране и възприемане съобразно възможностите на ор-ганизацията. Това означава, че ползвайки ги като инструмент, в резултат организациите трябва да създадат свои собствени БСПЕ на ИТ, които в по-следствие да оценят за тяхната ефективност.

Фигура 1. Определяне на задача в перспективата Бизнес принос с помощта на схемата за йерархия на целите в КОБИТ 5.


Финансовият лизинг като вид кредитен продукт беше един от най-популярните в България в периода между 2006-2010г.

Основната причина за „бума” при лизинговите сделки през посочения период е динамичното развитие на икономическите сектори - транс-порт, строителство, хранително-вкусов. С оглед постигане на по-висока конкурентноспособ-ност, голяма част от предприятията трябваше да подновят активите си. Част от дружествата, предоставящи услуги в сферата на строител-ството и транспорта, както и производствени предприятия, кандидатстващи по Европейски-те програми, бяха стимулирани да закупуват активи на лизинг с цел увеличаване на произ-водителността, качеството и количеството на предоставяните услуги, което има за крайна цел увеличаване на печалбата. Допълнителни стимули за т.нар. „бум” на лизинговите сделки са опростената и гъвкава процедура и мини-малните изисквания при предоставяне на до-пълнително обезпечение. Друго преимущест-во е възможността на лизингополучателя да разсрочи данък добавена стойност (ДДС). Това неминуемо води до значителни рискове за ли-зинговите дружества.

След този период лизинговият пазар започна да се свива, като за това не следва да се търси причина единствено в световната икономиче-ска криза. Част от лизинговите дружества пре-търпяха значителни загуби, тъй като към мо-мента на сключване на лизинговите договори с лизингополучатели - физически или юридиче-ски лица е липсвала оценка на платежоспособ-

ността им към този момент или съществуващи-ят риск не е бил оценен реално. Допълнителни загуби лизинговите дружества претърпяха по-ради некоректна или непълна индивидуали-зация на лизинговите активи или липса на та-кава, както и ненадлежно удостоверяване на физическото приемо-предаване на лизинговия актив, подлагащо целия състав на сключената сделка на последващ правен риск.

По данни на БНБ и Българската Асоциация за Лизинг най-голям пазарен дял към днешна дата има предоставянето на лизинг на машини и оборудване, както и на товарни и лекотоварни автомобили (всеки с по около 26% пазарен дял).

Рискове, пред които са изправени лизинговите дружества като финансови институции, се по-криват с основните банкови рискове, а имено:

Кредитният риск е основният риск в лизинго-вите дружества. Вземайки предвид световна-та икономическа криза, рискът за лизингови-те дружества се изразява в неспособността на клиентите да покриват своите задължения.

Проблемите, с които се сблъскват лизинговите дружества са следствие на липса на коректно управление и оценка на кредитния риск, воде-щи неминуемо до загуби за дружеството. Има случаи, в които оценка на риска на съответен клиент е правена само за определена експо-зиция или такава за над определен размер на сумата, с която ще бъде финансиран. В някои случаи такава оценка или най-малкото провер-ка и/или анализ на задлъжнялостта на потен-циалния клиент липсва.

ОДИТ АКАДЕМИЯ

Гергана Георгиева

ОДИТ НА РИСКОВИТЕ ПРОЦЕСИ В ЛИЗИНГОВИТЕ ДРУЖЕСТВА КАТО ФИНАНСОВИ ИНСТИТУЦИИ

Важно значение при оценката на кредитния риск има и анализа на репутацията на клиен-та, респ. доставчика: Познаваме ли достатъчно добре лицето с което ще влизаме в бизнес отно-шения - било то в качеството му на клиент или на доставчик? Има ли добра кредитна история, плаща ли си задълженията в срок (ако не, то какви са причините за това)?

Практиката познава много схеми за измама, свързани с недоставени активи от доставчици. Способ за предотвратяването на развитието на описаните схеми е регулярен анализ на съот-ветния доставчик, като се оценява дали този доставчик има възможността и платежоспо-собността да достави съответния актив, липс-ва задлъжнялост/ свръх-задлъжнялост, както и актуална и адекватна оценка на финансови-те показатели на съответния доставчик. Много фирми – доставчици не са имали необходими-те ликвидни средства да доставят лизинговите активи, което предопределя и извършването на последващи недобросъвестни действия от страна на доставчика, който в един бъдещ мо-мент изпада в неплатежоспособност. Липсата на ликвидност на доставчика има за последи-ца загуби за лизинговото дружество. В периода 2010-2011г. са разкрити и множество измами, свързани с източване на данък добавена стой-ност (ДДС).

В течение на годините органите на Министер-ство на вътрешните работи са разкрили и не-малко измамни схеми, свързани с лизинговани активи. Юридически лица са били регистри-рани единствено с цел участие в противоза-конна схема, влизайки в ролята на клиент или на доставчик. Те са внасяли минимална пър-воначална вноска, а след това прекратявали плащанията по сключения вече лизингов дого-вор. Междувременно автомобилите са били из-насяни в държави извън Европейския съюз, а юридическите лица-лизингополучатели биват прехвърлени на трето лице (в множеството от случаи лицето е неграмотно). Това трето лице няма представа, че е станало законен предста-вител на юридическо лице, което има сключен договор за лизинг с обекти – в повечето случаи това са луксозни активи. Именно поради тази причина е необходимо дружествата лизинго-датели да изследват внимателно свързаността на лицата, сключващи лизинговите договори – клиенти, доставчици и комисионери.

Идентификацията на актива и поддържането на пълен комплект от документи, доказващи собственост на дружеството лизингополучател върху лизинговия актив е един от най-важни-те фактори при оценка и анализ на кредитния риск. Непълната идентификация и индивиду-ализация или пълната липса на такива води до потенциална загуба за лизингодателя. Ли-зинговият договор се оказва необезпечен, тъй като не се знае съществува ли реално активът, в какво състояние е той, застрахован ли е или не. В последните години лизинговите друже-ства завишиха изискванията за регулярна ло-кализация на активите, контрол и навременно подновяване на застраховките на лизинговите активи.

Важно за управлението на лизинговите обекти е надлежното удостоверяване на физическото приемо-предаване на лизинговия актив между доставчика и лизингополучателя, както и ре-довната проверка на състоянието на актива.

Основният акцент по отношение на управление на кредитния риск в лизинговите дружества следва да бъде насочен към правилно иден-тифициране и постоянен кредитен мониторинг на клиентите. Управлението на кредитния риск следва да се извършва чрез регулярни анализи на кредитоспособността посредством одобрени правила, вътрешни процедури и специализи-ран софтуер.

Този риск е свързан с потенциален ликвиден риск за дружествата. Ликвидният риск подле-жи на контрол чрез следене и анализ на постъ-пленията по лизинговите договори и паричните потоци на едномесечна, тримесечна и годишна база с цел да се предотврати надвишаване на задълженията на дружеството над текущите му вземания.

Лизинговите дружества са подложени и на пазарен риск, изразяващ се основно в бързо-то овехтяване на лизинговите обекти, които са собственост на лизинговите дружества и съще-временно са основно обезпечение по тях.

Вземайки под внимание, че почти 30% от ли-зинговите обекти са транспортни средства или специфично оборудване, чиято реална стойност намалява драстично през първите от 1 до 3 го-дини от срока на договора за лизинг, то лизин-говите дружества следва да предвиждат и оце-няват своевременно потенциалните рискове за притежаваните от тях активи.

