Agile аудит – аудит в эпоху хаоса: советы и личный опыт
24 МАЯ 2021
А.А. Власова
Старший консультант Отдела управления рисками "Делойтт", Дания
Действующие сертификаты: CIA/ACCA/CISA/CRMA
Действующие сертификаты: CIA/ACCA/CISA/CRMA
2020 поменял многое и под особый удар попали контроли
Сейчас очень модно рассуждать на тему agile, и часто компании пытаясь попасть под стандарты цифровых трансформаций и прочих новомодных тенденций, не понимают, в чем же суть тех или иных техник и лучших практик.
Проблемы, с которыми сталкивается компания, в режиме agile могут быть следующими:
Проблемы, с которыми сталкивается компания, в режиме agile могут быть следующими:
- Внутреннее сопротивление со стороны сотрудников
- Отсутствие стратегии
- Обоснование неэффективного менеджмента нуждами бизнеса
- Отсутствие экспертизы и знаний в предметной области
SCRUM (scrum «схватка» перевод с англ.) — метод управления проектами.
Следует различать SCRUM и Agile. SCRUM используется как в сфере разработки ПО, так и в других производственных бизнес-отраслях.
Следует различать SCRUM и Agile. SCRUM используется как в сфере разработки ПО, так и в других производственных бизнес-отраслях.
Если говорить про agile, то все же еще бытует мнение, что данные методологии применимы только для сферы ИТ, и в частности для ИТ разработок.
Сегодня я хотела бы затронуть методологию Scrum (скрам), как одну из основных методик Agile и ее применение вне ИТ, а именно в аудите, если принять каждую аудиторскую проверку за мини проект в рамках одного большого проекта – годового плана аудита.
Сегодня я хотела бы затронуть методологию Scrum (скрам), как одну из основных методик Agile и ее применение вне ИТ, а именно в аудите, если принять каждую аудиторскую проверку за мини проект в рамках одного большого проекта – годового плана аудита.
Аудиторы и Agile
Относительно недавно аудиторы поняли возможности Agile и стали применять данные техники для проведения аудитов.
Мое знакомство с гибкими методиками начались несколько лет назад, когда я принимала участие в проектной группе по разработке технических решений для нового программного обеспечения.
И тогда я смогла увидеть и оценить основные возможности данной методики и впоследствии внедрить в аудиторскую жизнь.
На тот момент я и не осознавала, что подобного рода изменения помогут существенно сократить бюджет на проведение аудиторских заданий без потери качества (!).
Мое знакомство с гибкими методиками начались несколько лет назад, когда я принимала участие в проектной группе по разработке технических решений для нового программного обеспечения.
И тогда я смогла увидеть и оценить основные возможности данной методики и впоследствии внедрить в аудиторскую жизнь.
На тот момент я и не осознавала, что подобного рода изменения помогут существенно сократить бюджет на проведение аудиторских заданий без потери качества (!).
От документации к действиям
Гибкие методологии сейчас крайне дискредитированы, а особенно в части того, что отсутствие порядка и документации аргументируется наличием agile.
И тут для любого аудитора наступает страшный сон, так как мы как раз за то, чтобы все это было структурировано. Однако, хочу разочаровать Вас. Гибкие методологии – это как раз-таки про структуру и четкую документацию, но не про документацию ради документации. Подход тут прост – если не работает, то нужно менять, и оформлять все это должным образом, а не следовать слепо зову сердца, при это оставляя за бортом так называемую «бюрократию».
Гибкие методологии должны помогать выстраивать процесс так, чтобы продукт, в нашем случае аудиторский отчет, готовился итерациями и приносил пользу. Прошу заметить, что это никак не означает, что в случае устранения тех или иных рисков в ходе аудиторского процесса, Вы должны удалить это из отчета, Кодекс профессиональной этики аудитора никто не отменял.
И тут для любого аудитора наступает страшный сон, так как мы как раз за то, чтобы все это было структурировано. Однако, хочу разочаровать Вас. Гибкие методологии – это как раз-таки про структуру и четкую документацию, но не про документацию ради документации. Подход тут прост – если не работает, то нужно менять, и оформлять все это должным образом, а не следовать слепо зову сердца, при это оставляя за бортом так называемую «бюрократию».
Гибкие методологии должны помогать выстраивать процесс так, чтобы продукт, в нашем случае аудиторский отчет, готовился итерациями и приносил пользу. Прошу заметить, что это никак не означает, что в случае устранения тех или иных рисков в ходе аудиторского процесса, Вы должны удалить это из отчета, Кодекс профессиональной этики аудитора никто не отменял.
Роли и обязанности
С помощью подхода Scrum, аудиторская команда может отслеживать ход аудиторского задания, разделяя задание на спринты (спринт - краткосрочные периоды не более 14 дней), в течение которых аудиторская команда готовит новый продукт или прототип продукта, в данном случае это может быть черновой отчет по какой-то одной области в рамках проверки.
Как и в любой команде, в Scrum команде имеется четкое разделение ролей, зон ответственности и обязанностей.
Хотелось бы отметить, что Ваша аудиторская команда и является такой командой, то есть данные роли являются дополнительными к должностным инструкциям сотрудников. Единственное отличие – в scrum команде количество участников должно быть ограничено пятью членами. Кстати, в аудите, такое количество является также наиболее часто применимым. Это еще один плюс в пользу применения гибких методик в аудите.
На моем личном примере, мы завели свой Манифест по аудиту (далее по тексту Манифест), взяв за основу Agile Manifesto (прим. документ, содержащий описание ценностей и принципов гибкой разработки).
Мы не стали придумывать велосипед и приняли роли, указанные в Манифесте:
Как и в любой команде, в Scrum команде имеется четкое разделение ролей, зон ответственности и обязанностей.
