Обзор изменений стандартов внутреннего аудита 2017 – курс на проактивность.

2017 год не за горами и вскоре вступят в силу обновленные международные стандарты внутреннего аудита. Пока представители локальных чаптеров корпят над их переводом, решил сделать обзор изменений.
Правок в тексте достаточно много. В глаза бросается более проактивная роль руководителя внутреннего аудита (Chief Audit Executive) в частности и функции в целом. Пройдемся сначала по руководителю внутреннего аудита (дальше по тексту CAE), а потом по всему остальному.

Изменения касательно CAE

Независимость и объективность

Стандарт 1110.A1 (деятельность внутреннего аудита должна быть свободна от влияния в определении объемов аудиторских процедур, их выполнения и коммуникации результатов) дополнился требованиями к CAE раскрывать попытки влияния правлению и обсуждать последствия.
Появился новый стандарт 1112 – Роли CAE вне внутреннего аудита. В случае наличия ролей у CAE вне внутреннего аудита (например в комплайенс, риск-менеджмент) стандарт требует обеспечить механизмы, ограничивающие влияние этих ролей на независимость и объективность CAE.

Программа качества

Интерпретация 1300 (Программа обеспечения и улучшения качества) дополнилась пожеланием к CAE активно привлекать правление к надзору за программой обеспечения и улучшения качества.
Аналогичное дополнение появилось также и в 1312 (Внешняя оценка), где CAE должен активно «поощрять» правление проводить внешнюю оценку для того, что снизить риск конфликта интересов.
В 1320 (Отчетность по программе обеспечения и улучшения качества), который требует от CAE коммуницировать результаты работы программы менеджменту и правлению, появилось детальное содержание такой отчетности:

• Частота и объем внешней и внутренней оценки.
• Квалификация и независимость оценщика (ов) или группы по оценке, в том числе потенциальные конфликты интересов. 
• Выводы оценщиков.
• План корректирующих действий.

Стандарты деятельности

Изменилась интерпретация 2010 (Планирование). Теперь CAE, при разработке риск-ориентированного плана, не «принимает во внимание существующие подходы по управлению рисками, если они есть, или использует свое профессиональное мнение», а «консультируется с высшим руководством и правлением для понимания организационной стратегии, ключевых бизнес-инициатив, ассоциированных с ними рисков и процессов управления рисками».
Стандарт 2050 из «Координации» превратился в «Координацию и доверие». Теперь CAE должен не только координировать деятельность и обмениваться информацией с другими внутренними и внешними поставщиками аудиторских и консалтинговых услуг для того, чтобы исключить дублирование усилий и обеспечить адекватное покрытие, но и оценивать компетентность и объективность других поставщиков, если планирует полагаться на их работу.
Интерпретация стандарта 2060 (Отчетность высшему руководству и правлению) теперь содержит перечень того, что CAE должен включать в отчетность высшему руководству и правлению:

• Устав внутреннего аудита.
• Независимость деятельности внутреннего аудита.
• Аудиторский план и факт выполнения.
• Требуемые ресурсы.
• Результаты аудиторской деятельности.
• Соответствие Кодексу этики и Стандартам, а также план действий по устранению любых существенных несоответствий.
• Ответы менеджмента на риск, которые по мнению CAE, могут быть неприемлемы для организации.

Другие изменения

1130 (Влияние на независимость или объективность) дополнился 1130.A3, который разрешает внутреннему аудиту предоставлять аудиторские услуги в областях, где ранее предоставлялись консалтинговые, при условии, что предмет консалтинга не влияет на объективность команды.

Интерпретация 1300 (Программа обеспечения и улучшения качества) дополнилась уточнением, что внешний оценщик должен оценить соответствие Кодексу этики и Стандартам и может дать комментарии по операционным и стратегическим вопросам.

В интерпретацию стандарта 2000 (Управление деятельностью внутреннего аудита) добавлен еще один критерий эффективности управления деятельностью аудита. Теперь, помимо прочего, она считается эффективной, если учитывает тенденции и возникающие проблемы, которые могли бы повлиять на организацию.
2100 (Сущность работы внутреннего аудита) дополнено предложением о том, что репутация и польза внутреннего аудита повышаются, когда аудиторы проактивны и их оценки предлагают новые идеи и учитывают влияние в будущем.

