Давно собирался расширить тематику блога "аудитом ИТ" и заодно "ИТ в аудите".
Неделю назад в Ялте прошла очередная (восьмая) конференция стран СНГ "Аудит и контроллинг в банках". Практически вся конференция была посвящена повышению эффективности работы службы внутреннего аудита. Много говорили о методиках оценки рисков, как инструменте повышения эффективности работы. И очень мало о том, что труд аудиторов пора начинать автоматизировать. Ведь речь идет об аудите не ларьков с носками, где учет ведется в потертой засаленной тетрадке. Не хочется уподобляться Капитану Очевидность, но даже самые отсталые банки уже давно учитывают свои операции в информационных системах. Почему же внутренний аудит до сих пор копается в бумажных документах? Безусловно, им тоже необходимо уделять внимание, но не все же! И какую уверенность нам даст аудиторская выборка (в среднем 25 операций) на популяции в сотни тысяч и даже миллионы транзакций? Если мы тестируем контроли, что может что-то и даст. Но какова вероятность, что мы выборкой обнаружим мошенническую операцию? Такая же, как встретить динозавра - 50 на 50. А количество мошеннических операций в банках, как показывает несметное число исследований, растет со страшной скоростью.
Если мы используем ИТ для автоматизации учета, почему мы не используем его для автоматизации аудита? Идея совсем свежая - появилась всего лишь в 60-х годах прошлого века. И успешно игнорируется у нас по сей день.
Подходы те же, что и при постанове мониторинга событий информационной безопасности. Мониторим все транзакции, если попадают по определенные условия - генерируется событие, которое уходит на расследование в аудит. По количеству условий и тестов мы ограничены только своей фантазией - от банальных проверок превышения лимита, авторизации операций "не теми" сотрудниками, до сложных перекрестных проверок по нескольким системам.
Те же подходы, которые используются в системах обнаружения аномалий в сетях или при обнаружении карточного фрода, можно использовать для автоматического выявления новых рисковых областей. Например, берем усредненные показатели за период, сравниваем с предыдущими - если сачок или проседание - задаемся вопросом что случилось. Слишком утрированно, но смысл такой. Или проверяем соответствие закону Бенфорда (там где это применимо естественно). Отклонение - выбрали то, что выделяется, посмотрели более детально.
Материалы моего выступления на данную тему:
Неделю назад в Ялте прошла очередная (восьмая) конференция стран СНГ "Аудит и контроллинг в банках". Практически вся конференция была посвящена повышению эффективности работы службы внутреннего аудита. Много говорили о методиках оценки рисков, как инструменте повышения эффективности работы. И очень мало о том, что труд аудиторов пора начинать автоматизировать. Ведь речь идет об аудите не ларьков с носками, где учет ведется в потертой засаленной тетрадке. Не хочется уподобляться Капитану Очевидность, но даже самые отсталые банки уже давно учитывают свои операции в информационных системах. Почему же внутренний аудит до сих пор копается в бумажных документах? Безусловно, им тоже необходимо уделять внимание, но не все же! И какую уверенность нам даст аудиторская выборка (в среднем 25 операций) на популяции в сотни тысяч и даже миллионы транзакций? Если мы тестируем контроли, что может что-то и даст. Но какова вероятность, что мы выборкой обнаружим мошенническую операцию? Такая же, как встретить динозавра - 50 на 50. А количество мошеннических операций в банках, как показывает несметное число исследований, растет со страшной скоростью.
Если мы используем ИТ для автоматизации учета, почему мы не используем его для автоматизации аудита? Идея совсем свежая - появилась всего лишь в 60-х годах прошлого века. И успешно игнорируется у нас по сей день.
Подходы те же, что и при постанове мониторинга событий информационной безопасности. Мониторим все транзакции, если попадают по определенные условия - генерируется событие, которое уходит на расследование в аудит. По количеству условий и тестов мы ограничены только своей фантазией - от банальных проверок превышения лимита, авторизации операций "не теми" сотрудниками, до сложных перекрестных проверок по нескольким системам.
Те же подходы, которые используются в системах обнаружения аномалий в сетях или при обнаружении карточного фрода, можно использовать для автоматического выявления новых рисковых областей. Например, берем усредненные показатели за период, сравниваем с предыдущими - если сачок или проседание - задаемся вопросом что случилось. Слишком утрированно, но смысл такой. Или проверяем соответствие закону Бенфорда (там где это применимо естественно). Отклонение - выбрали то, что выделяется, посмотрели более детально.
Материалы моего выступления на данную тему:
Комментариев нет:
Отправить комментарий