ОДИТ НА РИСКОВИТЕ ПРОЦЕСИ В ЛИЗИНГОВИТЕ ДРУЖЕСТВА КАТО ФИНАНСОВИ ИНСТИТУЦИИОДИТ АКАДЕМИЯ


Лихвеният риск в лизинговите дружества представлява риска от колебания в лихвените проценти. Дружествата следва да имат ясна по-литика за управление на лихвения риск с цел оптимизиране на собствените си приходи от лихви. Лизинговите дружества осъществяват това като минимизират лихвения си риск, под-държайки своите активи/пасиви с променлива лихва при близка база ( 1М/ 3М EURIBOR).

Предвид описаното по-горе и чрез използване на рисково-базиран метод за оценка, вътреш-ните одитори в лизинговите дружества е необ-ходимо да участват интензивно в процеса по минимизиране на основните рискове за друже-ството, заедно с отделните обособени звена и управляващите представители на дружеството.

Процеси, обект на постоянна оценка и одит в лизинговите дружества биха били:

1. Идентификация и анализ на кредитоспособ-ността на потенциален или съществуващ кли-ент или група от клиенти, свързани лица; фи-нансов анализ и анализ на дейността на нов клиент; регулярен мониторинг на съществу-ващ клиент;

2. Идентификация и анализ на финансовите по-казатели на доставчици и контрагенти;

3. Процес на одобрение и установени компетен-ции при одобрение съгласно съществуващите вътрешни правила и процедури на лизингово-то дружество;

4. Навременно и адекватно предприемане на действия спрямо клиенти, спрели финансо-вото обслужване на своите експозиции;

5. Мониторинг и реструктуриране на клиенти, преустановили финансовото обслужване на сключените от тях договори;

6. Действия, предприети по възстановяването на владението върху лизинговите активи;

7. Вторична реализация на активите;8. Анализ на процесите и идентификация на въ-

трешните за дружеството рискове; оценка на потенциални външни рискове с цел предо-твратяване на измами.

Лизинговите дружествата следва да инвести-рат в регулярно обучение на своите служители; външна и вътрешна оценка на ключови служи-тели, отдели и процеси.

Превенция на рисковете ще има в случаите на:

‣ Ефективни процедури, вътрешни правила и спазване на българското законодателство; ‣ „Принципът на четирите очи”; ‣ Автоматичен контрол, ограничаване на ръчни-те операции; ‣ Правилно и навременно документиране на процеса – одобрения, мотивирани решения, изчерпателно обосновани изключения; ‣ Осигуряване на „одитна следа”; ‣ Обучение на служители и повишаване на ква-лификацията; ‣ Регулярна оценка на риска на различни нива чрез: вътрешен одит, контролинг, проверка от съответното звено, външен одит; ‣ Идентифициране на основни процеси и присъ-щите им рискове;

Въпроси, на които трябва да отговаря всеки процес:

9 Съществуват ли вътрешни правила и процеду-ри, запознати ли са служителите с тях? 9 Описват ли правилно тези процедури съответ-ните процеси? Доколко може да се приеме, че те са ефективни? 9 Съобразени ли са тези правила с приложимо-то в съответната държава законодателство? 9 Надеждна и изчерпателна ли е представената на управителните органи на дружествата ин-формация? 9 Съществува ли вътрешен контрол за управле-ние на рисковите процеси и тяхната оценка? 9 Съобразена ли е организационната структура с нуждите на дружествата и описаните проце-си? 9 Оценяват ли се регулярно бизнес отношенията с трети страни (доставчици, консултанти, ко-мисионери… и др.) Може ли тяхната работа да бъде оценена като ефективна за дружеството?

ОДИТ НА РИСКОВИТЕ ПРОЦЕСИ В ЛИЗИНГОВИТЕ ДРУЖЕСТВА КАТО ФИНАНСОВИ ИНСТИТУЦИИОДИТ АКАДЕМИЯ

ПОЗИЦИЯ

Ваня ДоневаПредседател на Комисията за публичен надзор над регистрираните одитори

ВЪНШЕН ОДИТ VS ВЪТРЕШЕН ОДИТВзаимоотношения между вътрешния оди-тор и външния одитор. Ползване работата на вътрешните одитори при външен одит.

На последък одиторската професия придоби-ва все по-голяма популярност. Но, ако тряб-ва да сме честни, популярността на външ-

ния одит по-бързо набира скорост.

Все още вътрешният одит се приема като задъл-жение за организациите от публичния сектор и като излишен лукс за частните български ком-пании. Една от причините е, че мениджмънта не е обучаван достатъчно в ползите от вътреш-ния одит, а друга причина са самите вътреш-ни одитори, които не са достатъчно активни в доказване пред ръководството на ползите от дейността им. Ако вътрешният одитор е с добре развито умение за „пласиране“ на работата си, той печели доверието не само на ръководството на компанията, но и на външните одитори, кои-то биха могли да ползват работата му, с което да намалят разходите си.

Иначе казано, от начина, по който се възприема вътрешния одит, от мястото, което си е отвою-вал в контролната система на предприятието, зависи какви ще са взаимоотношенията между вътрешния и външния одитор.

Възможно ли е изобщо директното ползване на работата на вътрешните одитори при получаване на доказателства от външния одитор?

Отговор на този въпрос може да бъде потър-сен в МОС 315 /преработен/ “Идентифицира-не и оценяване на рисковете от съществени отклонения чрез получаване на разбиране за предприятието и неговата среда“ и в МОС 610 “Ползване работата на вътрешните одитори“, на който се основава МСВОИ 1610, приложим за външните одитори на организациите от пуб-личния сектор при извършването на финансо-ви одити. Изискване за ползване работата на вътрешния одит, за да се намали обхвата на одиторските процедури, които ще бъдат изпъл-нени пряко от външния одитор, няма. Външни-ят одитор решава до каква степен може да се довери на вътрешния одит. МОС 315 /прерабо-тен/ обяснява как ефективната комуникация между външните и вътрешните одитори би по-могнала външните одитори да се информират по-добре за предприятието и средата, в която


то функционира, както и при идентифициране-то и оценяването на рисковете от съществени отклонения. Външният одитор ще може в по-го-ляма степен да използва работата на вътреш-ния одитор, когато на базата на изпълнените от одитора процедури за оценка на риска е ви-дно, че в предприятието функцията „вътрешен одит“ е ефективна и обезпечена с ресурси, съот-ветстващи на големината на предприятието. В случай, че външният одитор реши да използва работата на вътрешния одитор с цел да намали времето на изпълнение или обхвата на одитор-ските процедури, тогава се прилагат изисква-нията на МОС 610 /преработен/.

За да определи дали и до каква степен може да се използва работата на вътрешния одитор, външният одитор следва първо да оцени функ-цията “вътрешен одит“ като оцени:

• Степента, в която организационния статут на вътрешния одитор, правилата и процедурите на изпълнение на функцията „вътрешен одит“ подкрепят обективността на вътрешния оди-тор;

• Нивото на компетентност на вътрешния оди-тор;

• Прилага ли се систематичен и дисциплиниран подход, вкл. контрол върху качеството.

Трите фактора трябва да се разглеждат самос-тоятелно и като съвкупност, защото често оцен-ката на един фактор не е достатъчна за заклю-чение, че работата на вътрешния одитор може да бъде използвана от външния одитор.

На следващо място трябва да определи естест-вото и обхвата на работата на вътрешния оди-тор, която може да бъде използвана с оглед ця-лостната стратегия на одита и одиторския план на външния одитор.

