Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

четверг, 24 ноября 2016 г.

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 3

Итак, мы поставили цели, определились с человеческими ресурсами и технологиями. Можно начинать? Пока рано. Нужно продумать как будет работать процесс аналитики в рамках аудиторской проверки с учетом всех требований к аудиторским процессам. Например, как будет организовано управление изменениями в процессе? Кто, когда, как и что будет менять в случае необходимости изменений? Как организовать проверку качества, полноты и достоверности получаемых для анализа данных? Кто, куда и как имеет доступ к данным и процесс управления этим доступом. Вопросы организации соблюдения требований безопасности (уже не с точки зрения системы, а с точки зрения процесса).

Отдельно нужно продумать требования к документированию процесса аналитики. Чтобы, с одной стороны, это не занимало много времени, а с другой – не превратило процесс в «черный ящик». Как и в случае с документированием других аудиторских процедур, требования должны обеспечить возможность независимому специалисту с нужной квалификацией воспроизвести последовательность процедур и прийти к тем же результатам и выводам.
Также нужно продумать вопросы организации поддержки. Если что-то пошло не так – куда и как обращаться? Какой срок реагирования? Кто отвечает за обеспечения этих требований?
Еще один нюанс, который обязательно нужно учитывать при организации процесса – это последовательность выполнения действий. Во всех множествах исследований и рекомендаций консультанты почему-то показывают процесс аналитики как линейный. Огромное множество методик сводится к последовательному планированию, получению данных, анализу и представлению результатов.

Может быть, где-то в параллельной вселенной, все так и происходит, как в учебниках, на практике же процесс не всегда линейный. По методологии мы начинаем с формулировки вопроса, на который мы хотим ответить, выполняя аналитические процедуры. Для этого мы запрашиваем данные, которые по нашему мнению необходимы для ответа на данный вопрос. Далее делаем некий разведочный анализ. Т.е. убеждаемся в полноте, качестве и достоверности данных, а также в том, что их достаточно для ответа на наш вопрос. Но иногда мы не можем четко сформулировать наш вопрос. Поэтому мы начинаем с данных, делаем предварительный анализ, формулируем вопрос, а затем снова запрашиваем данные, уже для ответа на сформулированный вопрос. Иногда во время разведочного анализа мы можем выявить любопытные закономерности, которые порождают дополнительные вопросы. Для ответа на которые, мы снова запрашиваем данные.  После разведочного анализа мы переходим непосредственно к анализу данных и интерпретации результатов. Т.е. формулировке выводов по результатам анализа данных. Тут мы можем выявить интересные нам закономерности и задаться вопросом - а не характерны ли они для других периодов/регионов/товаров/услуг/людей и т.д.? И мы возвращаемся к формулировке вопроса и повторяем цикл. Если же мы удовлетворились выводами и новых вопросов не возникло - мы коммуницируем о наших результатах заинтересованным сторонам и предоставляем рекомендации. На основании наших наблюдений и рекомендаций руководство принимает решение.

Все очень похоже на обычный аудиторский цикл, только с более широким арсеналом аналитики. И некоторые части процесса могут быть итерационными. Это очень важно понимать, когда у нас нет прямого доступа ко всем данным или анализ зависит от выделенного аналитика.
Итак, почти готово. У нас есть цель, понимание, кто будет делать, что, как и чем. Нужно удостовериться, что в процессе реализации мы двигаемся в нужном направлении и достигаем поставленных целей. Т.е. определить, как мы будем измерять наши результаты. В чем именно измерять зависит от поставленных целей. Это может быть соотношение понесенных затрат к приобретенным выгодам, ключевые показатели эффективности или ключевые показатели риска, снижение штрафов, повышение производительности труда и т.д. Главное, чтобы показатель не был абстрактным. Должна быть шакала измерения и целевое значение, которое мы хотим достичь и с которым будем сравнивать наши реальные результаты. Ну и он был понятен всем заинтересованным сторонам.
Если все еще гложут сомнения об эффективности и результативности намеченной программы – можно провести пилот. Он не должен быть большим. Должен покрывать легко достижимые задачи. Если цель автоматизация аналитических процедур, то покрывать те задачи, которые легко поддаются автоматизации. Основная цель пилота – быстро попробовать и, если необходимо, внести изменения с учетом полученного опыта.
И напоследок еще один крайне важный шаг. После того, как мы сформировали программу внедрения аналитики, необходимо синхронизировать свое понимание со стейкхолдерами и заручится их поддержкой. Наилучший способ это сделать – отразить программу внедрения аналитики в стратегии развития функции внутреннего аудита и представить ее аудиторскому комитету и другим заинтересованным сторонам. После получения одобрения и начала реализации программы необходимо также организовать периодическую отчетность о ходе и результатах внедрения.
Резюмируя, еще раз хочу подчеркнуть, что внедрение аналитики - это не просто "купи и используй". Руководителю внутреннего аудита нужно проделать большую работу по разработке программы внедрения аналитики и ответить на множество вопросов, порой достаточно сложных вопросов. Для этого придется вовлечь большое количество участников. С руководством - определить направления и приоритетность задач, которые необходимо усилить аналитикой. С ИТ - обсудить вопросы доступа к данным, а также попросить помощи в формулировании требований по интеграции выбираемого решения с существующими системами. С кадрами - вопросы найма и развития персонала под реализацию программы. Все это воспринимается громоздким и сложным, но если все сделать правильно, выгоды превысят затраты. Дорогу осилит идущий. Ну а для тех, кто не готов эволюционировать - всегда остаются оправдания в виде "некачественных данных", "боязни инвестировать" и проверенные временем технологии "классического" подхода давностью в четверть века.

Комментариев нет:

Отправить комментарий