CC BY
63
Вестник Евразийской науки / The Eurasian Scientific Journal https://esi.today 2018, №2, Том 10 / 2018, No 2, Vol 10 https://esj.today/issue-2-2018.html URL статьи: https://esj.today/PDF/90ECVN218.pdf Статья поступила в редакцию 21.04.2018; опубликована 19.06.2018 Ссылка для цитирования этой статьи:
Изварина Н.Ю., Казанцева С.Ю., Левченко М.А. Актуальные подходы к проведению внешнего аудита безопасности бизнеса на основе риск ориентированного подхода // Вестник Евразийской науки, 2018 №2, https://esj.today/PDF/90ECVN218.pdf (доступ свободный). Загл. с экрана. Яз. рус., англ.
For citation:
Izvarina N.Ju., Kazantseva S.Ju., Levchenko M.A. (2018). Current approaches to conducting an external audit of security of business based on the risk based approach. The Eurasian Scientific Journal, [online] 2(10). Available at: https ://esj. today/PDF/90ECVN218.pdf (in Russian)
УДК 657.1
Изварина Наталия Юрьевна
ФГБОУ ВО «Донской государственный технический университет», Ростов-на-Дону, Россия
Доцент кафедры «Экономическая безопасность, учет и право»
Кандидат экономических наук E-mail: nata_don@mail.ru РИНЦ: https://elibrary.ru/author profile.asp?id=650229
Казанцева Светлана Юрьевна
ФГБОУ ВО «Донской государственный технический университет», Ростов-на-Дону, Россия
Доцент кафедры «Экономическая безопасность, учет и право»
Кандидат экономических наук E-mail: s-kazantseva@yandex.ru
Левченко Мария Александровна
ФГБОУ ВО «Донской государственный технический университет», Ростов-на-Дону, Россия
Студент по специальности «Экономическая безопасность»
E-mail: mlevchenko1795@mail.ru
Актуальные подходы к проведению внешнего аудита безопасности бизнеса на основе риск ориентированного подхода
Аннотация. В статье представлены результаты выработки подхода к аудиторской проверке безопасности бизнеса на основе риск ориентированного подхода, которая дает возможность получить четкое понимание относительно системы внутреннего контроля клиента, дает оценку безопасности и предлагает план мероприятий по управления выявленными рисками, становясь в том числе отдельным инструментом экономического менеджмента. Авторами обобщены и систематизированы для практического использования основные виды исходных данных по типу информации, используемые аудиторами. Предлагаемый механизм реализации аудита безопасности компании основывается на анализе рисков, поэтому аудиторские процедуры целесообразно выполнять непосредственно в областях с высоким риском в результате как непреднамеренных, так и преднамеренных ошибок, что требует глубокого понимания бизнеса клиента. Отлаженная система управления экономической безопасностью предприятия, функциональная составляющая, которой подтверждена независимым аудитором, позволяет менеджменту предпринять профилактические меры самостоятельно (насколько это возможно), не создавая при этом
специального подразделения по безопасности, помогает заранее выявить ошибки, недочеты и уязвимые места в построении системы безопасности, может использоваться в качестве меры объективного контроля лояльности и профессионализма наемного управляющего.
Ключевые слова: аудит; риск-ориентированный аудит; аудиторская проверка; безопасность бизнеса; риски бизнеса
Современные условия ведения бизнеса определяют высокий интерес к механизму обеспечения стабильного и безопасного развития компании, ориентированному на рост ее экономического потенциала в будущем. Хозяйствующие субъекты зачастую находятся в условиях риска и неопределенности поэтому знания о текущей, финансовой, инвестиционной деятельности на стратегическую перспективу становятся определяющими для определения тенденций их развития. Обеспечение безопасности является приоритетной задачей функционирования компаний независимо от формы собственности, а аудит безопасности становится инструментом минимизации их коммерческих рисков.
Единого подхода в отношении оптимальных мер эффективной защиты предприятий от внутренних и внешних угроз не существует. Поэтому специалисты, отвечающие за безопасность компании, применяют различные технологии, учитывающие ее специфику и уделяя особое внимание совершенствованию контрольной составляющей деятельности фирмы. Система корпоративной безопасности предприятия подразумевает комплексное решение проблем внутреннего контроля на непрерывной основе в целях достижения текущих и стратегических планов организации через использование контрольных, ревизионных и аудиторских мероприятий [5].
В ходе проведения процедур аудита безопасности бизнеса проверяется соблюдение законодательно закрепленного порядка при осуществлении операций с ресурсами компании, подтверждается их наличие и классификация, достаточность применяемых системой безопасности мер. Выявляемые при этом отклонения позволяют менеджменту своевременно принимать корректирующие управленческие решения.
