Что с этим делать и как правильно построить работу по повышению уровня технологизации? Во-первых, надо понять, что такая модернизация или «цифровизация» охватывает все этапы аудиторского цикла, а также все этапы других контрольных функций. Очень странно делать автоматизацию таких задач без учета того, что эти изменения будут затрагивать очень широкий спектр функций. Если вы хотите чуда, то хочется автоматизировать всю деятельность от начала до конца, но тут очень важно опуститься на уровень «деталей», а не остаться на уровне светлого образа того, что у нас будет большая кнопка и она чудесно будет готовить нам аудиторский отчет. На данный момент, мы имеем ввиду под автоматизацией инструменты, которые помогут нам делать что-либо технологичнее и быстрее, возможно, делать это с большей глубиной, и большей точностью выводов, но мы не говорим о том, что мы полностью меняем необходимость человека в этой системе.
Давайте посмотрим, как нам перейти от абстрактного образа светлого будущего к конкретным задачам, которые могут лечь в основу технического задания на автоматизацию и как понять в каком периметре, и что мы хотим автоматизировать. Прежде всего, надо понять, что следует рассмотреть задачу автоматизации в более широком контексте, посмотреть сразу на все три линии, которые у нас есть. Посмотреть и на первую линию, на которой у нас выполняются те или иные элементы контроля внутри бизнес-процессов, и на вторую линию специализированных подразделений, которые занимаются координацией управления рисками по определенным направлениям, и на третью линию.
Вне зависимости от того, откуда пошла ваша инициатива по автоматизации, исходя из того, что все три линии должны работать гармонично, она неизбежно будет затрагивать оставшиеся две линии, поэтому есть смысл уже на этом уровне скоординировать свои усилия, и посмотреть на тот периметр, который вам будет целесообразно брать в задачу по автоматизации. Конечно, можно пойти по пути автоматизации лишь внутреннего аудита, но не обеспечить понятных правил взаимодействия, например, с управлением рисками в контексте вашего годового планирования. Тогда, возможно, ваша система не будет эффективна и в конечном итоге вы не достигните необходимого вам результата.
Задач по автоматизации на всех линиях достаточно, здесь мы приводим для примера лишь небольшое множество этих задач. На первой линии очень важно построить единое информационное пространство для владельцев рисков, позволить им удобно эту информацию видеть, вносить, изменять, согласовывать и т.д. На второй линии – весь спектр задач по управлению рисками, внутреннему контролю, непрерывности. Но, это только примеры – областей и задач по автоматизации внутреннего аудита намного больше. Весь этот комплекс – это потенциальный периметр автоматизации, даже если вы рассматриваете автоматизацию своей функции в изоляции от других. Очень важно понять, какие направления автоматизации вам нужно построить для того, чтобы вам достичь ваших результатов.
Что может автоматизироваться на примере внутреннего аудита на годовом цикле? Это автоматизация планирования, документирования, систематизация документации, создание единой рабочей среды для проведения аудита и ведение документации, учитывая территориальную распределенность, необходимость работы в местах, где нет связи, использование единых стандартов документации, единообразие удобства контроля качества, внедрение единой методологии проверок, автоматизация мониторинга исполнения и внедрения аудиторских рекомендаций, обеспечение конфиденциальности, поддержка процессов проверки качества, внешних оценок и т.д. Это пример широкого подхода к определению блока задач автоматизации. Кроме этого, не стоит забывать, что автоматизироваться будет не только то, что касается жизненного цикла проведения проверок, но автоматизировать можно также инструментарий, который в этих проверках используется - это разные типы тестирования, которые могут быть технологизированны.
Как правило, в современной ситуации, речь идет об автоматизации базового уровня. Это предиктивная аналитика, это визуализация данных, это первый слой автоматизации, который, как правило, будет всех интересовать. Следующие технологии являются более продвинутыми, в силу чего они имеют гораздо более широкое применение и для цели управления рисками, и для внутреннего контроля, и внутреннего аудита. Они могут в большей степени являться тем самым механизмом катализации изменений в компании, которые может использовать внутренний аудит или любой другой контрольный орган. Если вы создали какую-то систему, то эта система, помимо того, что она будет выполнять контрольные функции, может быть передана непосредственно на первую линию и будет уже работать как система производственная, помогая первой линии, помогая вашему бизнесу делать сразу все правильно, а не просто работать как технология последующего контроля.
