Как выбрать и эффективно внедрить решение для автоматизации внутреннего аудита, внутреннего контроля или управления рисками
09 июня 2021
В этой статье мы представим подходы к автоматизации внутреннего контроля, внутреннего аудита и управления рисками.

Отношение к автоматизации как к серебряной пуле или волшебной палочке, которая придет и решит наши проблемы, вызывает достаточно много сложностей, поскольку, зачастую, такое отношение к автоматизации приводит к переоценке будущих эффектов автоматизации и недооценке подготовительной работы, которая должна быть проведена в организации для того, чтобы автоматизация была успешной. Причем, мы будем говорить с Вами об автоматизации не основных бизнес-процессов компании, а специализированных бизнес-процессах, которые касаются внутреннего контроля, управления рисками, внутреннего аудита, которые уже сами по себе являются управленческими процессами второго порядка и обладают определенной спецификой. Они сами по себе не производят никакого продукта. Они являются частью системы управления компании и именно поэтому очень сложно построить правильные ожидания к ним.

Начнем с автоматизации функции внутреннего аудита, поскольку он из всех дисциплин, которые входят в тему «корпоративное управление» является наиболее стандартизированной и определенной практикой. На примере внутреннего аудита покажем, что дальнейшее развитие компетенции, усиление позиций внутреннего аудита в организации напрямую связаны с вопросами автоматизации тем или иным образом.

За счет чего будет идти развитие в этой функции? Прежде все это три основных направления деятельности: предоставление гарантии, т.е. традиционные проверки; консультации, которые оказываются внутренними аудиторами - руководство компании; новая область – прогнозирование.

Мы считаем, что будущее внутреннего аудита – это то, что внутренний аудит начнет больше смотреть вперед, а не только назад, проверяя то, что уже было. Он будет советовать и предвидеть то, что ждет нас в будущем, и, исходя из этого, увеличивать влияние в организации.

Для того, чтобы поддержать эту трансформацию, очень важно иметь внутри организации, в распоряжении определенные цифровые активы. Под цифровыми активами мы предполагаем такие понятия как аналитика, роботизация, искусственный интеллект, автоматические контрольные процедуры и т.п. – это то, что должно стать повседневностью для внутреннего аудита. Это будет обеспечено за счет инструментов, которые касаются автоматизации, гибких методов управления, отчетности, создания групп реагирования и катализации изменения внутреннего аудита. Внутренний аудит должен выступать не только в роли злого полицейского или доброго, а он должен катализировать изменения в организации определенным образом. Его работа должна приводить к тому, чтобы в организации что-то менялось к лучшему. Автоматизация и разного рода технологии занимают серьезное место в будущем. Без технологизации мы не сможем изменить баланс между предоставлением гарантии и консультациями, увеличив объем консультаций, перейти к прогнозированию, потому что это требует других технологических платформ, лучше смотреть за рисками, к которым мы относим IT-риски и кибер-риски и пр. – все это невозможно без автоматизации. Прежде всего, внутреннему аудиту необходимо расширить спектр навыков, для того, чтобы все эти три направления услуг предоставлять качественно.

Важно отметить, что контрольные подразделения не должны работать в изоляции, они должны работать в гармоничной системе, взаимно дополнять друг друга и кооперироваться. Внутренний контроль, управление рисками и внутренний аудит должны работать сообща, ни в коем случае не выступая внутренними конкурентами. Эти темы выступают «сквозными» для развития всей контрольной деятельности внутри компании. Эта тема - наличие цифровой стратегии в этой области, подходы к искусственному интеллекту, роботизация, интеграция технологических платформ, на которых эти функции работают и предоставление гарантии цифровых программ, которые в организации могут проводиться. Очень важно, чтобы навыки внутреннего аудита, а также других контрольных подразделений позволяли все это обеспечивать.