След като външният одитор направи всички съ-ществени преценки дали работата на вътреш-ния одитор може да бъде използвана за целите на одита и планира да я използва, той следва да го информира за това намерение с цел коорди-ниране на съответните им действия. От особено значение е дали са налице някакви ограниче-ния на вътрешния одит от страна на ръковод-ството при комуникиране на констатациите с

външния одитор. Естеството и обхватът на оди-торските процедури, в случай че се използва работата на вътрешния одитор, се определят в зависимост от оценката на риска от същест-вени отклонения и на трите фактора, посочени по-горе, като одиторските процедури следва да включват и повторно изпълнение на част от ра-ботата на вътрешния одитор. Това означава не-зависимо изпълнение от страна на одитора на процедури, извършени от вътрешния одитор, с цел проверка и потвърждение на заключенията му. Не е необходимо повторно изпълнение във всяка една област, а по-скоро в областите с по-висок риск от съществени отклонения.

В случай, че външният одитор оцени рисковете за качеството на работата на вътрешния одитор като значителни, тогава той би следвало да не използва каквато и да е част от работата му, за-щото изключително негова е отговорността за изразеното одиторско мнение.

При извършено изследване във връзка с на-учно-изследователски проект на тема „Хар-монизиране на системата за вътрешен одит в България с Международните професионални практики по вътрешен одит (IPPF)“, финанси-ран от УНСС на въпроса „Как оценявате взаи-модействието между вътрешните и външните одитори на организацията?“, поставен на ръко-водителите на организации от публичния сек-тор най- висок е процентът – 74.5 на считащите, че има такова взаимодействие. Само 6.4 на сто считат, че такова няма.

В изследването същият въпрос е поставен и към вътрешните одитори на организациите от публичния сектор. Тук по-висок процент счи-тат, че определено или по-скоро няма такова взаимодействие - 12.8 срещу 59.6 на сто, които са на обратното мнение. И в двата случая обаче, преобладава мнението за наличие на взаимо-действие между вътрешните и външните оди-тори.

За реалния сектор не ми е известно у нас да е правено проучване на подобен въпрос. Такова би могло да се инициира от ИВОБ. Резултатите биха били интересни.

Известно е, че Американската асоциация по счетоводство е направила изследване на ефек-та на директната помощ на вътрешния одит. Очакванията са били, че ще има отрицателен ефект върху дейността на външния одит, но в последствие анализите показват, че помощта на вътрешния одит намалява разходите за одит и повишава ефективността на работата. Резул-татите са много уместни предвид кратките срокове и натиска върху одитните възнаграж-дения. Това е в Америка, а в Европа по-широко застъпено е мнението, че директната помощ на вътрешните одитори противоречи на изисква-нията за независимост, заложени в Етичния кодекс, тъй като изискването е одиторите да са независими от клиентите си. Нещо повече, независимият регулатор на Великобритания – Съветът за финансово отчитане, забрани през 2013 г. директното подпомагане от вътрешните одитори, като гаранция за независимостта на одитора и качеството на одитите.

Преработеният вариант на МОС 610 “Ползва-не работата на вътрешните одитори“ определя изискване външните одитори да правят про-верки и предварителни тестове на работата на вътрешните одитори преди да използват помо-щта им, т.е. директното ползване работата на вътрешните одитори не е разрешено.

Безспорни са ползите от едно взаимодействие между вътрешния и външния одит – по-добро разпределяне на ресурсите за одит и повишава-не на ефективността, намаляване на тежестта от одитите върху одитираните предприятия и по-полезни препоръки към ръководството.

Дали, в кои области и до каква степен да се ползва работата на вътрешния одитор зависи много от обективността и компетентността му. За публичния сектор обективността в голяма степен може да се счита за налична, тъй като функцията вътрешен одит е установена със закон, с уговорката, че този факт сам по себе си не е достатъчен. Обективността и компе-тентността трябва да се разглеждат в тяхната взаимовръзка. Поддържането на висока компе-тентност е лична отговорност на всеки одитор. Затова всички усилия в тази посока са оправда-ни и си заслужават.

ВЪНШЕН ОДИТ VS ВЪТРЕШЕН ОДИТПОЗИЦИЯ ВЪНШЕН ОДИТ VS ВЪТРЕШЕН ОДИТПОЗИЦИЯ


ПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

Ръсел А. Джаксън

ПЪТЯТ НА РВОМакар да произхождат от много различна среда, високо ефективните РВО имат много общо помежду си.

Пътят до длъжността „ръководител на въ-трешния одит“ (РВО) е уникален – като пръстов отпечатък или снежинка. Всеки

има индивидуална отправна точка от спек-търа на личния опит и определена цел като крайна точка от кариерното развитие, макар че те може да се променят поради обстоятел-ства, неподвластни на личния контрол на РВО. Професионалното израстване се характеризи-ра също с многообразна тематична специфика – някои РВО започват като щатни одитори или се включват в одитни програми на ротационен принцип, а други са заемали длъжност в об-ластта на финансите или счетоводството. Освен това всеки извървява своя път при своеобраз-ни условия, било то като одитор в едночленно одитно звено на малко дружество или като ръ-ководител на мащабен отдел за вътрешен одит, обхващащ множество корпоративни единици в световен план. Въпреки възможните различия, пътуването до длъжността има общи елементи.

Всички образцови РВО например могат или се научават да общуват отлично. В същността си вътрешният одит е функция, която изисква от практикуващите професионалисти да разби-рат нуждите на заинтересованите страни и да им помагат да проумеят последиците от док-ладваните пред тях резултати. Гъвкавостта и адаптивността също имат определящо значе-ние. Вътрешният одит се променя, а корпора-

тивните очаквания към него непрестанно нара-стват. Казано накратко, РВО трябва да са ловки и напредничави в изпълнението на мисията на вътрешния одит дори когато се изменят общи-те условия, ръководещи ежедневната дейност. Това означава също, че образцовите РВО се гри-жат за поверените им екипи. Добрият подход към длъжността на РВО е многокомпонентен; сформирането на екип, приобщаването на най-добрите професионалисти и – когато е целесъ-образно за кариерното им израстване – страте-гическото разполагане на вътрешни одитори със специализирани умения из цялата органи-зация, са компоненти от критическо значение.

Комуникация

Поради своя консултативен характер вътреш-ният одит се свежда основно до комуникация. Ръководителите на вътрешния одит трябва об-щуват добре със своите екипи, защото в проти-вен случай няма да се свърши никаква рабо-та; ако не общуват с корпоративните единици, няма да има одит; а ако не могат да общуват със заинтересованите страни, какъв би бил смисъ-лът от одит, чийто резултати са неизползвани факти и цифри, наподобяващи повече сурови данни, отколкото ценна информация, от която организацията да се възползва, за да определи своя бъдещ ход?

„Комуникацията има първостепенна роля“, от-белязва Кристи Уд, главен вътрешен одитор в денвърското енергийното дружество „QEP Resources“. След това добавя: „Макар да е важно да споделям информация с моя екип и да съм наясно със статуса на проектите и евентуални-те опасения, свързани с тях, не по-малко важно е да опозная хората, с които работя.“ Формите за общуване в нейния отдел включват седмични срещи с ръководството, месечни работни сре-щи на екипа и редовни индивидуални срещи. „Някои колеги съвсем охотно се отбиват по своя инициатива, но за други са нужни официално насрочени срещи“, обяснява тя.

Важно е към тези въпроси да се подхожда ефек-тивно, особено в големите организации. Може да се наложи да усвоите стила на управление, който изисква на вниманието на ръководството да се свеждат само отклоненията (принцип за намеса на ръководството в изключителни слу-чаи), като използвате правилните мерки и спо-соби за отнасяне на въпросите до по-висшесто-ящите. В противен случай РВО може да затъне в ежедневните дреболии и да загуби поглед вър-ху цялостната картина.

