Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

среда, 23 ноября 2016 г.

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 2.



После того, как мы разобрались с целями внедрения аналитики, следующий важный и, пожалуй, самый труднореализуемый шаг: для каждой из выбранных целей определить набор необходимых навыков и модель сорсинга. Для этого нужно ответить для себя на ряд вопросов:
·         Как много аудитов будет покрываться аналитическими процедурами? Большинство или малая часть? По всем направлениям или каким-то конкретным?
·         Объем транзакций, которые нужно обрабатывать большой или нет?
·         Размер аудиторской команды?
·         Фокус аналитическими процедур больше направлен на рутинные операции или требует продвинутой аналитики?
Моделей есть четыре, но это не значит, что выбрать нужно только одну и неукоснительно ей следовать. Для разных целей это может быть комбинация из моделей или они могут использоваться на разных этапах реализации нашей программы по внедрению аналитики. Две модели предусматривают наличие специалистов внутри функции внутреннего аудита – децентрализованную и централизованную. Третья модель предлагает использовать специалистов по аналитике данных вне внутреннего аудита, но внутри компании.  Последняя модель – это пылко рекомендуемый консультантами аутсорсинг. Рассмотрим каждую модель поближе – в каком случае их более рационально использовать, чем их преимущества и какие у них слабые места.
Начнём с внутренней децентрализованной.  Модель предполагает наличие навыков аналитики данных у всех членов аудиторской команды. Ее наиболее целесообразно использовать при следующих условиях:
·         Аудиторская команда небольшая.
·         Аналитика данных используется в большинстве аудиторских проверок.
·         Цели аналитики в основном направлены на рутинные операции.
·         В компании большой объем транзакций и стабильные устоявшиеся наборы данных.
·         Доступ к инструментарию есть у всех членов аудиторской команды.
Преимуществами данной модели являются естественная интеграция аналитики данных в аудиторские процессы, отсутствие необходимости найма дополнительного персонала, а также отсутствие зависимости выполнения аналитических процедур от конкретных сотрудников.
Наряду с указанными преимуществами модель обладает рядом недостатков. Например, необходимостью раскошелиться на дополнительное обучение сотрудников. При этом, чем больше команды, тем больше нужно времени и инвестиций. Для больших команд модель реализуется достаточно сложно. Кроме того, новые требования к навыкам и необходимость изменений, как правило, вызывают страх и сопротивление команды на борьбу с которыми понадобятся дополнительные усилия.
Так же следует учесть, что обучение занимает определенное время, а практический опыт растет еще медленнее, следует настроиться на то, что внедрение модели займет существенное время.
Следующая модель – внутренняя централизованная. Она предполагает сосредоточение экспертизы и технологий внутри выделенной команды в функции внутреннего аудита. При этом команда на ряду с навыками стандартных аналитических процедур обладает так же навыками «продвинутой» аналитики. Модель наиболее целесообразно использовать для больших аудиторских команд и в случае необходимости использования «продвинутой аналитики».
Плюс данной модели в наличии собственной экспертизы «продвинутой» аналитики. Но за это придется расплачиваться дополнительными тренингами и, возможно, наймом дополнительного персонала. При этом следует помнить, что компетенцией обладают далеко не все члены аудиторской команды и центр компетенций – ресурс ограниченный.  Поэтому придется тщательно планировать вовлечение аналитиков в тот или иной аудиторский проект. Найти специалиста в области аудита и «продвинутой» аналитики крайне трудно. Скорее всего у команды аналитиков будет недостаток аудиторского опыта. Это также потребует дополнительных затрат на взаимодействие аудиторской и аналитической команд.
Третья модель предусматривает использование существующего в компании центра экспертизы аналитики данных вне функции внутреннего аудита. На практике это может быть подразделение бизнес-аналитики, работающее с внедренным в компании BI-решением. Использование данной модели целесообразно, если предполагается небольшое количество аудитов, требующих аналитики данных. Ну, и, разумеется, если в компании есть подразделение бизнес-аналитики или что-то аналогичное.
Данная модель хороша, если мы хотим поэкспериментировать с использованием аналитики и получить «быстрые победы», поскольку центр уже существует. Нанимать и обучать никого не нужно.
К сожалению, на практике использование данной модели не выглядит так прекрасно, как кажется. Подразделение имеет собственные цели и задачи и обеспечить необходимые приоритеты для задач внутреннего аудита достаточно сложно. Появляется зависимость от работы внешнего подразделения. К тому же, сотрудники данного подразделения, хотя и обладают навыками аналитики, но не обладают аудиторской экспертизой. Поэтому необходимо выделять дополнительное время и ресурсы на совместную работу с аналитиками. Все перечисленные факторы делают интеграцию аналитики в аудиторские процессы довольно затруднительными. Данную модель лучше всего использовать в самом начале для «пощупать», «понять», «определиться», а затем рассмотреть другие возможные варианты.
Последняя модель - это когда ресурсы, экспертиза и технологии предоставляются третьей стороной. Т.е. аутсорсинг. Использование аутсорсинга уместно при малом количестве аудитов, требующих аналитики данных. При этом, команда внутреннего аудита и экспертиза аналитики данных – небольшие. Использование аутсорсинга также уместно при проведении каких-либо специализированных проверок, опять же, требующих аналитики данных. Например, расследование мошенничества.
Преимуществом использования аутсорсинга являются доступность необходимой экспертизы, отсутствие необходимости заниматься вопросами ресурсов и технологий внутри функции и возможность показать «быстрые победы».
Но далеко не всегда мы готовы дать доступ третьей стороны к «чувствительным» данным компании. Использование аутсорсинга на постоянной основе – удовольствие достаточно дорогостоящее и никак не развивает собственную экспертизу. Если отказаться от него по той или иной причине – придется начинать все с нуля.