Многие теоретики аудита, в том числе Булыга Р.П. свидетельствуют о переходе от аудита бухгалтерской (финансовой) отчетности к аудиту бизнеса [3]. Додж Р. [4], Подольский В.И. [2] в своих работах определяют риск-ориентированный аудит как заключительную стадию эволюции аудита, а Богатая И.Н. [9] считает данную стадию одним из видов аудита, определяющим методы проведения проверок. Риск-ориентированный подход к аудиту во многом связан с экономической неопределенностью, определяющей бизнес-среду функционирования компаний.
Риск можно рассматривать и как результат ошибочного действия и как бездействие в отдельных случаях. Вероятность получить в будущем экономический или репутационный ущерб в результате неблагоприятных событий и будет являться риском. Поэтому аудит безопасности бизнеса следует рассматривать как деятельность, направленную на уменьшение предпринимательского риска за счет концентрации аудитора на областях с высоким риском для получения разумной уверенности о том, что в системе корпоративной безопасности проверяемого экономического субъекта не содержатся существенные нарушения, вызванные ошибками или недобросовестными действиями.
Информация службы риск-менеджмента в данном случае становится первостепенной по значимости для аудитора. Однако не только опираясь на нее, но и используя самостоятельно собранные данные относительно присущих организации рисков аудитор может определить направление аудиторской проверки. Идентификация рисков вне рамок зарегистрированных фактов хозяйственной жизни экономического субъекта помогает глубже раскрыть свойства
системы внутреннего контроля. Структурированный подход к определению исходных данных по типу информации представлен данными таблицы 1.
Таблица 1
Классификация исходных данных по типу информации, используемая аудиторами
Тип информации Описание состава исходных данных
1 2
Организацио нно -распорядительная документация по вопросам безопасности бизнеса • политика безопасности компании (регламент, положение и т. п.); • руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; • регламенты работы сотрудников с ресурсами (информационными, материальными и т. п.).
Информация о техническом обеспечении средствами безопасности • технические средства охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающие достоверное отображение и объективное документирование событий; • сертификаты на технические средства и объекты информатизации; • оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц; • инженерно-техническое средства перекрытия вероятных путей несанкционированного вторжения в охраняемые пределы.
Информация об используемых средствах защиты бизнеса • многорубежно построенная система охраны территории, здания, помещения (система физической защиты (безопасности) материальных объекте и финансовых ресурсов); • система безопасности информационных ресурсов (средства программной защиты); • материалы функционирования службы управления кадрами как системы предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом (кадровая безопасность).
Составлено авторами
Приведенная классификация исходных данных по типу информации, используемая аудиторами в ходе аудита безопасности бизнеса, не является единственно возможной, поскольку система корпоративной безопасности всегда является уникальной для каждой компании, самостоятельной, обособленной от других систем структурой. Информация, предоставленная аудируемым лицом, априори содержит риск ее искажения, поэтому оказывает особое влияние на мнение аудитора. Это обуславливает необходимость более тщательного анализа информации, на основании которой работает аудитор. Используя исходные данные, аудитор определяет области деятельности и факты хозяйственной жизни, связанные с повышенным риском, наличием возможностей обхода руководством средств контроля и системы безопасности бизнеса, привлекая расширенные аудиторские доказательства.
При проведении аудита безопасности компании общая оценка состояния защищенности бизнеса складывается из оценки состояния дел по каждой отдельной группе рисков, что представлено данными рисунка 1.
Вид риска
Правовые и .Административные
Внутрикорпоративные
Органтационно-техническне
Финансовые риски
Информационно-технические N
J
Ренутаиионные (риск потерн деловой репутации)
Составляющая риска
Организация доступа к информации персонала, состояние защищенности информации от возможности ее хищения, разглашения или уничтожения
Состояние защищенности от злонамеренного доступа к информации со стороны третьих
лиц
Персонал компашш (особенно руководящие сотрудники), как источник риска для репутации (общественно осуждаемое поведение, судимости, конфликты с их участием) Наличие среди партнеров по бизнесу лиц, имеющих негативную репутацию
Вовлеченность компании в конфликты
Соблюдение действующего законодательства со стороны компашш
Возможные направления для проведения проверок со стороны контролирующих органов
Взаимоотношения собственников компашш между собой Взаимоотношения собственников и руководящих сотрудников Взаимоотношения руководящих сотрудников между собой
Существующие организационные и технические меры безопасности, используемые в компании
Существующие системы сигнализации, контроля и управления доступом,
впдеонаблюдения
Уровень защищенности от злонамеренных действий мошенников, недобросовестных посредников и поставщиков
Персонал компашш. как источник хищений и финансовых рисков
Рисунок 1. Риски, подлежащие оценке при проведении аудита безопасности компании (составлено авторами)
Аудиторские процедуры выполняются непосредственно в областях с высоким риском в результате как непреднамеренных, так и преднамеренных ошибок, что требует глубокого понимания бизнеса клиента. Поэтому в задачи аудитора входит оценка кредитоспособности и инвестиционных возможностей компании, выявление нарушений законодательства, оценка качества ведения учета и иные области, которые могут привести к существенным убыткам и пробелам в безопасности хозяйствующего субъекта. Аудитор должен довести аудиторский риск до приемлемо-низкого уровня проверив возможности обхода руководством предприятия средств внутреннего контроля.