„Експедитивното разрешаване на изключител-ните случаи е критично – иначе целият екип може да тъпче на едно място“, казва и Кевин МакКейб, наскоро пенсионирал се РВО на „Wells Fargo“. Да можеш да прецениш какво заслужава намесата на РВО е само първата стъпка; пре-успяващият РВО знае също, че от съществено значение е ефективната намеса. МакКейб пре-поръчва провеждането на редовни срещи със старши експерти от ръководния ешелон и с оперативни служители, които ще помогнат на одитния екип да се концентрира върху злобо-дневните въпроси.

Несъмнено е обаче, че и най-добронамерена-та комуникация ще претърпи пълен крах, ако слушателят не желае да слуша. Както отбеляз-ва МакКейб, понякога споровете се свеждат до преценката на РВО и „когато се стигне дотам, човек трябва да може да гласува доверие“. Той се описва като консенсусен ръководител, който понякога се възпира малко преди вземането на решение, за да „провери за скрити мини“. Tой препоръчва на РВО ясно да обявят своята пози-ция и да пояснят на екипа дали просто сонди-рат мнения или пък са готови да вземат дадено решение, като се интересуват по-скоро от общи-те щрихи. „Иначе хората са склонни да подлагат всеки случай на дискусия“, пояснява МакКейб. „Установих, че трябва обмислено да обявявам позицията си.”

Екипност

Успешните РВО не дерзаят сами – изграждане-то на екипност, умелата работа с хора, а често пъти и политиката на „открити врати“ може да бъдат основополагащи бродове към успешна-та професионална реализация. Така например обемът от данни, с които повечето звена за въ-трешен одит са засипани, понякога се оказва твърде обременяващ, но независимо от това способният РВО се стреми да узнае подробно-стите. „Изключително важно е в екипа си да разполагате със специалисти, които да могат да превръщат данните в информация,” подчертава МакКейб. Според него те трябва да извършват достатъчно проверки, за да гарантират най-малко акуратност и задълбоченост.

Според Дейвид Кюри, вицепрезидент и главен одитор на „WellCare Health Plans Inc.“ (Тампа, Флорида), членовете на екипа трябва да чувст-ват, че ги изслушвате с готовност и внимание. „Полагам усилия да опозная хората си“, споделя той. „Личната връзка помага и на двете страни да работят по-добре.“ Освен това той целенасо-чено се старае да обсъжда със служителите си както добре функциониращите аспекти, така и евентуалните промени, които биха подобрили работната среда или процесите. „Би било глу-паво от моя страна да смятам, че хрумналите на мен идеи са най-гениалните“, добавя той. „Колективните способности на екипа ми са ог-ромни – от мен зависи да извлека най-добрите идеи от всеки от нас, за да преуспява целият отдел. Не може да бъде ефективен РВО, който работи заключен в канцеларията си по цял ден.“

ПЪТЯТ НА РВОПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

1 Тази статия е публикувана с разрешение от списание “Internal Auditor”, Февруари 2014, издание на The Institute of Internal Auditors, Inc., www.theiia.org. и е преведена на български от английски език.

This article was reprinted with permission from the February 2014 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., www.theiia.org. and has been translated from English to Bulgarian.


• Отлични умения за общуване, включи-телно изясняване на ролята, която екипът играе в реализирането на визията на въ-трешния одит, способност за общуване с одитния комитет и ръководството, както и ясна представа за начина на формули-ране на одитните заключения.

• Способност да се вникне в цялата органи-зация и свързаните с нея съществуващи и нововъзникващи рискове.

• Задълбочено разбиране на бизнес среда-та.

• Адаптивност. • Новаторство. • Привличане, развитие и задържане на способни кадри и пренасочване на служи-телите към други функционални области от организацията, където те да могат по-добре да осъзнаят своята роля за успеха на организацията.

Грег Пеликано, вицепрезидент на отдел „Мо-ниторинг и изследване на глобалното съответ-ствие“ на биофармацевтично дружество „Shire“ (Уейн, Пенсилвания), подчертава като важно качество отзивчивостта – към всички членове на екипа, независимо от ранга им. Екипност се гради не само чрез разговори на теми с профе-сионална насоченост. „Още нещо, тъй като зве-ното ни е малко, давам възможност на всички мои колеги да работят заедно с мен в различ-ни ангажименти“, споделя той. „По този начин мога да установя непосредствена връзка с це-лия екип и да способствам за по-доброто разби-ране на личната ми философия и подход.“

Вицепрезидентът на отдел „Корпоративни ус-луги за одит и предоставяне на увереност“ на „Merck“ (Уайтхауз Стейшън, Ню Джърси) Джон Карол смята, че способният лидер и будител на екипен дух знае кога да отстъпи. „Аз съм ак-тивен радетел за развитието на служителите по начин, който ги прави полезни за организа-цията“, пояснява той. „Ако открием правилните хора, ще мога да разчитам на помощта им при извършването на работата в отдела, а след това те ще отнесат натрупаните познания на други нива в организацията.”

Вникване в цялостната картина

Друга характеристика на образцовите РВО е разбирането на цялостната среда, обуславяща рисковете в организацията. „Успехите насоч-ват организациите (и ръководния им ешелон) да поемат курс, с който да изпреварят риско-вете поне малко“, казва Катлийн Сейнт Луис, вицепрезидент, финансист и одитор в „Eli Lilly & Co.“ в Индианаполис. „Същността на вътреш-ният одит“, добавя тя, „е да анализираме от-делни транзакции, извършени в миналото, но и да подпомагаме организациите да разберат къде се крият нововъзникващи рискове, било то конкретно за съответната индустрия или в най-общ план (например киберсигурност). Освен да способстваме за разбирането, наша задача е също да улесним вземането на бизнес решения от гледна точка на риска и контрола“.

Конкретен пример от бранша, в който работи Катлийн, са клиничните изпитвания. „Профи-лът на риска при извършването на клинич-но изпитване на вътрешнофирмено равнище, което предполага участието на служители на „Lilly“, ще бъде съвсем различен от този при ангажирането на външно дружество, което да ръководи изпитването от наше име”, пояснява Катлийн. Това мнение се споделя и от г-н Пе-ликано, според който метриката е безспорно важна, но успехът на РВО се предопределя най-вече от генерираната от одитния екип добаве-на стойност в полза на организацията, включи-телно одитния комитет. „Възможно е отделните организации да определят понятието стойност по различен начин“, добавя той, „но то винаги е тясно свързано с основните отговорности за предоставяне на увереност и на проактивни съ-вети и препоръки относно риска, дейностите за намаляването му и възможностите за подобря-ване на процесите.“

Стратегически взаимоотношения

За преуспяващите РВО е характерно също, че приемат помощ от одитния комитет. Мартин Койн, председател на комитета по възнаграж-денията и член на одитния комитет в дружество за интернет съдържание „Akamai Technologies“ (Кеймбридж, Масачузетс), твърди, че неговите ко-леги трябва да подпомагат РВО, като проявяват голяма взискателност към вътрешния одит. „Мо-жем да подпомагаме РВО, като установим изклю-чително високи очаквания“, казва той. „Освен това тези очаквания трябва да бъдат много ясни. Мо-жем също да изискваме независимост на вътреш-ния одит.“ Според него одитните комитети трябва да дават обратна информация след всяка среща, и то на най-високо равнище, обикновено чрез своя

председател. Това е добър начин за „непрекъс-нато подобряване на взаимодействието между одитния комитет и РВО“. Мартин Койн подчерта-ва като още по-важна необходимостта одитният комитет да засвидетелства явна подкрепа по от-ношение на вътрешният одит – не само на думи, но и в бюджетно изражение. „Ние трябва да пре-дадем това послание на ръководството, главния финансов директор и РВО, така че да бъде абсо-лютно ясно на всички, че одитният комитет вяр-ва във вътрешния одит и подкрепя работата му“, пояснява той.