С какими проблемами и вызовами сталкиваются те, кто пытается двигаться по этому пути развития навыков? Прежде всего, это достаточно большой объем работы, связанный с выполнением тех или иных рутинных ручных не стандартизированных процессов, которые требуют большое количество «человеко-часов», для того чтобы их выполнить. Наверняка, у каждого в хозяйстве найдется такая работа, которая требует вовлечения большого количества людей на длительное время, а сама по себе приносит ограниченную ценность. Мы не можем воспользоваться этим ресурсом для более важных и инновационных задач. В нашем распоряжении есть устаревшая повторяющаяся система, в которой кто-то когда-то реализовал какие-то отдельные элементы автоматизации, которыми пользуются контрольные функции, но их очень тяжело использовать в целом для контрольных целей, в силу низкого качества информации, отсутствия возможности интеграции данных и т.д. Практически каждая первая организация, в которой мы хотим проанализировать какие-то данные, начинает жаловаться на то, что эти данные не стыкуются, они разрозненные и неполные, и невозможно анализировать. Хотя, это не является «барьером» для анализа, это является поводом его начать. Внутреннему аудиту и всем другим контрольным органам необходимо повышать квалификацию в области новых технологий. Новые технологии очень активно используются в современных компаниях, в организациях, во всех сферах – от высоких технологий до банковской деятельности, производства и коммунальных услуг. Везде появляются роботы и искусственный интеллект помимо нашей воли, поэтому важно понимать какие риски приносят технологии, и что с ними делать. Также внутренний аудит сталкивается с «текучкой кадров», поскольку хорошие специалисты по-прежнему являются дефицитом на рынке, и они переходят из организации в организацию.
Что с этим делать и как правильно построить работу по повышению уровня технологизации? Во-первых, надо понять, что такая модернизация или «цифровизация» охватывает все этапы аудиторского цикла, а также все этапы других контрольных функций. Очень странно делать автоматизацию таких задач без учета того, что эти изменения будут затрагивать очень широкий спектр функций. Если вы хотите чуда, то хочется автоматизировать всю деятельность от начала до конца, но тут очень важно опуститься на уровень «деталей», а не остаться на уровне светлого образа того, что у нас будет большая кнопка и она чудесно будет готовить нам аудиторский отчет. На данный момент, мы имеем ввиду под автоматизацией инструменты, которые помогут нам делать что-либо технологичнее и быстрее, возможно, делать это с большей глубиной, и большей точностью выводов, но мы не говорим о том, что мы полностью меняем необходимость человека в этой системе.

Давайте посмотрим, как нам перейти от абстрактного образа светлого будущего к конкретным задачам, которые могут лечь в основу технического задания на автоматизацию и как понять в каком периметре, и что мы хотим автоматизировать. Прежде всего, надо понять, что следует рассмотреть задачу автоматизации в более широком контексте, посмотреть сразу на все три линии, которые у нас есть. Посмотреть и на первую линию, на которой у нас выполняются те или иные элементы контроля внутри бизнес-процессов, и на вторую линию специализированных подразделений, которые занимаются координацией управления рисками по определенным направлениям, и на третью линию.

Вне зависимости от того, откуда пошла ваша инициатива по автоматизации, исходя из того, что все три линии должны работать гармонично, она неизбежно будет затрагивать оставшиеся две линии, поэтому есть смысл уже на этом уровне скоординировать свои усилия, и посмотреть на тот периметр, который вам будет целесообразно брать в задачу по автоматизации. Конечно, можно пойти по пути автоматизации лишь внутреннего аудита, но не обеспечить понятных правил взаимодействия, например, с управлением рисками в контексте вашего годового планирования. Тогда, возможно, ваша система не будет эффективна и в конечном итоге вы не достигните необходимого вам результата.

Задач по автоматизации на всех линиях достаточно, здесь мы приводим для примера лишь небольшое множество этих задач. На первой линии очень важно построить единое информационное пространство для владельцев рисков, позволить им удобно эту информацию видеть, вносить, изменять, согласовывать и т.д. На второй линии – весь спектр задач по управлению рисками, внутреннему контролю, непрерывности. Но, это только примеры – областей и задач по автоматизации внутреннего аудита намного больше. Весь этот комплекс – это потенциальный периметр автоматизации, даже если вы рассматриваете автоматизацию своей функции в изоляции от других. Очень важно понять, какие направления автоматизации вам нужно построить для того, чтобы вам достичь ваших результатов.

Что может автоматизироваться на примере внутреннего аудита на годовом цикле? Это автоматизация планирования, документирования, систематизация документации, создание единой рабочей среды для проведения аудита и ведение документации, учитывая территориальную распределенность, необходимость работы в местах, где нет связи, использование единых стандартов документации, единообразие удобства контроля качества, внедрение единой методологии проверок, автоматизация мониторинга исполнения и внедрения аудиторских рекомендаций, обеспечение конфиденциальности, поддержка процессов проверки качества, внешних оценок и т.д. Это пример широкого подхода к определению блока задач автоматизации. Кроме этого, не стоит забывать, что автоматизироваться будет не только то, что касается жизненного цикла проведения проверок, но автоматизировать можно также инструментарий, который в этих проверках используется - это разные типы тестирования, которые могут быть технологизированны.

