Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

пятница, 9 декабря 2016 г.

Не лучшие практики ИТ-аудита

Недавно ISACA и Protiviti выпустили 5-е совместное исследование практик ИТ-аудита под названием «Глобальный взгляд на лучшие практики ИТ-аудита».  Обе компании достаточно уважаемые и с огромным опытом в области как ИТ так и аудита.  И именно поэтому исследование вызвало у меня столько недоумения. Не буду теребить тему того, что слово «лучшие» в контексте «практик» совсем не уместно. Это «ведущие», причем в смысле «наиболее распространённые на текущий момент». Но это перфекционистические бантики. А вот что действительно вызывает непонимание, так это позиционирование ИТ-аудита, как какого-то отдельного направления, которое должно взаимодействовать с аудитом. Да и взгляд на оценку ИТ-рисков тоже вызывает вопросы. Но давайте все по порядку. Выжимки сквозь призму субъективного восприятия.

Резюме для руководителей

Обычно этот раздел документа пишется для не имеющих времени и не желающих вникать в технические детали руководителей. В него включаются основные мысли, которые мы хотим до этих самых руководителей донести.
В исследовании этот раздел состоит из вступления о быстроразвивающихся технологиях и рисках кибер-безопасности, мало отличающееся от вступлений предыдущих исследований. После чего идет 6 наиболее важных по мнению ISACA и Protiviti наблюдений:
  1. Новые технологии, инфраструктурные изменения в ИТ, а также вопросы информационной безопасности – наиболее распространённые технические проблемы, с которыми сталкиваются ИТ-аудиторы. 
  2. Поиск квалифицированных ресурсов (в сфере ИТ-аудита) – по-прежнему проблема. 
  3. Во многих организациях ИТ-аудит подотчетен руководству мимо руководителя внутреннего аудита, что делает его работу неэффективной.
  4. Оценка ИТ-рисков абсолютно необходима.
  5. ИТ аудит нужно больше вовлекать в ИТ-проекты на ранних стадиях.
  6. Большая часть лидеров ИТ-аудита не могут объяснить сложные технические проблемы не-технической аудитории.
На этом резюме для руководителей внезапно заканчивается. На какие мысли руководителей должен был натолкнуть этот неструктурированный поток сознания – остается загадкой. Лично меня это натолкнуло на следующие мысли:
  1. Если задать вопрос про технические проблемы и предложить список ответов, логично, что выбирать будут те области, в которых их больше всего. Поэтому тренд такой стабильный.
  2. Проблема в поиске квалифицированных ИТ аудиторов - это часть общей проблемы поиска квалифицированного персонала для внутреннего аудита вообще. К тому же ситуация усугубляется тем, что для эффективной работы ИТ аудитор должен обладать совокупностью навыков, крайне редко сочетаемой в одной личности.
  3. Почему во многих компаниях ИТ аудит держится особняком – более-менее понятно. Не всегда понимание со стороны руководителя функции зачем же нужно это направление. Да и наблюдение номер 6 (неспособность к коммуникациям) говорит само за себя. Но вот почему сами исследователи позиционируют ИТ аудит как отдельный вид деятельности и пишут (в тексте исследования) о взаимоотношениях между внутренним аудитом и ИТ-аудитом – для меня большая загадка. Кто как не ISACA должна понимать, что ИТ – это функция поддерживающая бизнес, и которую нельзя рассматривать как что-то отдельное от бизнеса? И почему тогда ИТ-аудит – это не часть единого внутреннего аудита, рассматривающего работу бизнеса (и поддерживающие его технологии) как единое целое?
  4. То же самое про риски. Какие такие ИТ-риски у компании? Если что-то случается в ИТ – каков конечный эффект? Пострадает ИТ или бизнес, который эти ИТ поддерживает? Почему они должны оцениваться отдельно, а не комплексно с остальными?
  5. В сочетании дефицита квалифицированных кадров и неспособностью доносить ими технические проблемы до не-технического руководства, рекомендация побольше вовлекать ИТ-аудиторов в начальные фазы ИТ-проектов кажется несколько преждевременной.
  6. Неспособность доносить до руководства свои мысли – это всегда к неэффективности функции. Сложные технические вопросы не при чем. Дело сугубо в понимании проблемы и способности общаться. Тут если не можешь объяснить вопрос на уровне, понятном твоей бабушке – значит ты вопросом не владеешь.
Само исследование разбито на 5 разделов. Пройдемся по ним.