В стандарте 2110 (Корпоративное управление) к перечню того, что должно попадать под оценку аудиторских процедур и предоставление рекомендаций, добавилось еще два пункта (причем в начало списка):

• Принятие стратегических и операционных решений.
• Надзор за управлением рисками и контролем.

Стандарт 2200 (Планирование аудиторского задания) дополнился требованием о том, что план должен учитывать стратегию компании, бизнес-цели и риски, релевантные к аудиторскому заданию. Об этом же говориться и в 2450 (Общие выводы) касательно выводов.
Согласно 2330 (Документирование информации) теперь информация, которые внутренние должны документировать для подтверждения результатов аудиторского задания, должна быть не только релевантной, но еще и достаточной, надежной и полезной.

 

В целом, достаточно здравая идея запихнуть очевидные вещи в стандарты, чтобы попробовать расшевелить приверженцев старой школы  "мы всегда так работали и все было хорошо". Посмотрим что из этого выйдет на практике.

 

P.S.

Перестановки абзацев, изменение регистра букв, замену слов синонимами и вставки ссылок на IPFF  оставлю для самостоятельной проработки истинным перфекционистам. ;)

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 3

Итак, мы поставили цели, определились с человеческими ресурсами и технологиями. Можно начинать? Пока рано. Нужно продумать как будет работать процесс аналитики в рамках аудиторской проверки с учетом всех требований к аудиторским процессам. Например, как будет организовано управление изменениями в процессе? Кто, когда, как и что будет менять в случае необходимости изменений? Как организовать проверку качества, полноты и достоверности получаемых для анализа данных? Кто, куда и как имеет доступ к данным и процесс управления этим доступом. Вопросы организации соблюдения требований безопасности (уже не с точки зрения системы, а с точки зрения процесса).

Отдельно нужно продумать требования к документированию процесса аналитики. Чтобы, с одной стороны, это не занимало много времени, а с другой – не превратило процесс в «черный ящик». Как и в случае с документированием других аудиторских процедур, требования должны обеспечить возможность независимому специалисту с нужной квалификацией воспроизвести последовательность процедур и прийти к тем же результатам и выводам.
Также нужно продумать вопросы организации поддержки. Если что-то пошло не так – куда и как обращаться? Какой срок реагирования? Кто отвечает за обеспечения этих требований?
Еще один нюанс, который обязательно нужно учитывать при организации процесса – это последовательность выполнения действий. Во всех множествах исследований и рекомендаций консультанты почему-то показывают процесс аналитики как линейный. Огромное множество методик сводится к последовательному планированию, получению данных, анализу и представлению результатов.

Может быть, где-то в параллельной вселенной, все так и происходит, как в учебниках, на практике же процесс не всегда линейный. По методологии мы начинаем с формулировки вопроса, на который мы хотим ответить, выполняя аналитические процедуры. Для этого мы запрашиваем данные, которые по нашему мнению необходимы для ответа на данный вопрос. Далее делаем некий разведочный анализ. Т.е. убеждаемся в полноте, качестве и достоверности данных, а также в том, что их достаточно для ответа на наш вопрос. Но иногда мы не можем четко сформулировать наш вопрос. Поэтому мы начинаем с данных, делаем предварительный анализ, формулируем вопрос, а затем снова запрашиваем данные, уже для ответа на сформулированный вопрос. Иногда во время разведочного анализа мы можем выявить любопытные закономерности, которые порождают дополнительные вопросы. Для ответа на которые, мы снова запрашиваем данные.  После разведочного анализа мы переходим непосредственно к анализу данных и интерпретации результатов. Т.е. формулировке выводов по результатам анализа данных. Тут мы можем выявить интересные нам закономерности и задаться вопросом - а не характерны ли они для других периодов/регионов/товаров/услуг/людей и т.д.? И мы возвращаемся к формулировке вопроса и повторяем цикл. Если же мы удовлетворились выводами и новых вопросов не возникло - мы коммуницируем о наших результатах заинтересованным сторонам и предоставляем рекомендации. На основании наших наблюдений и рекомендаций руководство принимает решение.