Мартин посочва, че от гледна точка на одитния комитет успехът на РВО се свежда до три най-до-бри практики. Една от тях е „когато вътрешният одит изготвя годишен план и докладва относно използвания от ръководството контролен способ за проследяване на коригирането и отстранява-нето на несъвършенства“. Опитът му показва, че винаги има неуредени въпроси, които изискват предприемане на действие, и наличието на кон-тролен способ за проследяване на напредъка е от голяма полза. Той предлага също да се провеж-дат вътрешни, индивидуални срещи между РВО и одитния комитет, с което да се гарантира, че пред-ставянето на коментари пред одитния комитет от страна на РВО не е възпирано от ръководството. Освен това по този начин членовете на одитния комитет могат първи да чуят за проблемите. Койн пояснява, че одитните комитети желаят РВО да работят добре с външни одитори и изтъква: „Тези взаимоотношения са абсолютно критически“. Не-обходимо е доверие, както и допълващо се тест-ване на контролните механизми.“

Образцовите РВО имат гарантирано място на дис-кусионната маса и се възползват от този си достъп, за да изразят позициите си и да образоват заин-тересованите страни в организацията. „Не смятам, че успехът на РВО следва да се определя от броя изпълнени ангажименти или отзивите на служи-телите“, твърди Артуро Рейес Фигуероа, предста-вител на „Grupo Aeroportuario del Pacífico SAB de CV“ в Гуадалахара, Мексико. По-добро мерило за успеха на РВО е участието му в управителен съвет на корпоративно равнище и сътрудничеството с други старши ръководни кадри. Джон Карол също подчертава, че за РВО е „важно да поддържат своята гласност в организацията и корпоративна близост с всички страни, чиято роля е от критиче-ско значение — както и да установят кои са подхо-дящите страни, чрез които отправените послания със сигурност да добият реално измерение“.

ПЪТЯТ НА РВОПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ ПЪТЯТ НА РВОПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

• Задълбочени технически познания и спо-собности.

• Способност да ръководи и направлява цялата организация, не само вътрешния одит като функционална единица.

• Способност да оказва влияние върху ръ-ководството и одитния комитет.

• Аналитично мислене. • Страст към вътрешния одит. • Нагласа за непрекъснато учене. • Постоянство. • Загриженост за околните. • Далновидност.

• Засвидетелстване на признателност и благодарност за положените от екипа уси-лия, особено за „дерзаенето пряко сили“.

• Трезвомислещ и градивен скептицизъм. • Готовност за продължителна работа. • Запазване на обективност при всякакви обстоятелства.

• Честност. • Почтеност. • Кураж за докладване на важни въпроси пред одитния комитет.

• Усещане за надвиснала криза. • Независимост.

Общи качества на образцовите РВО


Пеликано споделя тази идея и допълва: „Не-зависимо колко непоклатимо е вашето одитно звено, не позволявайте на самодоволството да се намърда в него. Нужно е да се проявяваме еднакво добре като търговци [на идеи] и като вътрешни одитори.“

Печелившата комбинация

Какво още е важно за величавостта на РВО? Спо-ред преуспяващите РВО – изобилие от качества, умения и дейности. Една от предпоставките за успех според МакКейб е техническото познание. „Организациите често искат да използват ролята на РВО като инструмент за развитие“, пояснява той. „Нищо обаче не обрича на крах един силен отдел за вътрешен одит така, както може да го стори ръководител от сферата на оперативната дейност, който в действителност не разбира ро-лята на вътрешния одит.“ МакКейб препоръч-ва също ясна визия за отдела. „Ако РВО не знае какъв иска да бъде поверения му отдел, то кой тогава?“. Той призовава към готовност да се ра-боти до късно и по-важното целенасочено да се засвидетелстват благодарности и признание на служителите за положените усилия, особено за „дерзаенето пряко сили“. Това, което според Сейнт Луис е от изключително голямо значение, е човек да е способен да ръководи и направлява сама-та организация, а не само вътрешния одит като нейна функционална единица. „Необходимо е да оказвате влияние върху ръководството и одитния комитет на организацията“, изтъква За Фигуероа пък важно качество е способността „да се пред-чувства надвиснала криза“.

Печелившата комбинация според Кристи Уд включва страст към вътрешния одит, нагласа за непрекъснато учене, постоянство и загриженост за останалите, а според Кюри – запазване на обек-

тивност при всякакви обстоятелства. Кюри споде-ля: „Честността и почтеността са жизненоважни и така вкоренени в нас като вътрешни одитори, че според мен те следва да се окачествят като фун-даментални изисквания. Би било невъзможно за РВО да постигне ефективност, ако той бива въз-приеман като нечестен или непочтен.” Според него образцовите РВО се нуждаят също от кура-жа да докладват на одитния комитет всички съ-ществени въпроси и рискове. Според Пеликано критичен за успеха на РВО аспект е способността му проактивно да предоставя бизнес съвети и препоръки за подобряване на оперативната дей-ност и контролната среда, а според Карол – адап-тивността и новаторството. „Никога няма да бъда одитор, който просто попълва чеклисти“, казва той. „Ръководените от мен екипи са обучени да се адаптират към всяка среда, в която се потапят.“ Койн обръща внимание на ползата от „трезвомис-лещия и градивен скептицизъм“, който е важен за всяка проучвателна функция.

Личен път

Според практикуващите професионалисти оп-ределението за успех (за образцов РВО) е много-компонентно – качество на извършената работа; коректност, щателност и релевантност на изгот-вените доклади; целесъобразност на приложе-ните доказателствени документи. То предполага фокус върху разбирането и ефективното оповес-тяване пред подходящите заинтересовани лица на свързаните с дейността рискове, пред които е изправена организацията, и на съществуващите надеждни възможности за тяхното управление. Не на последно място то със сигурност отразява същността на ръководения от РВО екип, включи-телно качеството на привлечените и задържани-те на работа вътрешни одитори.

Печелившата комбинация обаче е уникална – всеки РВО има своеобразен личен подход към начина, по който да бъде (възможно) най-до-брия професионалист. Успехът се предопреде-ля от траекторията между отправната точка и желаната крайна точка. А този път е различен и индивидуален за всеки РВО.

Ръсел А. Джаксън е писател на свободна прак-тика, установен в Западен Холивуд, Калифор-ния.

Превод: Веселина Хоторн

ПЪТЯТ НА РВОПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

ПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

Тим МакКолъм

ОДИТ СЪС СКОРОСТТА НА ТЕХНОЛОГИИТЕ Спецодиторите в „Cisco“, „Google“ и „LinkedIn“ прилагат новаторски практики, за да удовлетворят изискванията на непрекъснато променящата се среда, в която клиентите им извършват дейност.

Без одитен план. Без официални одитни до-клади. Докладване на констатациите чрез нотификации за софтуерни „бъгове“. Тези

и други идеи разбунват духовете по време на наскоро провела се панелна дискусия в рамки-те на общата конференция за ръководни кадри в областта на вътрешния одит, организирана от „The IIA“ в Орландо.

Нестандартното мислене в условията на не-прекъснати промени е ежедневие за най-нова-торските компании от Силиконовата долина, в които битува нагласата, че те трансформират света. Лиза Лий, директор на вътрешния одит на „Google“, споделя, че компанията насърчава служителите да бъдат „въодушевени до неудоб-ство“ в работата си. „Това може да се постигне само ако човек поставя под съмнение статукво-то и гледа на нещата по различен от общопри-етия начин“, пояснява тя.