Третий шаг – выбор необходимого программного обеспечения с учетом наших целей и модели сорсинга. Тут необходимо учесть множество факторов как общих, рассматриваемых при выборе любого программного обеспечения, так и специфических. Среди общих нужно учесть такие критерии как доступность поддержки на случай, когда с программным обеспечением что-то пойдет не так или понадобится консультация. Нужно оценить во сколько обойдется приобретение и внедрение выбранного решения, а также сколько будет стоить его содержание. Оценить возможности интеграции с используемыми в компании информационными системами. Оценить наличие и доступность обучения по работе с выбранным решением. Учесть возможности масштабируемости решения на перспективу. Продумать и оценить моменты организации работы с данными. На этом моменте остановлюсь подробнее.
В первую очередь, нужно оценить наличие необходимых для аналитики данных. В каких системах они есть, как мы организуем туда доступ, насколько качественные эти данные и в каком формате они нам необходимы. Далее нужно определить, как мы с ними будем работать – собирать в централизованное хранилище, использовать корпоративное хранилище данных, брать из систем напрямую и т.д. Если собирать – то где, как и сколько хранить? А также обеспечить соблюдение всех корпоративных и регуляторных требований по обеспечению информационной безопасности и защиты персональных данных.
Добавляем к выше перечисленному специфические требования исходя из поставленных целей. Должна ли система быть способной эффективно обрабатывать большие объемы данных? Каким спектром аналитических и статистических функций и процедур она должна располагать? Должна ли обладать функционалом автоматического выполнения определенных процедур и формирования отчетности с заданной периодичностью? Есть ли в системе функционал логирования выполняемых с данными процедур? Есть ли возможность с минимальными усилиями внести изменения в выполненный набор процедур (например, повторить тот же набор с другими данными) и запустить автоматический повторный анализ?
Про виды программного обеспечения и его особенности я уже делал большой пост - повторяться не буду. 
Так что пока все. Впереди последняя часть - процесс и финальные штрихи.

Комментариев нет:

Отправить комментарий