Существует несколько подходов к тому, как эти функции можно автоматизировать. Поскольку одной идеальной системы, которая закрыла бы все аспекты, нет – есть несколько подходов. Первый сценарий, который наиболее известен всем, это когда мы пытаемся найти очень развитую систему, систему уровня GRS, как это называется в англоязычной терминологии, которая охватывает автоматизацию задач на всех линиях. Здесь я в качестве иллюстрации показал то, как некая абстрактная развитая система GRS закрывает те или иные задачи автоматизации. Как вы видите, все равно остаются области (здесь их три – предиктивная оценка показателей, оценка уровня из культуры и непрерывность бизнеса), которых может не оказаться.
В этой ситуации вы должны четко понимать, какие области вы хотите автоматизировать. Поскольку это «комбайн», то бывает так, что далеко не все функции будут в нем организованны лучшим способом. Возможно на рынке есть решения, которые какую-то конкретную функцию, например, внутренний аудит, будут организовывать лучше, чем это универсальное решение. Это вторая альтернатива, которую вы можете выбрать. Вы можете пойти по пути выбора для каждой функции, которую вы собираетесь автоматизировать, лучшего решения в своем классе. Например, вы хотите внутренний аудит, внутренний контроль и проектное управление на первой линии. Вы можете для каждой из этих функций выбрать свою систему и потом попытаться интегрировать. Третий сценарий тоже достаточно интересный – это использование класса систем, которые не являются системами в предметной области данной автоматизации, т.е. они не позиционируют себя как системы внутреннего контроля, управления рисками или внутреннего аудита. Системы класса BPM, системы автоматизации бизнесс-процессов, которые позволяют очень гибко настроить любые офисные процессы под свою специфику. Она способна покрыть любой блок, но нужно понимать, что BPM-система ничего не знает ни про внутренний контроль, ни про внутренний аудит и практически всю логику работы этой системы вам нужно будет настраивать под себя, индивидуально. Вклад в постановку задач и описание технического задания, будет гораздо выше, но у вас есть шанс получить максимально соответствующую вашим запросам систему при этом.
Давайте скрасим возможные сценарии. Первый сценарий – это когда мы закрываем одной системой все потребности. В нем сравниваются преимущества систем класса GRS и BPM. К преимуществам GRS мы относим то, что сиcтема приходит уже с какими-либо преднастроенными процессами и логикой, ее можно достроить с небольшими усилиями, в случае, если у вас нет экcтраординарных требований. При этом, надо исходить из того, что не для всех блоков такая система может подойти идеально. Какой-то функционал в ней может быть развит хуже, чем в специализированных системах и могут требоваться доработки. Системе BPM присуща максимальная гибкость, при которой вы можете ни в чем себе не отказывать, очень широкий набор современных технологических инструментов, но система приходит к вам как «пустышка», в ней нет никакой преднастроенной логики. Вам нужно будет с самого начала все процессы, формы, таблицы и поля - все настраивать под себя. Это более трудоемкое внедрение в систему.
Второй сценарий – это использование лучшей системы в своем классе. В этой ситуации вы можете выбрать для каждой задачи лучшее решение, в котором каждый отдельный модуль будет прекрасен. Каждый модуль можно будет достаточно быстро настроить, внедрить и т.д., но вам нужно будет решать задачи интеграции, взаимодействия между этими совершенно разнородными системами, и это здесь является главным риском, поскольку это потребует определенных доработок, и какие-то системы могут плохо интегрироваться друг с другом. Выбор стратегии автоматизации будет строиться в современном мире на этих трех сценариях. Вы должны определиться с тем, по какому сценарию вы пойдете и это даст вам понимание о том, какие вам нужны продукты для внедрения. Если вы пойдете по системе «комбайна», то вы однозначно будете рассматривать системы, имеющие узкий функционал. Это решение нужно принимать с самого начала, согласовывая его с IT-стратегией компании, если такая имеет место быть, поскольку там некоторые моменты предписаны.