Все очень похоже на обычный аудиторский цикл, только с более широким арсеналом аналитики. И некоторые части процесса могут быть итерационными. Это очень важно понимать, когда у нас нет прямого доступа ко всем данным или анализ зависит от выделенного аналитика.
Итак, почти готово. У нас есть цель, понимание, кто будет делать, что, как и чем. Нужно удостовериться, что в процессе реализации мы двигаемся в нужном направлении и достигаем поставленных целей. Т.е. определить, как мы будем измерять наши результаты. В чем именно измерять зависит от поставленных целей. Это может быть соотношение понесенных затрат к приобретенным выгодам, ключевые показатели эффективности или ключевые показатели риска, снижение штрафов, повышение производительности труда и т.д. Главное, чтобы показатель не был абстрактным. Должна быть шакала измерения и целевое значение, которое мы хотим достичь и с которым будем сравнивать наши реальные результаты. Ну и он был понятен всем заинтересованным сторонам.
Если все еще гложут сомнения об эффективности и результативности намеченной программы – можно провести пилот. Он не должен быть большим. Должен покрывать легко достижимые задачи. Если цель автоматизация аналитических процедур, то покрывать те задачи, которые легко поддаются автоматизации. Основная цель пилота – быстро попробовать и, если необходимо, внести изменения с учетом полученного опыта.
И напоследок еще один крайне важный шаг. После того, как мы сформировали программу внедрения аналитики, необходимо синхронизировать свое понимание со стейкхолдерами и заручится их поддержкой. Наилучший способ это сделать – отразить программу внедрения аналитики в стратегии развития функции внутреннего аудита и представить ее аудиторскому комитету и другим заинтересованным сторонам. После получения одобрения и начала реализации программы необходимо также организовать периодическую отчетность о ходе и результатах внедрения.
Резюмируя, еще раз хочу подчеркнуть, что внедрение аналитики - это не просто "купи и используй". Руководителю внутреннего аудита нужно проделать большую работу по разработке программы внедрения аналитики и ответить на множество вопросов, порой достаточно сложных вопросов. Для этого придется вовлечь большое количество участников. С руководством - определить направления и приоритетность задач, которые необходимо усилить аналитикой. С ИТ - обсудить вопросы доступа к данным, а также попросить помощи в формулировании требований по интеграции выбираемого решения с существующими системами. С кадрами - вопросы найма и развития персонала под реализацию программы. Все это воспринимается громоздким и сложным, но если все сделать правильно, выгоды превысят затраты. Дорогу осилит идущий. Ну а для тех, кто не готов эволюционировать - всегда остаются оправдания в виде "некачественных данных", "боязни инвестировать" и проверенные временем технологии "классического" подхода давностью в четверть века.

Внедрение "продвинутой" аналитики для нужд внутреннего аудита. Часть 2.

После того, как мы разобрались с целями внедрения аналитики, следующий важный и, пожалуй, самый труднореализуемый шаг: для каждой из выбранных целей определить набор необходимых навыков и модель сорсинга. Для этого нужно ответить для себя на ряд вопросов:

·         Как много аудитов будет покрываться аналитическими процедурами? Большинство или малая часть? По всем направлениям или каким-то конкретным?

·         Объем транзакций, которые нужно обрабатывать большой или нет?

·         Размер аудиторской команды?

·         Фокус аналитическими процедур больше направлен на рутинные операции или требует продвинутой аналитики?

Моделей есть четыре, но это не значит, что выбрать нужно только одну и неукоснительно ей следовать. Для разных целей это может быть комбинация из моделей или они могут использоваться на разных этапах реализации нашей программы по внедрению аналитики. Две модели предусматривают наличие специалистов внутри функции внутреннего аудита – децентрализованную и централизованную. Третья модель предлагает использовать специалистов по аналитике данных вне внутреннего аудита, но внутри компании.  Последняя модель – это пылко рекомендуемый консультантами аутсорсинг. Рассмотрим каждую модель поближе – в каком случае их более рационально использовать, чем их преимущества и какие у них слабые места.

Начнём с внутренней децентрализованной.  Модель предполагает наличие навыков аналитики данных у всех членов аудиторской команды. Ее наиболее целесообразно использовать при следующих условиях:

·         Аудиторская команда небольшая.

·         Аналитика данных используется в большинстве аудиторских проверок.

·         Цели аналитики в основном направлены на рутинные операции.

·         В компании большой объем транзакций и стабильные устоявшиеся наборы данных.

·         Доступ к инструментарию есть у всех членов аудиторской команды.