Наиболее популярные сейчас технические проблемы

Первый раздел показывает динамику популярности технологических проблем за последние три года (согласно этому и предыдущим исследованиям). Затем идут две страницы текста рассуждений о важности технологий, разнообразии существующих проблем, и важности человеческого фактора, написанного в лучших традициях индусского кода. Заканчивается раздел неожиданной мыслью о том, что в современном мире аудитор должен стать мостом, соединяющим пропасть между бизнесом и ИТ.

ИТ-аудит по отношению к внутреннему аудиту

Раздел посвящен развернутому обсуждению наблюдения номер 3 из резюме для руководителей и его последствий. Повторятся не буду. В конце раздела приводятся рекомендации лидерам и специалистам ИТ-аудита, некоторые из которых вызывают откровенное недоумение. Например, рекомендация «работать с руководством и правлением для обеспечения того, чтобы ИТ-аудит работал как независимая и беспристрастная функция в организации». От кого независимым? От внутреннего аудита? Почему ИТ-аудит не должен быть неотъемлемой частью внутреннего? И почему в существенные наблюдения не попал тот факт, что только 65% опрошенных руководителей функции внутреннего аудита обладают достаточной компетенцией для того, чтобы обсуждать технические вопросы с аудиторским комитетом? Не в этом ли истинная причина положения ИТ-аудита? А абсурдная рекомендация «стараться, чтобы минимум 20% аудиторских проверок было направлено на ИТ». С какого потолка взята эта цифра? Куда делось риск-ориентированное планирование?

Оценка ИТ-рисков

Еще один раздел из серии «мысль размытая на страницу». Единственный полезный совет – интегрировать оценку ИТ-рисков (а правильнее бизнес-рисков технического характера) в ERM.

Аудиторский план

Дважды перечитал раздел, пытаясь уловить канву, но не смог. Длинный раздел с пересказом кто как отвечал на вопросы на тему кто сколько тратит времени и ресурсов, на какие задачи и кто куда вовлечен. С промежуточными обобщениями из серии «средняя температура по больнице». В конце раздела – рекомендации никак не связанные с наблюдениями - делать ИТ-аудит по стандартам и вовлекать специалистов. И повтор опуса про «независимый ИТ-аудит».

Навыки и возможности

Последний раздел также представляет собой длинное перечисление ответов у кого сколько ресурсов, планируется набор новых, есть ли сертификаты, сколько денег тратится на обучение и т.д. В конце набор «ценных» рекомендаций на тему того, что нужно покупать тренинги, всем по сертификату CISA и 40 часов профессионального обучения в год.

В сухом остатке

В целом исследование представляет собой длинный (почти 50 страниц) набор плохо структурированного текста. Много наблюдений без выводов и немного рекомендаций мало связанных с наблюдениями.  Концовка в стиле «кипи купи наши услуги!» только усугубляет негативное восприятие и невольно наводит на мысль, что навязывание покупки услуг – единственная цель исследования. 

вторник, 29 ноября 2016 г.

Обзор изменений стандартов внутреннего аудита 2017 – курс на проактивность.

2017 год не за горами и вскоре вступят в силу обновленные международные стандарты внутреннего аудита. Пока представители локальных чаптеров корпят над их переводом, решил сделать обзор изменений.
Правок в тексте достаточно много. В глаза бросается более проактивная роль руководителя внутреннего аудита (Chief Audit Executive) в частности и функции в целом. Пройдемся сначала по руководителю внутреннего аудита (дальше по тексту CAE), а потом по всему остальному.

Изменения касательно CAE

Независимость и объективность

Стандарт 1110.A1 (деятельность внутреннего аудита должна быть свободна от влияния в определении объемов аудиторских процедур, их выполнения и коммуникации результатов) дополнился требованиями к CAE раскрывать попытки влияния правлению и обсуждать последствия.
Появился новый стандарт 1112 – Роли CAE вне внутреннего аудита. В случае наличия ролей у CAE вне внутреннего аудита (например в комплайенс, риск-менеджмент) стандарт требует обеспечить механизмы, ограничивающие влияние этих ролей на независимость и объективность CAE.