Основными инструментами оценки эффективности управления безопасностью предприятия будут выступать качественный, логический анализ и моделирование воздействия различных нежелательных факторов. Система безопасности компании должна основывается на принципах системности и комплексности, поэтому необходима конструктивная логика ее построения.
Активное участие менеджмента компании в проведении аудита безопасности, высокая квалификация аудиторов, их независимость и объективность напрямую влияют не результат проверочных действий. Особую значимость приобретают пояснения, полученные от ключевых сотрудников, службы внутреннего аудита (при ее наличии), от третьих лиц, имеющих взаимоотношения с организацией. Указанная информация должна быть задокументирована в рабочих документах аудитора и структурирована таким образом, чтобы ее можно было соотнести с выявленными рисками. В то же время логика построения аудиторской проверки, разработка стратегии аудита и общего плана посредством использования присущих аудируемому лицу факторов риска, дает возможность аудитору сосредоточиться на областях бизнеса, которые могут оказать негативное влияние на успех работы экономического субъекта. Результаты проверки безопасности бизнеса будут являться методом оценки уровня и качества управления системой безопасности в целом.
Для проведения аудита безопасности можно рекомендовать следующую последовательность действий (рис. 2). Предложенная последовательность действий при проведении аудиторской проверки безопасности бизнеса дает возможность получить четкое понимание относительно системы внутреннего контроля клиента, дает оценку безопасности и предлагает план мероприятий по управления выявленными рисками, становясь в том числе отдельным инструментом экономического менеджмента.
Этапы аудиторской проверки безопасности бизнеса
Подгото вительный этап
<
Подготовка к проведению аудита безопасности:
- выбор объекта аудита (фирма, отдельные здания и помещения, отдельные системы или их компоненты); - составление команды аудиторов-экспертов; определение объема и масштаба аудита и установление конкретных сроков работы.
Разработка общей стратегии и плана аудита посредством использования присущих факторов риска
Основной этап
Проведение аудита безопасности: - общий анализ состояния безопасности объекта аудита; - проверка отдельных событий и фактов хозяйственной жизни, которые являются источником риска
Регистрация, сбор и проверка данных и результатов инструментальных измерений опасностей и угроз
Определения уровня остаточного риска через категоризацию событий и фактов хозяйственной жизни с точки зрения возможности (вероятности) их возникновения и степени влияния
Оценка результатов аудита безопасности
Составление отчета о результатах аудита безопасности по отдельным
составляющим
Заключительный этап
<
Завершение аудита безопасности: составление итогового отчета
Разработка плана мероприятий по устранению узких мест и недостатков в обеспечении безопасности компании
Рисунок 2. Этапы аудиторской проверки безопасности бизнеса (составлено авторами)
Отлаженная система управления экономической безопасностью предприятия, функциональная составляющая, которой подтверждена независимым аудитором, позволяет менеджменту предпринять профилактические меры самостоятельно (насколько это возможно), не создавая при этом специального подразделения по безопасности, помогает заранее выявить ошибки, недочеты и уязвимые места в построении системы безопасности, может
использоваться в качестве меры объективного наемного управляющего [8] (рис. 3).
Для компйнии? у которых Нет собственной службы безопасности
• Независимый аудит безопасности бизнеса позволяет менеджменту предпринять профшташгческне меры самостоятельно; (насколько это возможно), не создавая куц зтеш специального подразделенил-ло' безопасности
контроля лояльности и профессионализма
Для компаний, которые имеют в своем распоряжении службу безопасности
•Независимый аудит безопасности бизнеса решает задачу руководства, позволяет заранее выявить ошибки, недочеты и уязвимые места в построении системы безопасности
Для руководителей
•Независимый аудит безопасности бизнеса позволяет нейтрализовать сомнения в : компетентности шеи лояльности службы безопасности, отдела сбыта, снабжения ши иных принципиально важных подразделений •предприятия
Д ля собственника бизнеса
•Независимый аудит безопасности бизнеса используется ъкачестве- меры обьемикного контроля;лошЕьности «профессионализма наемного управляющего
Рисунок 3. Комплексное решение задач пользователей аудита безопасности (составлено авторами)
Аудит безопасности существующих бизнес-процессов решает задачу анализа внешних и внутренних угроз безопасности компании, представляет собственникам результаты проверки регуляторных и юридических рисков, синтезирует выработку рекомендаций и мероприятий по предотвращению мошенничества со стороны должностных лиц и/или контрагентов, процедур устранения техногенных, экономических, финансовых, кадровых и иных угроз для бизнеса, а использование действенных механизмов по предотвращению раскрытия информации, которая содержит коммерческую тайну позволит создать защищённую структуру бизнеса.