Лий и колегите й вътрешни одитори от компа-ниите световни първенци в областта на техно-логиите и интернет комуникациите служат на организации, които са инициатори на безконеч-ни промени. Според тях звената за вътрешен одит трябва да се приспособяват към бързите

темпове и да изготвят нови общи положения от-носно начина за работа с рисковете и предоста-вянето на увереност. Одиторите пък трябва да разработват свои собствени иновации.

Разрешаване на проблеми

Да ръководи одитния екип в „Google“ за Лий оз-начава да работи в условията на „организиран хаос“. Налага й се да се приспособи към тази среда, и то в немалка степен, защото темпове-те на промените и на корпоративния растеж в организациите, за които работи преди това („KPMG“, „SAP Consulting“, „Cisco“ и „OpenTV“), са много различни. „Когато човек постъпи на рабо-та тук, учи не само за процесите и продуктите на „Google“, но и се приспособява към културата и начина, по който се извършва дейността“, по-яснява Лий, привлечена в екипа на компанията през 2004 г. „Това е като да пиеш вода от пожа-рогасителен маркуч“.

За да се адаптират, одиторите трябва да бъдат също толкова далновидни и напредничави в мисленето си, колкото са останалите служите-ли. По тази причина на одиторите от нейния

1 Тази статия е публикувана с разрешение от списание “Internal Auditor”, Юни 2014, издание на The Institute of Internal Auditors, Inc., www.theiia.org. и е преведена на български от английски език.

This article was reprinted with permission from the June 2014 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., www.theiia.org. and has been translated from English to Bulgarian.


40-членен екип понякога се налага да реви-зират допусканията си относно рисковете и своята роля по отношение на тях. „Най-голяма-та разлика е в начина, по който „Google“ поема риск“, споделя Лий . Стремежът на компанията да бъде съзидател на трансформиращи света продукти и услуги „не хармонира с неохотата да се поема риск“.

В „Google“ управлението на риска не се свеж-да до елиминирането на риска – подхожда се към активно управление, насочено към по-ложителната страна на риска. Вселената на риска в „Google“ обхваща финансови рискове, рискове за нормативно несъответствие и опе-ративни рискове, които са абсолютно сходни с тези на другите компании, но за „Google“ има и рискове, възникващи от пробивните техно-логии, които разработва. Екипът на Лий тряб-ва да съзнава, че одитните препоръки относно риска може да доведат до съществени алтер-нативни разходи за компанията. Според Лий „повечето организациите проявяват по-малка склонност да поемат рискове“ и се опитват да ги намалят, вместо да обмислят дали могат да толерират даден риск, който противоречи на техните бизнес цели. Като се има предвид, че „Google“ разработва революционни продукти, логично е да има неизвестни нам рискове, но това не трябва да ни безпокои.“

Лий определя ангажиментите за вътрешен одит въз основа на инициативите на „Google“, защото работата в тази компания е работа във фабрика за идеи. „Google“ непрестанно разработва нови технологии – едни от най-актуалните са „Google Glass“ и проект за създаване на самозадвижва-щи се автомобили. За всяка от тези инициативи одитният екип коментира с ресорното бизнес звено целите, обхванатите процеси и рисковете от неуспех. В хода на изпълнение на съответ-ната инициатива одитният екип може да поеме по-скоро консултантска роля, като предлага ва-рианти за управление на рисковете. Това изис-ква силен дух на сътрудничество и насочен към решаването на проблеми подход в одитната ра-бота с акцент върху концепцията „без изнена-ди“, уточнява Лий. „Когато сградата гори, човек няма да окаже помощ никому, ако стои встрани и докладва, че сградата гори. Полезно би било да се определят възможните начини за потуша-ване на пожара.“

Новата стара компания

Адаптацията на Лий в „Google“ е фаза, през коя-то Том Остин преминава в момента. Назначен в компанията за мрежово оборудване „Cisco Systems Inc.“ през 2013 г. на длъжност вицепре-зидент по управление, риск и контрол, той из-вършва надзор върху дейността на 50 вътрешни одитори в цял свят. Без да се стига до крайно-сти, културата в „Cisco“ е по-силно ориентирана към продажбите и постигането на консенсус в сравнение с ориентираната към същинска-та дейност култура на предишното му работ-но място – производител на полупроводници „Applied Materials Inc.“. Остин признава, че „не е лесно човек да разбере как може да бъде най-ефективен в тази среда. Отначало не съзнавах това напълно, но впоследствие проумях, че ще ми се наложи да възприема различен подход“.

Макар „Cisco“ да е компания с вече добре уста-новени позиции, според Том Остин тя подхожда към бизнеса така, сякаш все още е новостарти-раща организация. Неотдавна обаче ръковод-ството привлича в екипа си кадри като Остин, за да подпомогне съзряващата компания да внедри по-добри бизнес процеси. Остин обуча-ва ръководния ешелон в областта на вътрешния контрол. „Съзряващата компания се нуждае от по-голяма ефикасност, а тя може да се постигне чрез установяването на по-голяма дисциплина около процесите“, пояснява той.

ОДИТ СЪС СКОРОСТТА НА ТЕХНОЛОГИИТЕ ПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

Поставянето на процесите под контрол става още по-важно за „Cisco“, след като организация-та извършва промяна, разтърсваща из основи нейния бизнес модел. Компанията наскоро обя-ви, че ще инвестира 1 милиард щатски долара през следващите две години, за да разработи бизнес дейност за обслужване в облак. Вместо да продава самостойни рутери и суичове, както и видео- и уеб-базирани конферентни връзки, „Cisco“ ще предоставя тези технологични реше-ния като услуга. „Ако целта на компанията е да премине към работа в облак, то предизви-кателството пред вътрешния одит се свежда до въпроса, как организацията ще извърши това“, коментира Остин.

За дейността като доставчик на подобни тех-нологични решения са присъщи нови рискове, особено от гледна точка на сигурността на да-нните. Друг проблем възниква от обстоятел-ството, че търговският екип, инфраструктурата и процесите на „Cisco“ гравитират около произ-водството и продажбите, отколкото около пре-доставянето на технологични решения. „Ние ще анализираме различните процеси, внедрени за целите на новия бизнес модел, и ще опитаме да оценим дали те са заложени правилно“, обясня-ва Остин.

Усещане за неотложност

„LinkedIn“ е по-малка от „Cisco“ и „Google“ ком-пания, но перспективна и преминала новостар-тиращата фаза. Въпреки че акциите й вече се търгуват на фондовата борса, социалната мрежа продължава да се разраства като но-вопрохождащ бизнес. Темповете са забързани, с натрапчиво усещане за неотложност според Индер Гулати, ръководител на вътрешния одит на „LinkedIn“. Той е привлечен в организацията през 2011 г., за да допринесе с натрупания във „Visa“ и „PricewaterhouseCoopers“ професиона-лен опит и подпомогне сформирането на екип за вътрешния одит. “Очакванията към вътреш-ния одит се концентрират основно върху доба-вянето на стойност“, отбелязва той.

За ръководения от Гулати 12-членен одитен екип това предполага тясно сътрудничество с ръководството и бизнес звената, за да се вне-дрят процеси, контролни механизми и системи, които могат да се мащабират с нарастването на

дейността на компанията в световен план. Така например, когато „LinkedIn“ влиза на пазара в нова държава, вътрешният одит трябва задъл-жително да разбере участващите в процеса технологии, законодателните изисквания и из-искванията, свързани с нормативното съответ-ствие, финансовите насоки и други специфич-ни за съответния пазар въпроси. „От решаващо значение е да постигнем добро разбиране за бизнеса и за евентуалните слаби брънки, които може да породят проблеми“, уточнява той.