Программа качества

Интерпретация 1300 (Программа обеспечения и улучшения качества) дополнилась пожеланием к CAE активно привлекать правление к надзору за программой обеспечения и улучшения качества.
Аналогичное дополнение появилось также и в 1312 (Внешняя оценка), где CAE должен активно «поощрять» правление проводить внешнюю оценку для того, что снизить риск конфликта интересов.
В 1320 (Отчетность по программе обеспечения и улучшения качества), который требует от CAE коммуницировать результаты работы программы менеджменту и правлению, появилось детальное содержание такой отчетности:
  • Частота и объем внешней и внутренней оценки.
  • Квалификация и независимость оценщика (ов) или группы по оценке, в том числе потенциальные конфликты интересов. 
  • Выводы оценщиков.
  • План корректирующих действий.

Стандарты деятельности

Изменилась интерпретация 2010 (Планирование). Теперь CAE, при разработке риск-ориентированного плана, не «принимает во внимание существующие подходы по управлению рисками, если они есть, или использует свое профессиональное мнение», а «консультируется с высшим руководством и правлением для понимания организационной стратегии, ключевых бизнес-инициатив, ассоциированных с ними рисков и процессов управления рисками».
Стандарт 2050 из «Координации» превратился в «Координацию и доверие». Теперь CAE должен не только координировать деятельность и обмениваться информацией с другими внутренними и внешними поставщиками аудиторских и консалтинговых услуг для того, чтобы исключить дублирование усилий и обеспечить адекватное покрытие, но и оценивать компетентность и объективность других поставщиков, если планирует полагаться на их работу.
Интерпретация стандарта 2060 (Отчетность высшему руководству и правлению) теперь содержит перечень того, что CAE должен включать в отчетность высшему руководству и правлению:
  • Устав внутреннего аудита.
  • Независимость деятельности внутреннего аудита.
  • Аудиторский план и факт выполнения.
  • Требуемые ресурсы.
  • Результаты аудиторской деятельности.
  • Соответствие Кодексу этики и Стандартам, а также план действий по устранению любых существенных несоответствий.
  • Ответы менеджмента на риск, которые по мнению CAE, могут быть неприемлемы для организации.

Другие изменения

1130 (Влияние на независимость или объективность) дополнился 1130.A3, который разрешает внутреннему аудиту предоставлять аудиторские услуги в областях, где ранее предоставлялись консалтинговые, при условии, что предмет консалтинга не влияет на объективность команды.
Интерпретация 1300 (Программа обеспечения и улучшения качества) дополнилась уточнением, что внешний оценщик должен оценить соответствие Кодексу этики и Стандартам и может дать комментарии по операционным и стратегическим вопросам.
В интерпретацию стандарта 2000 (Управление деятельностью внутреннего аудита) добавлен еще один критерий эффективности управления деятельностью аудита. Теперь, помимо прочего, она считается эффективной, если учитывает тенденции и возникающие проблемы, которые могли бы повлиять на организацию.
2100 (Сущность работы внутреннего аудита) дополнено предложением о том, что репутация и польза внутреннего аудита повышаются, когда аудиторы проактивны и их оценки предлагают новые идеи и учитывают влияние в будущем.
В стандарте 2110 (Корпоративное управление) к перечню того, что должно попадать под оценку аудиторских процедур и предоставление рекомендаций, добавилось еще два пункта (причем в начало списка):
  • Принятие стратегических и операционных решений.
  • Надзор за управлением рисками и контролем.
Стандарт 2200 (Планирование аудиторского задания) дополнился требованием о том, что план должен учитывать стратегию компании, бизнес-цели и риски, релевантные к аудиторскому заданию. Об этом же говориться и в 2450 (Общие выводы) касательно выводов.
Согласно 2330 (Документирование информации) теперь информация, которые внутренние должны документировать для подтверждения результатов аудиторского задания, должна быть не только релевантной, но еще и достаточной, надежной и полезной.
 
В целом, достаточно здравая идея запихнуть очевидные вещи в стандарты, чтобы попробовать расшевелить приверженцев старой школы  "мы всегда так работали и все было хорошо". Посмотрим что из этого выйдет на практике.
 
P.S.
Перестановки абзацев, изменение регистра букв, замену слов синонимами и вставки ссылок на IPFF  оставлю для самостоятельной проработки истинным перфекционистам. ;)

четверг, 24 ноября 2016 г.