ЛИТЕРАТУРА
1. Архипов Э.Л., Крохичева Г.Е., Тевосян С.А., Астафьев В.О. Модель безопасности бизнес среды в системе экономической безопасности // Интернет -журнал «НАУКОВЕДЕНИЕ» Том 9, №6 (2017) https://naukovedenie.ru/PDF/32EVN617.pdf (доступ свободный). Загл. с экрана. Яз. рус., англ.
2. Аудит: учебник для бакалавров / В.И. Подольский, А.А. Савин. - 4-е изд., перераб. и доп. - М.: Издательство Юрайт, 2015. - 587 с. - Серия: Бакалавр. Базовый курс.
3. Булыга Р.П. Аудит бизнеса. Практика и проблемы развития [Электронный ресурс]: монография / Булыга Р.П., Мельник М.В. - Электрон. текстовые данные.
- М.: ЮНИТИ-ДАНА, 2015. - 263 c. - Режим доступа: http://www.iprbookshop.ru/66254.html. - ЭБС «IPRbooks».
4. Додж Рой Краткое руководство по стандартам и нормам аудита. - Издательство: Финансы и статистика, 1992. - 240 с.
5. Изварина Н.Ю., Мирошников М.М., Ложниченко Д.С. Методические аспекты реализации контрольных мероприятий при построении системы корпоративной безопасности // Вестник Евразийской науки, 2018 №1, https://esj.today/PDF/71ECVN118.pdf (доступ свободный). Загл. с экрана. Яз. рус., англ.
6. Изварина Н.Ю. Методические аспекты проведения внутреннего аудита в системе экономической безопасности компании // Правовые вопросы обеспечения экономической безопасности государства в условиях автоматизации общества: сборник научных статей Всероссийской научно-практической конференции 06 апреля 2018 г., г. Ростов-на-Дону / под ред. д-ра социол. наук, канд. юрид. наук, доц. Исаковой Ю.И. Ростов н/Д, 2018 - 537 с. (с. 417-422).
7. Изварина Н.Ю., Алботова А.А. Особенности проведения внутреннего аудита в системе экономической безопасности // Научный диалог: Экономика и менеджмент. Сборник научных трудов, по материалам XIII международной научно-практической конференции 8 марта 2018 г. Изд. ЦНК МОАН, 2018. - 44 с. (с. 13-15).
8. Изварина Н.Ю., Левченко М.А. Современные подходы к проведению аудита безопасности бизнеса // Актуальные вопросы обеспечения экономической безопасности в Российской Федерации в условиях цифровой экономики ISBN 978-0-6482717-1-0 (print) 978-0-6482717-1-0 (online) URL статьи: https://auspublishers.com.au/ru/nauka/conference_article/2238/view.
9. Кизилов А.Н., Богатая И.Н. Эволюция аудита как науки и практической деятельности // Международный бухгалтерский учет. - 2012. - № 34. - С. 43-57.
10. Сидорова В.Н., Соловаров Ю.С. К вопросу о практическом обеспечении экономико-правовой безопасности бизнеса // Безопасность бизнеса. - 2015. - №2.
- С. 3-6.
Izvarina Natalia Jur'evna
Don state technical university, Rostov-on-Don, Russia
E-mail: nata_don@mail.ru
Kazantseva Svetlana Jur'evna
Don state technical university, Rostov-on-Don, Russia E-mail: s-kazantseva@yandex.ru
Levchenko Maria Aleksandrovna
Don state technical university, Rostov-on-Don, Russia E-mail: mlevchenko1795@mail.ru
Current approaches to conducting an external audit of security of business based on the risk based approach
Abstract. The article presents the results of the development of an approach to business security audit based on a risk-oriented approach, which makes it possible to obtain a clear understanding of the client's internal control system, gives an assessment of safety and offers an action plan to manage identified risks, becoming, among other things, a separate tool for economic management. The authors summarize and systematize for practical use the main types of source data by type of information used by auditors. The proposed mechanism for the implementation of the company's security audit is based on risk analysis, so it is advisable to perform audit procedures directly in areas with high risk as a result of both unintentional and intentional errors, which requires a deep understanding of the client's business. The debugged system of management of economic safety of the enterprise, the functional component which is confirmed by the independent auditor, allows management to take preventive measures independently (as far as it is possible), without creating thus special division on safety, helps to reveal in advance mistakes, defects and vulnerabilities in construction of security system, can be used as a measure of objective control of loyalty and professionalism of the hired Manager
Keywords: audit; risk-based audit; business security; business risks
90ECVN218