Как правило, в современной ситуации, речь идет об автоматизации базового уровня. Это предиктивная аналитика, это визуализация данных, это первый слой автоматизации, который, как правило, будет всех интересовать. Следующие технологии являются более продвинутыми, в силу чего они имеют гораздо более широкое применение и для цели управления рисками, и для внутреннего контроля, и внутреннего аудита. Они могут в большей степени являться тем самым механизмом катализации изменений в компании, которые может использовать внутренний аудит или любой другой контрольный орган. Если вы создали какую-то систему, то эта система, помимо того, что она будет выполнять контрольные функции, может быть передана непосредственно на первую линию и будет уже работать как система производственная, помогая первой линии, помогая вашему бизнесу делать сразу все правильно, а не просто работать как технология последующего контроля.

Существует несколько подходов к тому, как эти функции можно автоматизировать. Поскольку одной идеальной системы, которая закрыла бы все аспекты, нет – есть несколько подходов. Первый сценарий, который наиболее известен всем, это когда мы пытаемся найти очень развитую систему, систему уровня GRS, как это называется в англоязычной терминологии, которая охватывает автоматизацию задач на всех линиях. Здесь я в качестве иллюстрации показал то, как некая абстрактная развитая система GRS закрывает те или иные задачи автоматизации. Как вы видите, все равно остаются области (здесь их три – предиктивная оценка показателей, оценка уровня из культуры и непрерывность бизнеса), которых может не оказаться.

В этой ситуации вы должны четко понимать, какие области вы хотите автоматизировать. Поскольку это «комбайн», то бывает так, что далеко не все функции будут в нем организованны лучшим способом. Возможно на рынке есть решения, которые какую-то конкретную функцию, например, внутренний аудит, будут организовывать лучше, чем это универсальное решение. Это вторая альтернатива, которую вы можете выбрать. Вы можете пойти по пути выбора для каждой функции, которую вы собираетесь автоматизировать, лучшего решения в своем классе. Например, вы хотите внутренний аудит, внутренний контроль и проектное управление на первой линии. Вы можете для каждой из этих функций выбрать свою систему и потом попытаться интегрировать. Третий сценарий тоже достаточно интересный – это использование класса систем, которые не являются системами в предметной области данной автоматизации, т.е. они не позиционируют себя как системы внутреннего контроля, управления рисками или внутреннего аудита. Системы класса BPM, системы автоматизации бизнесс-процессов, которые позволяют очень гибко настроить любые офисные процессы под свою специфику. Она способна покрыть любой блок, но нужно понимать, что BPM-система ничего не знает ни про внутренний контроль, ни про внутренний аудит и практически всю логику работы этой системы вам нужно будет настраивать под себя, индивидуально. Вклад в постановку задач и описание технического задания, будет гораздо выше, но у вас есть шанс получить максимально соответствующую вашим запросам систему при этом.

Давайте скрасим возможные сценарии. Первый сценарий – это когда мы закрываем одной системой все потребности. В нем сравниваются преимущества систем класса GRS и BPM. К преимуществам GRS мы относим то, что сиcтема приходит уже с какими-либо преднастроенными процессами и логикой, ее можно достроить с небольшими усилиями, в случае, если у вас нет экcтраординарных требований. При этом, надо исходить из того, что не для всех блоков такая система может подойти идеально. Какой-то функционал в ней может быть развит хуже, чем в специализированных системах и могут требоваться доработки. Системе BPM присуща максимальная гибкость, при которой вы можете ни в чем себе не отказывать, очень широкий набор современных технологических инструментов, но система приходит к вам как «пустышка», в ней нет никакой преднастроенной логики. Вам нужно будет с самого начала все процессы, формы, таблицы и поля - все настраивать под себя. Это более трудоемкое внедрение в систему.

Второй сценарий – это использование лучшей системы в своем классе. В этой ситуации вы можете выбрать для каждой задачи лучшее решение, в котором каждый отдельный модуль будет прекрасен. Каждый модуль можно будет достаточно быстро настроить, внедрить и т.д., но вам нужно будет решать задачи интеграции, взаимодействия между этими совершенно разнородными системами, и это здесь является главным риском, поскольку это потребует определенных доработок, и какие-то системы могут плохо интегрироваться друг с другом. Выбор стратегии автоматизации будет строиться в современном мире на этих трех сценариях. Вы должны определиться с тем, по какому сценарию вы пойдете и это даст вам понимание о том, какие вам нужны продукты для внедрения. Если вы пойдете по системе «комбайна», то вы однозначно будете рассматривать системы, имеющие узкий функционал. Это решение нужно принимать с самого начала, согласовывая его с IT-стратегией компании, если такая имеет место быть, поскольку там некоторые моменты предписаны.
На этом рисунке мы привели верхнеуровневый демонстративный анализ. В первой колонке отметили функционал, который, по нашему мнению, наиболее часто требуется для автоматизации, исходя из того как эта потребность выстроена у наших клиентов. Дальше смотрим как в каждом из сценариев эти потребности можно решить. Максимальная решаемость вопросов предусмотрена лучше в своем классе, но там есть проблемы с интеграцией. Остальные сценарии обладают теми или иными преимуществами. Сначала стоит вопрос о том, что мы хотим автоматизировать, потом – какой системой мы пойдем, потом – какие продукты выбираем под те задачи, которые у нас стоят в контексте сценария. Когда мы уже приступаем к проекту, то здесь могут подстерегать неожиданности и что-то может пойти не так.