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 3

Итак, мы поставили цели, определились с человеческими ресурсами и технологиями. Можно начинать? Пока рано. Нужно продумать как будет работать процесс аналитики в рамках аудиторской проверки с учетом всех требований к аудиторским процессам. Например, как будет организовано управление изменениями в процессе? Кто, когда, как и что будет менять в случае необходимости изменений? Как организовать проверку качества, полноты и достоверности получаемых для анализа данных? Кто, куда и как имеет доступ к данным и процесс управления этим доступом. Вопросы организации соблюдения требований безопасности (уже не с точки зрения системы, а с точки зрения процесса).

Отдельно нужно продумать требования к документированию процесса аналитики. Чтобы, с одной стороны, это не занимало много времени, а с другой – не превратило процесс в «черный ящик». Как и в случае с документированием других аудиторских процедур, требования должны обеспечить возможность независимому специалисту с нужной квалификацией воспроизвести последовательность процедур и прийти к тем же результатам и выводам.
Также нужно продумать вопросы организации поддержки. Если что-то пошло не так – куда и как обращаться? Какой срок реагирования? Кто отвечает за обеспечения этих требований?
Еще один нюанс, который обязательно нужно учитывать при организации процесса – это последовательность выполнения действий. Во всех множествах исследований и рекомендаций консультанты почему-то показывают процесс аналитики как линейный. Огромное множество методик сводится к последовательному планированию, получению данных, анализу и представлению результатов.

Может быть, где-то в параллельной вселенной, все так и происходит, как в учебниках, на практике же процесс не всегда линейный. По методологии мы начинаем с формулировки вопроса, на который мы хотим ответить, выполняя аналитические процедуры. Для этого мы запрашиваем данные, которые по нашему мнению необходимы для ответа на данный вопрос. Далее делаем некий разведочный анализ. Т.е. убеждаемся в полноте, качестве и достоверности данных, а также в том, что их достаточно для ответа на наш вопрос. Но иногда мы не можем четко сформулировать наш вопрос. Поэтому мы начинаем с данных, делаем предварительный анализ, формулируем вопрос, а затем снова запрашиваем данные, уже для ответа на сформулированный вопрос. Иногда во время разведочного анализа мы можем выявить любопытные закономерности, которые порождают дополнительные вопросы. Для ответа на которые, мы снова запрашиваем данные.  После разведочного анализа мы переходим непосредственно к анализу данных и интерпретации результатов. Т.е. формулировке выводов по результатам анализа данных. Тут мы можем выявить интересные нам закономерности и задаться вопросом - а не характерны ли они для других периодов/регионов/товаров/услуг/людей и т.д.? И мы возвращаемся к формулировке вопроса и повторяем цикл. Если же мы удовлетворились выводами и новых вопросов не возникло - мы коммуницируем о наших результатах заинтересованным сторонам и предоставляем рекомендации. На основании наших наблюдений и рекомендаций руководство принимает решение.

Все очень похоже на обычный аудиторский цикл, только с более широким арсеналом аналитики. И некоторые части процесса могут быть итерационными. Это очень важно понимать, когда у нас нет прямого доступа ко всем данным или анализ зависит от выделенного аналитика.
Итак, почти готово. У нас есть цель, понимание, кто будет делать, что, как и чем. Нужно удостовериться, что в процессе реализации мы двигаемся в нужном направлении и достигаем поставленных целей. Т.е. определить, как мы будем измерять наши результаты. В чем именно измерять зависит от поставленных целей. Это может быть соотношение понесенных затрат к приобретенным выгодам, ключевые показатели эффективности или ключевые показатели риска, снижение штрафов, повышение производительности труда и т.д. Главное, чтобы показатель не был абстрактным. Должна быть шакала измерения и целевое значение, которое мы хотим достичь и с которым будем сравнивать наши реальные результаты. Ну и он был понятен всем заинтересованным сторонам.
Если все еще гложут сомнения об эффективности и результативности намеченной программы – можно провести пилот. Он не должен быть большим. Должен покрывать легко достижимые задачи. Если цель автоматизация аналитических процедур, то покрывать те задачи, которые легко поддаются автоматизации. Основная цель пилота – быстро попробовать и, если необходимо, внести изменения с учетом полученного опыта.
И напоследок еще один крайне важный шаг. После того, как мы сформировали программу внедрения аналитики, необходимо синхронизировать свое понимание со стейкхолдерами и заручится их поддержкой. Наилучший способ это сделать – отразить программу внедрения аналитики в стратегии развития функции внутреннего аудита и представить ее аудиторскому комитету и другим заинтересованным сторонам. После получения одобрения и начала реализации программы необходимо также организовать периодическую отчетность о ходе и результатах внедрения.
Резюмируя, еще раз хочу подчеркнуть, что внедрение аналитики - это не просто "купи и используй". Руководителю внутреннего аудита нужно проделать большую работу по разработке программы внедрения аналитики и ответить на множество вопросов, порой достаточно сложных вопросов. Для этого придется вовлечь большое количество участников. С руководством - определить направления и приоритетность задач, которые необходимо усилить аналитикой. С ИТ - обсудить вопросы доступа к данным, а также попросить помощи в формулировании требований по интеграции выбираемого решения с существующими системами. С кадрами - вопросы найма и развития персонала под реализацию программы. Все это воспринимается громоздким и сложным, но если все сделать правильно, выгоды превысят затраты. Дорогу осилит идущий. Ну а для тех, кто не готов эволюционировать - всегда остаются оправдания в виде "некачественных данных", "боязни инвестировать" и проверенные временем технологии "классического" подхода давностью в четверть века.