Не по-малко важно за вътрешния одит е да изгради стабилни взаимоотношения със за-интересованите страни и да предлага „добре балансирана комбинация между услуги за предоставяне на увереност и консултантски ус-луги“. Вътрешният одит си сътрудничи интен-зивно и с одитния комитет за целите на теку-щия мониторинг на рисковете и разрешаването на проблеми. „Не спираме да преразглеждаме определените от нас фокусни области, за да на-маляваме риска в реално време“, казва Гулати. „Това означава, че оказваме подкрепа на биз-неса, когато и където помощта е наистина от значение.“

Да планирам или да не планирам?

Този въпрос ни връща към срещата на гилди-ята в Орландо, на която Гулати и Лий споделят с колегите си, че нямат годишен одитен план. Гулати обяснява, че годишните планове бързо губят актуалност. Според неговите наблюдения „бизнесът се променя толкова бързо, че трудно можем да приведем в завършен вид плана за вътрешен одит за цялата година“. Вместо това отделът за вътрешен одит на „LinkedIn“ се до-питва до ръководството и бизнес звената, за да идентифицира рисковете и други актуални въ-проси, и въз основа на това определя одитните проекти за следващото тримесечие. Тези одити трябва да са строго съгласувани със стратеги-ческите цели на „LinkedIn“, казва той.

Въпреки че екипът за вътрешен одит на „Google“ няма годишен план, Лий веднага пояснява, че все пак има определена структура. „Не става дума за това, че не планираме“, пояснява тя. Планът обаче по-скоро бива видоизменян във времето. Лий поддържа актуален списък от потенциални одити, но същинското планиране



ОДИТ СЪС СКОРОСТТА НА ТЕХНОЛОГИИТЕ ПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ ОДИТ СЪС СКОРОСТТА НА ТЕХНОЛОГИИТЕ ПРОГРЕС ЧРЕЗ СПОДЕЛЯНЕ

3 Department of Defense (DoD)

се извършва текущо и се предопределя от ос-новните тематични рискове. Всяко тримесечие Лий и одиторите от екипа й оценяват различ-ните инициативи на „Google“ и съгласуват с ръ-ководството избора на онези от тях, на които е нужно да се обърне внимание. Тъй като обаче средата непрекъснато се променя, вътрешният одит също трябва да прояви достатъчно гъвка-вост да се справя с въпросите, които внезапно стават приоритетни.

Одитното планиране е особено сложно в „Cisco“ поради комплексната матрична структура на организацията, която има различни оператив-ни подразделения и национални дейности в 160 държави. Остин посочва, че дори при на-личието на голям одитен екип не е възможно да се одитира всичко. За разлика от „LinkedIn“ и „Google“ отделът за вътрешен одит на „Cisco“ има годишен одитен план, но Остин го прера-ботва на тримесечие. Отделът извършва шест одита на година, всеки от които продължава около 13 седмици, както и 10 регионални оди-та годишно. Проявяваната селективност дава възможност на отдела да поема консултантски проекти (например извършването на преглед на дизайна на нови процеси, системи или при-ложения) и да разглежда по-общи, свързани с контрола въпроси, сведени до вниманието им от вътрешните следователи. Остин обяснява следното: „Ще възникне проблем и ние иска-ме да сме под ръка, за да окажем подкрепа на бизнеса. Просто в момента не знаем какъв ще е този проблем.“

Одитори новатори

Макар да трябва да се адаптират към проме-ните в новаторските компании, самите одитори също са двигатели на иновации. Както може да се очаква, одитните звена мащабно използват технологии.

В „Cisco“ информационните технологии са ин-тегрирани във всички одитни ангажименти. Екипът за разследвания към отдела е разрабо-тил свое собствено приложение за аналитична работа с данните, чрез което се търсят коре-лации в масивите от различни изходни данни на дружеството като командировки, отчитане на разходите, човешки ресурси и снабдяване.

Одитният екип търси аномалии в данните – на-пример отчитане на служебни разходи, докато служителят е в отпуск, или брутни маржове в приложението за снабдяване („quote-to-collect“), които попадат под прага, за който се е изисква-ло одобрение. „Хубавото на данните е, че може да се правят извадки на 100% от популацията. След това може да се организира целева извад-ка на популацията в области, в които сме откри-ли аномалии, да са провери къде точно може да съществуват проблеми и да се установи дали те са системни за дадения тип транзакция.“

В същия порядък отделът за вътрешен одит на „Google“ се възползва максимално от свои-те познания в областта на ИТ и от присъщия за компанията експертен опит. Лий отбеляз-ва, че „данните са всичко в „Google“. Клиенти-те на одитните ангажименти „искат да видят данните, за да вземат решение. Това е заложе-но в тяхното ДНК“. Одиторите в „Google“ трябва да могат да работят в тясно сътрудничество с клиенти, които са инженери на високотехноло-гични системи, и задължително да разполагат с необходимите експертни познания, за да раз-берат техния софтуерен код. „На одитора са му необходими задълбочени познания, за може да проведе разговор с такива експерти и да приеме с доверие, но да провери и тества чрез предизвикателство приетата от тях позиция“, уточнява тя.

Съобщаване на бъговете

Най-уникалната иновация на вътрешния одит в „Google“ се отнася до одитното докладване. В миналото одиторите представяха своите кон-статации в самостоятелни доклади, но се уста-нови, че бизнес звената трябва впоследствие да съпоставят констатациите и да ги добавят към собствения си дневен ред от задачи за изпълне-ние. Както се случва в повечето технологични компании, инженерите в „Google“ обаче са свик-нали да разглеждат проблемите или да правят заявки, като попълват автоматизирани докла-ди относно „бъгове“.

Преди две години екипът за ИТ одит на „Google“ предлага докладите относно „бъгове“ да се из-ползват и за представянето на одитни конста-тации. Системата за обработване на бъгове

предава констатациите на съответното бизнес звено и изпраща автоматични напомнителни съобщения, че проблемът все още не е разре-шен. Най-големите предимства са експедитив-ността и използването на вече съществуващ ра-ботен инструмент за приоритизиране. „Веднага щом е установен проблем, той бива въвеждан в системата“, обяснява Лий. „Не трябва да се чака издаването на доклад, а на отговорниците за съответните процеси не се налага да управля-ват отделен списък от заявки“.

Предвид успеха на докладите относно „бъго-ве“ екипът на Лий вече поставя под въпрос ползата от традиционните одитни доклади. До неотдавна вътрешният одит продължава да изготвя подробен доклад, допълван от презен-тация за одитния комитет, ръководството или съответното бизнес звено. Лий подозира, че в повечето случаи се разчита на презентацията, вместо да се чете подробният доклад. По тази причина екипът й в момента експериментира с изготвянето на резюмиран доклад от 1 страни-ца, заместващ официалния доклад. „Не смятам, че хората ги е грижа за всичко, което сме из-вършили по време на даден одит – те се инте-ресуват от резултата“, твърди убедено тя. „Това отново опира до ползата и добавената стой-ност – инвестирането на времето в най-ценните неща и предоставянето на информация, която интересува хората най-много“.

Този подход е подобен на стегнатия и лесно разбираем подход, използван за съобщаване на констатациите в „LinkedIn“. „Благодарение на него в организацията се постига действително разбиране на въпросите, относно които са пред-ставени ясни и изпълними заключения“, споде-ля Гулати. Целта е да предоставяме на клиента информацията, която е от най-голямо значение за него.