Главный риск на этапе планирования – это неуверенность в целесообразности внедрения. Это означает, что вы как инициатор этого внедрения, не убедили менеджмент, тех кто принимает решения о выделении бюджета в целесообразность, не построили обоснование того, что это нужно. Отсутствие этой определенности может негативно повлиять на последующие этапы проекта, в силу того, что проект может измениться или отмениться в процессе реализации. Изначально вы не будете ожидать такого поворота событий. Требования могут быть определены на недостаточном уровне. Иными словами, вы хотите чуда, но не хотите определять конкретные параметры этого чуда. Это все, на этапе реализации, негативно повлияет на сроки и качество внедрения.

Выбор решения – это неоптимальный выбор, который делается по неполному перечню параметров, и приводит к необходимости большого количества доработок. Эту внедренную систему будет сложно развивать и поддерживать. Мы часто видим такие случаи. Как правило, система работает какое-то время, а потом ее забрасывают, потому что она не удовлетворяет пользователя и доработать ее невозможно, либо очень сложно. Или же система отторгается пользователями, и они продолжают работать в любимом Excel или других системах, и проект терпит фиаско. Очень важно понять объем проекта, четкий периметр. Если занизить периметр, то потом могут возникнуть определенные потребности, которые нельзя не учесть. Это приведет к тому, что проект не будет осуществлен в разумные сроки. Бюджет не будет соответствовать определенным потребностям и это приведет к проблемам с подрядчиком или с функционалом, или с выбором системы, которая не обладает всем тем, что вам нужно.

Оценка дублирования функций новой системы и функций существующих систем. Не проведя качественный анализ, вы можете допустить «нахлест», и при реализации вы столкнетесь с противодействием других подразделений, которые будут против того, чтобы вы что-то меняли в их процессах, внедряя вашу систему. Это тоже достаточно серьезный стоп-фактор.

Далее обсудим несовместимость системы с ландшафтом компании. Если вы забыли проконсультироваться с IT-подразделением, учесть требования IT-стратегий, может не получиться на этапе реализации что-либо реализовать, потому что это противоречит информационной безопасности, требованиям к платформам и т.д. Выбор подрядчика – тоже очень важно. Выбор проведен без объективного сравнения, только по критериям минимальной цены – вы получаете дешевого подрядчика, который ничего не может сделать, потому что у него нет опыта и ресурсов и т.д. Мы много раз это проходили, когда компания пытается экономить и в конечном итоге – проект не реализован. Тогда приходится его переигрывать и привлекать тех, у кого есть опыт. Это приводит к срыву сроков проекта или его отмене. Это сказывается на реализации проекта - качество проектного управления, контроль соблюдения сроков, контроль цепочек согласования отчетных документов. Любой бюрократией можно убить любую, даже самую качественно выполняемую разработку. Это краткая характеристика того, что нужно учитывать, когда вы входите в проект, для того, чтобы позаботиться заранее о важных моментах.

Какие существуют варианты решений. Например, в области управления рисками есть следующие решения: 1КЛИК (на базе 1С), ADVANTA, ПЕЛИКАН, LANCELOT, FIS. Это все системы управления рисками, которые разрабатываются в России.

Идеальным вариантом «коробочного» продукта для автоматизации внутреннего аудита я могу назвать систему SVK.EXPERT, которую разработали эксперты Национального объединения внутренних аудиторов и контролеров. Подробнее о продукте можете узнать на сайте svk.expert или отправив запрос на электронную почту info@nuiac.ru


»
По материалам выступления Кудряшова Сергея, партнера, руководителя Группы операционных рисков, «Делойт» СНГ на XI конференции «Внутренний контроль и аудит в России. Оптимизация стратегии для обеспечения эффективности деятельности».