среда, 23 ноября 2016 г.

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 2.



После того, как мы разобрались с целями внедрения аналитики, следующий важный и, пожалуй, самый труднореализуемый шаг: для каждой из выбранных целей определить набор необходимых навыков и модель сорсинга. Для этого нужно ответить для себя на ряд вопросов:
·         Как много аудитов будет покрываться аналитическими процедурами? Большинство или малая часть? По всем направлениям или каким-то конкретным?
·         Объем транзакций, которые нужно обрабатывать большой или нет?
·         Размер аудиторской команды?
·         Фокус аналитическими процедур больше направлен на рутинные операции или требует продвинутой аналитики?
Моделей есть четыре, но это не значит, что выбрать нужно только одну и неукоснительно ей следовать. Для разных целей это может быть комбинация из моделей или они могут использоваться на разных этапах реализации нашей программы по внедрению аналитики. Две модели предусматривают наличие специалистов внутри функции внутреннего аудита – децентрализованную и централизованную. Третья модель предлагает использовать специалистов по аналитике данных вне внутреннего аудита, но внутри компании.  Последняя модель – это пылко рекомендуемый консультантами аутсорсинг. Рассмотрим каждую модель поближе – в каком случае их более рационально использовать, чем их преимущества и какие у них слабые места.
Начнём с внутренней децентрализованной.  Модель предполагает наличие навыков аналитики данных у всех членов аудиторской команды. Ее наиболее целесообразно использовать при следующих условиях:
·         Аудиторская команда небольшая.
·         Аналитика данных используется в большинстве аудиторских проверок.
·         Цели аналитики в основном направлены на рутинные операции.
·         В компании большой объем транзакций и стабильные устоявшиеся наборы данных.
·         Доступ к инструментарию есть у всех членов аудиторской команды.
Преимуществами данной модели являются естественная интеграция аналитики данных в аудиторские процессы, отсутствие необходимости найма дополнительного персонала, а также отсутствие зависимости выполнения аналитических процедур от конкретных сотрудников.
Наряду с указанными преимуществами модель обладает рядом недостатков. Например, необходимостью раскошелиться на дополнительное обучение сотрудников. При этом, чем больше команды, тем больше нужно времени и инвестиций. Для больших команд модель реализуется достаточно сложно. Кроме того, новые требования к навыкам и необходимость изменений, как правило, вызывают страх и сопротивление команды на борьбу с которыми понадобятся дополнительные усилия.
Так же следует учесть, что обучение занимает определенное время, а практический опыт растет еще медленнее, следует настроиться на то, что внедрение модели займет существенное время.
Следующая модель – внутренняя централизованная. Она предполагает сосредоточение экспертизы и технологий внутри выделенной команды в функции внутреннего аудита. При этом команда на ряду с навыками стандартных аналитических процедур обладает так же навыками «продвинутой» аналитики. Модель наиболее целесообразно использовать для больших аудиторских команд и в случае необходимости использования «продвинутой аналитики».
Плюс данной модели в наличии собственной экспертизы «продвинутой» аналитики. Но за это придется расплачиваться дополнительными тренингами и, возможно, наймом дополнительного персонала. При этом следует помнить, что компетенцией обладают далеко не все члены аудиторской команды и центр компетенций – ресурс ограниченный.  Поэтому придется тщательно планировать вовлечение аналитиков в тот или иной аудиторский проект. Найти специалиста в области аудита и «продвинутой» аналитики крайне трудно. Скорее всего у команды аналитиков будет недостаток аудиторского опыта. Это также потребует дополнительных затрат на взаимодействие аудиторской и аналитической команд.
Третья модель предусматривает использование существующего в компании центра экспертизы аналитики данных вне функции внутреннего аудита. На практике это может быть подразделение бизнес-аналитики, работающее с внедренным в компании BI-решением. Использование данной модели целесообразно, если предполагается небольшое количество аудитов, требующих аналитики данных. Ну, и, разумеется, если в компании есть подразделение бизнес-аналитики или что-то аналогичное.
Данная модель хороша, если мы хотим поэкспериментировать с использованием аналитики и получить «быстрые победы», поскольку центр уже существует. Нанимать и обучать никого не нужно.
К сожалению, на практике использование данной модели не выглядит так прекрасно, как кажется. Подразделение имеет собственные цели и задачи и обеспечить необходимые приоритеты для задач внутреннего аудита достаточно сложно. Появляется зависимость от работы внешнего подразделения. К тому же, сотрудники данного подразделения, хотя и обладают навыками аналитики, но не обладают аудиторской экспертизой. Поэтому необходимо выделять дополнительное время и ресурсы на совместную работу с аналитиками. Все перечисленные факторы делают интеграцию аналитики в аудиторские процессы довольно затруднительными. Данную модель лучше всего использовать в самом начале для «пощупать», «понять», «определиться», а затем рассмотреть другие возможные варианты.
Последняя модель - это когда ресурсы, экспертиза и технологии предоставляются третьей стороной. Т.е. аутсорсинг. Использование аутсорсинга уместно при малом количестве аудитов, требующих аналитики данных. При этом, команда внутреннего аудита и экспертиза аналитики данных – небольшие. Использование аутсорсинга также уместно при проведении каких-либо специализированных проверок, опять же, требующих аналитики данных. Например, расследование мошенничества.
Преимуществом использования аутсорсинга являются доступность необходимой экспертизы, отсутствие необходимости заниматься вопросами ресурсов и технологий внутри функции и возможность показать «быстрые победы».
Но далеко не всегда мы готовы дать доступ третьей стороны к «чувствительным» данным компании. Использование аутсорсинга на постоянной основе – удовольствие достаточно дорогостоящее и никак не развивает собственную экспертизу. Если отказаться от него по той или иной причине – придется начинать все с нуля.