Въпреки че екипът на Остин в „Cisco“ продъл-жава да издава традиционни одитни доклади, процесът за докладване се използва за преда-ване на послания от по-всеобхватен характер в цялата компания. Поради мащаба на дейност-та на „Cisco“ може да измине доста време меж-ду два последователни одита на всяко отделно бизнес звено, но одитните констатации и препо-ръки в една област може да са приложими към други дейности в рамките на организацията.

Остин обяснява, че това може да има широк отзвук. „Ако успешно определя тенденция или обща първопричина, ще мога да сигнализирам на хората, за да разрешат проблема, където и да се намират.“

Този подход към докладването е само един компонент от по-комплексната стратегия на екипа да обезпечава участието на бизнес зве-ната и останалите заинтересовани страни в целия одитен процес. Един от начините за по-стигане на тази цел е да се провеждат текущи срещи с колегите в съответните оперативни области от дейността на организацията и да се поддържат допирни точки с тях. По този на-чин вътрешният одит си набавя необходимата информация, за да определя обхвата на свои-те одити, клиентите са винаги информирани за текущата одитна и консултантска работа на отдела, а ползите от одитните констатации са оптимизирани. Според Остин „целият про-цес предполага много по-интензивно взаимо-действие с одитираните лица“.

Какво е нужно, за да успеем?

Докладването е един пример за това, как от-вореното за нови идеи съзнание може да по-могне на вътрешните одитори самите те да измислят новости и да преуспяват в променя-щите се с бързи темпове компании. Успехът изисква също точната комбинация от умения и далновидност.



2 Sarbanes-Oxley Act

Според Гулати работата в „LinkedIn“ се свежда до това „да преобразуваш професионалния си опит“, което се отнася и до одиторите. Отделът е сформиран въз основа на осем области: упра-вление на риска; инициативи за преобразува-не; съвършенство на процесите и контролните механизми; вътрешен одит и разследвания; национални одити и проверки на съответстви-ето; мониторинг върху съответствието; текущ мониторинг върху контрола; и осигуряване на съответствие с американския Закон „Сарбейнс-Оксли“ от 2002 г2. Взет като цяло, отделът има опит във всички тези области. „Ние допълваме нуждите си от ресурси за конкретни проекти с консултантски услуги, предоставяни от счето-водни фирми“, казва Гулати.

Одитният екип на „Cisco“ е комбинация в съот-ношение 50-50 между професионални одитори и експерти от други бизнес области в органи-зацията. Остин споделя, че всеки привнася в одитната работа различни експертни позна-ния – професионалните одитори имат опит в областта на вътрешния контрол и финансите, а одиторите на ротационен принцип познават бизнес дейностите в дълбочина. „Необходим е всестранно развит екип“, твърди Остин. „Не претендирам, че ние (одиторите) сме вещи във всяка област, но знаем достатъчно, за да бъдем ефективни“.

Отделът за вътрешен одит на „Google“ е голям износител на талант за бизнеса, което спомага за професионалното израстване на одиторите и обогатява знанията на екипа при завръщането на служителите в него. По този начин се под-помага и самата компания. „Така ефективно разработваме по-всеобхватна контролна среда“, категоричен е Лий.

За да бъдат ефективни, одиторите в „Google“ трябва да могат да разрешават проблеми, да изслушват внимателно, да се ориентират в не-ясна материя и да бъдат „борбени“, допълва Лий. „Трябват ни хора, които запретват ръкави и установяват какво е нужно да се направи. До борбеността опираме, когато се сблъскваме с одитни клиенти, които възприемат одита като пречка. Лий си спомня за силно затруднен клиент, непроумяващ значимостта на съобщен му рисков аспект. Разговорът взима пълен об-рат, когато Лий казва на клиента: „Самата аз се чувствам също толкова отговорна за този проблем, колкото и вие“. Лий пояснява, че след това разговорът се води в духа на „нека да раз-нищим причините“, а не на „вие критикувате работата ми“.

В крайна сметка вътрешният одит е в един и същи отбор с останалите служители на органи-зацията. Именно това е основната поука според Лий. Този начин на мислене може да разруши много бариери и да повиши ефективността на одиторите, дори в още по-бързо развиващи се организации.

Тим МакКолъм е съредактор с ръководни функции.

Превод: Веселина Хоторн

ОБУЧЕНИЕ НА ГРУПА ОДИТОРИ ОТ РЕПУБЛИКА КИРГИЗСТАН

В продължение на 4 дни в периода 15-18 юли, Институтът на вътрешните одитори в България със съдействието на дирекция

«Вътрешен контрол» в Министерство на финан-сите, организира специализиран курс по «Осно-ви на вътрешния контрол и вътрешния одит в публичния сектор» за група одитори от Репу-блика Киргизстан.

Експерти от дирекция „Вътрешен контрол“ на Министерство на финансите – Свилена Симео-нова, Доротея Манолова, Жасмина Точева, как-то и ръководители по вътрешен одит – Стефан Белчев (Министерство на финансите) и Огнян Тодоров (НАП) споделиха своя опит и предста-виха практиката по вътрешен одит в публичния сектор в България. Сред разгледаните теми са:

- Системи за финансово управление и контрол в публичния сектор; - Интергрирана рамка за вътрешен контрол – COSO; - Регулаторна рамка и методология на вътреш-ния одит в публичния сектор в България; - Практически аспекти от дейността по вътре-шен одит; - Програма за осигуряване на качеството и усъ-вършенстване.

Йордан Карабинов – председател на УС на ИВОБ изнесе лекция в рамките на обучителната про-грама на тема „Ролята на вътрешния одит в превенцията и разкриването на измами“.

Обучението премина при голям интерес от участниците и оживени дискусии. За някои от гостите от Киргизстан бяха организирани ра-ботни срещи с ръководители по вътрешен одит от различни институции, еквивалентни на тех-ните. По този начин те успяха да получат от-говор на конкретни практически въпроси от организацията на дейността на съответната институция.

40

130444

CCSa® CfSa® CGaP® CRma®

П Р А З Н У В А М Е

40 Г О Д И Н И

CIa

ВЕЧЕ В ТРИ ЧАСТИ

И НОВ ФОРМАТ НА CIA В 3 ЧАСТИ!ПОДГОТВЕТЕ СЕ ЗА НОВ ЕТАП

Станете част от глобалното семейство на CIA - над 110 000 професионалисти по целия свят!

Повече информация на www.theiia.org/goto/CIa2013

ЗА ВЪТРЕШНИЯ ОДИТ... С УСМИВКА

Еволюцията на одитора

ACL �� , ��, �� , �� ad-hoc �� , �� .

�� , �� .

$2 ��+�� , �� , ��

$18��

$60��

�� , ��

��

€85�� ,

��

£35��+��

��

£1.3�� , ��

� ��

€125�� , ��

��

&&$4��+��

$100�� ,

��

www.logen.bg/fraud

�� . �� , �� . �� .

(400% )

��

��

LOGEN Ltd(02) [email protected]

AUTHORIZEDDISTRIBUTOR

ACL �� , ��, �� , �� ad-hoc �� , �� .

�� , �� .

$2 ��+�� , �� , ��

$18��

$60��

�� , ��

��

€85�� ,

��

£35��+��

��

£1.3�� , ��

� ��

€125�� , ��

��

&&$4��+��

$100�� ,

��

www.logen.bg/fraud

�� . �� , �� . �� .

(400% )

��

��

LOGEN Ltd(02) [email protected]

AUTHORIZEDDISTRIBUTOR

ВЪТРЕШЕН ОДИТОР 2014/Vytreshen Oditor 2014 - Br.4_WE… · са в своя блог:...

Documents

Transcript of ВЪТРЕШЕН ОДИТОР 2014/Vytreshen Oditor 2014 - Br.4_WE… · са в своя блог:...