Хотелось бы отметить, что Ваша аудиторская команда и является такой командой, то есть данные роли являются дополнительными к должностным инструкциям сотрудников. Единственное отличие – в scrum команде количество участников должно быть ограничено пятью членами. Кстати, в аудите, такое количество является также наиболее часто применимым. Это еще один плюс в пользу применения гибких методик в аудите.
На моем личном примере, мы завели свой Манифест по аудиту (далее по тексту Манифест), взяв за основу Agile Manifesto (прим. документ, содержащий описание ценностей и принципов гибкой разработки).
Мы не стали придумывать велосипед и приняли роли, указанные в Манифесте:
- Руководитель проекта – руководитель аудиторской проверки, являющийся лицом. ответственном за окончательное качество продукта
- Scrum мастер – член команды, отслеживающий выполнение задач и четко контролирующий сроки. Находится в постоянном контакте с командой и Руководителем проекта.
- Остальные члены команды – аудиторская команда, вовлеченная в процесс.
Применение на практике
1) Оцениваются сроки завершения проекта с разделением на мини сроки (спринты), где можно будет оценить завершенность
2) Оцениваются KPIs или критерии завершенности
3) Вся информация, собранная во время собрания (так называемые стенд ап (stand up – стоя с англ) собрания), ведутся в выбранном приложении или иным предпочтительным способом скрам мастером. Основная идея стенд ап собрания – быстрота и функциональность, а сделать собрание таковым помогает тот факт, что делаете Вы его стоя, то есть в наименее комфортных условиях, и тогда члены команды склонны говорить кратко и по - существу. Опять же, собрание может быть проведено и при других условиях, главное – не более двух минут на каждого члена команды.
На каждой встрече Scrum мастер задает каждому члену команды следующие вопросы:
Но это не единственный положительный фактор применения гибких методик в аудите.
2) Оцениваются KPIs или критерии завершенности
3) Вся информация, собранная во время собрания (так называемые стенд ап (stand up – стоя с англ) собрания), ведутся в выбранном приложении или иным предпочтительным способом скрам мастером. Основная идея стенд ап собрания – быстрота и функциональность, а сделать собрание таковым помогает тот факт, что делаете Вы его стоя, то есть в наименее комфортных условиях, и тогда члены команды склонны говорить кратко и по - существу. Опять же, собрание может быть проведено и при других условиях, главное – не более двух минут на каждого члена команды.
На каждой встрече Scrum мастер задает каждому члену команды следующие вопросы:
- Что было сделано со времени предыдущей встречи в рамках спринта (5 дней);
- Что планируется сделать до следующей встречи;
- Что находится в процессе;
- Имеются ли блоки и стоп факторы в процессе и необходима ли помощь других членов команды.
Но это не единственный положительный фактор применения гибких методик в аудите.
Как Agile Audit помог сократить бюджет по аудиту
Такой подход в аудите может значительно уменьшить бюджет времени на проведение аудиторских проверок, позволит не терять качества аудиторских проверок, отслеживать работу и решать недостатки в режиме реального времени, а еще это позволяет делиться идеями внутри команды и поддерживать командный дух.
Основные тезисы, которые я смогла сделать из своей практики и который позволил проводить в 1,5 раза больше аудитов, без потери качества и с сохранением текущего состава аудиторской команды:
Основные тезисы, которые я смогла сделать из своей практики и который позволил проводить в 1,5 раза больше аудитов, без потери качества и с сохранением текущего состава аудиторской команды:
- Пересмотр программ аудитов с учетом спринтов, то есть, если что-то не может быть покрыто за 2 недели, то задание дробится. Таким образом аудит становится более гибким и адаптированным к изменениям среды и имеющимся обстоятельствам.
- Ежедневные стенд ап встречи - существенно снижают количество времени, потраченное на задания, избавляет от дублирования функций несколькими сотрудниками.
- Во время таких встреч, основные тезисы фиксируются скрам мастером. Такого рода данные, могут лечь в основу планирования и в итоге сократить время на подготовку годовых планов аудита.
- Открытые вопросы и статусы предоставляются на обзор начальнику отдела команде как минимум один раз в 2 недели, таким образом позволяет отслеживать работу итеративно.
- Работа по подготовке отчета, разделенная на спринты и распределенная между участниками команды, повышает вовлеченность, прозрачность и взаимозаменяемость членов команды, а также является положительным фактором в рамках внутреннего обучения команды.
- Контрольная проверка и вычитка отчета начальником отдела занимает значительно меньше времени, так как проводилась на итеративной основе (см. пункт 4)
- Внедрение корректировок можно внедрять незамедлительно, так называемые "полученные уроки" во время постоянных встреч позволяют понять, что было сделано хорошо, что можно будет улучшить и от каких процессов необходимо избавиться.
Выводы
- Аудит с применением гибких методик обеспечивает выверку со всеми бизнес процессами и обеспечивает гарантию в реальном времени
- Такой подход помогает команде аудиторов повысить эффективность, так как процесс находится под постоянным контролем и существует возможность сосредоточить больше времени и усилий на задания более высокого порядка
- Имеется возможность координировать с аудируемыми и иметь промежуточные результаты на постоянной основе и существует больше возможностей прояснять открытые вопросы непосредственно в ходе аудита, что существенно снижает нагрузку команды и аудируемых на окончательных этапах аудита
- Менее опытные участники получают выгоду от более тесного участия во всех аспектах аудита и возможность продемонстрировать компетентность в рамках постоянных стенд ап встреч
- Члены аудиторской команды находятся в постоянном контакте, имеют возможность делиться мнением и быстро решать вопросы и проблемы