2. Что такое контраудит?
Контраудит – искусственный термин, под которым мы понимаем
эффективное управление проектом по проведению аудита
(внешнего и внутреннего) для обеспечения соблюдения
сроков, границ проекта, целей проверки и достоверных
результатов при снижении трудозатрат со стороны ИТ и
задействованных подразделений
3. До появления контраудита
Высокая нагрузка на ИТ-подразделения
Бизнес
вследствие недостаточно глубокого понимания
аудиторами специфики бизнес-процессов ИТ
компании
Предоставление избыточной и несогласованной
информации ИТ-специалистами в ходе интервью и
при ответах на запросы
Неудачные сроки проекта (влияние аудита на
операционную деятельность компании в периоды
повышенной нагрузки на ИТ-подразделения)
Рассогласованность «семантических карт»
аудиторов и ИТ-специалистов
Несоблюдение сроков аудита
Некорректное трактовка результатов аудита и, как
следствие, формирование некорректного списка
Аудит недостатков
Некорректное определение ответственных за
возникновение и устранение недостатков
4. Роли и ответственность
Отдельная выделенная в
компании
функция/роль, «единая точка
входа» в ИТ для внешних
консультантов, должность
или подразделение - в
зависимости от масштабов
организации, участвующая во
взаимодействии с внешними и
внутренними аудиторами
Задачи:
Получение данных у ответственных сотрудников
Проверка на корректность и непротиворечивость
предоставление данных аудиторам
Координация взаимодействия
Мониторинг статуса проведения аудита
Эскалация проблем
Актуализация матрицы контрольных процедур
Мониторинг выполнения контрольных процедур
5. Выделенное подразделение и
выделенный процесс
Плюсы от выделения координатора
для проведения аудита
Снижается нагрузка на операционные подразделения
Снимается часть запросов на этапе получения
координатором запроса
Снижается риск предоставления некорректной / не
соответствующей запросу информации
Повышается эффективность коммуникаций
(корректные параметры запросов аудита – высокая
скорость ответов исполнителей)
6. Практики и инструменты (1)
До начала аудита Вы должны знать ответы на следующие
вопросы:
o Кто является заказчиком аудита и получит его результаты? Знание
применимых к
o Какова цель и границы аудита? аудиту стандартов
o Что произойдет с выявленными недостатками?
o Кто будет отвечать за устранение недостатков?
Поддержание хороших
Понимание целей топ-
отношений с
менеджмента компании
аудиторами
Проведение
самостоятельных
аудитов
Запрашивайте больше подтверждающих документов для
доказательства правоты аудиторов
Аудит как ресурс, мини-консалтинг (при необходимости
посоветуйтесь по какой-то задаче или проблеме)
Предоставьте максимум процедур и отчетов (в том числе в
бумажном виде)
Больше разъясняющих встреч для обсуждения выявленных
недостатков
Если вы не согласны с недостатками, обнаруженными
аудиторами - так и скажите!
7. Практики и инструменты (2)
Автоматизация контрольных процедур (КП)
• Внедрение системы ИТ-контролей
• Документирование результатов выполнения КП
• Мониторинг и анализ результатов выполнения КП
• Актуализация матрицы ИТ-рисков
• Управление изменениями КП
• Анализ операционных отчетов по ИТ-процессам
Сокращения времени на мониторинг
выполнения КП на 40%
Сокращения затрат на подготовку
аудита на 50%
8. Уроки и рекомендации (1)
Определите и согласуйте границы, сроки аудита, получите план
Не допускайте предоставления избыточной информации
На регулярной основе запрашивайте у аудиторов статус проведения аудита,
предварительные заключения
Получите список тем и предварительный список вопросов, требуйте обоснование
для каждого запроса
Проведите предварительную встречу для сотрудников компании (особенно если
аудит проводится впервые) Предупредите аудиторов заранее о периодах, когда
возможны задержки в предоставлении информации и невозможно проводить
интервью. Убедитесь, что все необходимые сотрудники находятся на своих рабочих
местах, а не в отпуске или командировке.
9. Уроки и рекомендации (2)
Сопровождайте аудиторов, когда они находятся у вас в компании.
Помните: несопровождаемый аудитор - неконтролируемый аудитор!
Эскалируйте проблему при проведении аудита на руководство компании.
Дополнительно проблему можно эскалировать на руководство аудиторов
Закрепите протоколом/процедурой принципы взаимодействия с аудиторской
командой
Сохраняйте всю переписку!
Предоставляйте данные аудиторам только после проверки на возможные ошибки
Устраните все замечания, выявленные аудитором, до следующего аудита
10. Цели и выгоды
Аудит ИТ
Качество ? Здравый смысл !
Контроль ? Эффективность !
Рациональность !
Надежность ?
Упрощение процесса
Достоверность оценки, сокращение споров
Соответствие общепризнанному стандарту оценки