Третий шаг – выбор необходимого программного обеспечения с учетом наших целей и модели сорсинга. Тут необходимо учесть множество факторов как общих, рассматриваемых при выборе любого программного обеспечения, так и специфических. Среди общих нужно учесть такие критерии как доступность поддержки на случай, когда с программным обеспечением что-то пойдет не так или понадобится консультация. Нужно оценить во сколько обойдется приобретение и внедрение выбранного решения, а также сколько будет стоить его содержание. Оценить возможности интеграции с используемыми в компании информационными системами. Оценить наличие и доступность обучения по работе с выбранным решением. Учесть возможности масштабируемости решения на перспективу. Продумать и оценить моменты организации работы с данными. На этом моменте остановлюсь подробнее.
В первую очередь, нужно оценить наличие необходимых для аналитики данных. В каких системах они есть, как мы организуем туда доступ, насколько качественные эти данные и в каком формате они нам необходимы. Далее нужно определить, как мы с ними будем работать – собирать в централизованное хранилище, использовать корпоративное хранилище данных, брать из систем напрямую и т.д. Если собирать – то где, как и сколько хранить? А также обеспечить соблюдение всех корпоративных и регуляторных требований по обеспечению информационной безопасности и защиты персональных данных.
Добавляем к выше перечисленному специфические требования исходя из поставленных целей. Должна ли система быть способной эффективно обрабатывать большие объемы данных? Каким спектром аналитических и статистических функций и процедур она должна располагать? Должна ли обладать функционалом автоматического выполнения определенных процедур и формирования отчетности с заданной периодичностью? Есть ли в системе функционал логирования выполняемых с данными процедур? Есть ли возможность с минимальными усилиями внести изменения в выполненный набор процедур (например, повторить тот же набор с другими данными) и запустить автоматический повторный анализ?
Про виды программного обеспечения и его особенности я уже делал большой пост - повторяться не буду. 
Так что пока все. Впереди последняя часть - процесс и финальные штрихи.