Преимуществами данной модели являются естественная интеграция аналитики данных в аудиторские процессы, отсутствие необходимости найма дополнительного персонала, а также отсутствие зависимости выполнения аналитических процедур от конкретных сотрудников.

Наряду с указанными преимуществами модель обладает рядом недостатков. Например, необходимостью раскошелиться на дополнительное обучение сотрудников. При этом, чем больше команды, тем больше нужно времени и инвестиций. Для больших команд модель реализуется достаточно сложно. Кроме того, новые требования к навыкам и необходимость изменений, как правило, вызывают страх и сопротивление команды на борьбу с которыми понадобятся дополнительные усилия.

Так же следует учесть, что обучение занимает определенное время, а практический опыт растет еще медленнее, следует настроиться на то, что внедрение модели займет существенное время.

Следующая модель – внутренняя централизованная. Она предполагает сосредоточение экспертизы и технологий внутри выделенной команды в функции внутреннего аудита. При этом команда на ряду с навыками стандартных аналитических процедур обладает так же навыками «продвинутой» аналитики. Модель наиболее целесообразно использовать для больших аудиторских команд и в случае необходимости использования «продвинутой аналитики».

Плюс данной модели в наличии собственной экспертизы «продвинутой» аналитики. Но за это придется расплачиваться дополнительными тренингами и, возможно, наймом дополнительного персонала. При этом следует помнить, что компетенцией обладают далеко не все члены аудиторской команды и центр компетенций – ресурс ограниченный.  Поэтому придется тщательно планировать вовлечение аналитиков в тот или иной аудиторский проект. Найти специалиста в области аудита и «продвинутой» аналитики крайне трудно. Скорее всего у команды аналитиков будет недостаток аудиторского опыта. Это также потребует дополнительных затрат на взаимодействие аудиторской и аналитической команд.

Третья модель предусматривает использование существующего в компании центра экспертизы аналитики данных вне функции внутреннего аудита. На практике это может быть подразделение бизнес-аналитики, работающее с внедренным в компании BI-решением. Использование данной модели целесообразно, если предполагается небольшое количество аудитов, требующих аналитики данных. Ну, и, разумеется, если в компании есть подразделение бизнес-аналитики или что-то аналогичное.

Данная модель хороша, если мы хотим поэкспериментировать с использованием аналитики и получить «быстрые победы», поскольку центр уже существует. Нанимать и обучать никого не нужно.

К сожалению, на практике использование данной модели не выглядит так прекрасно, как кажется. Подразделение имеет собственные цели и задачи и обеспечить необходимые приоритеты для задач внутреннего аудита достаточно сложно. Появляется зависимость от работы внешнего подразделения. К тому же, сотрудники данного подразделения, хотя и обладают навыками аналитики, но не обладают аудиторской экспертизой. Поэтому необходимо выделять дополнительное время и ресурсы на совместную работу с аналитиками. Все перечисленные факторы делают интеграцию аналитики в аудиторские процессы довольно затруднительными. Данную модель лучше всего использовать в самом начале для «пощупать», «понять», «определиться», а затем рассмотреть другие возможные варианты.

Последняя модель - это когда ресурсы, экспертиза и технологии предоставляются третьей стороной. Т.е. аутсорсинг. Использование аутсорсинга уместно при малом количестве аудитов, требующих аналитики данных. При этом, команда внутреннего аудита и экспертиза аналитики данных – небольшие. Использование аутсорсинга также уместно при проведении каких-либо специализированных проверок, опять же, требующих аналитики данных. Например, расследование мошенничества.

Преимуществом использования аутсорсинга являются доступность необходимой экспертизы, отсутствие необходимости заниматься вопросами ресурсов и технологий внутри функции и возможность показать «быстрые победы».

Но далеко не всегда мы готовы дать доступ третьей стороны к «чувствительным» данным компании. Использование аутсорсинга на постоянной основе – удовольствие достаточно дорогостоящее и никак не развивает собственную экспертизу. Если отказаться от него по той или иной причине – придется начинать все с нуля.

Третий шаг – выбор необходимого программного обеспечения с учетом наших целей и модели сорсинга. Тут необходимо учесть множество факторов как общих, рассматриваемых при выборе любого программного обеспечения, так и специфических. Среди общих нужно учесть такие критерии как доступность поддержки на случай, когда с программным обеспечением что-то пойдет не так или понадобится консультация. Нужно оценить во сколько обойдется приобретение и внедрение выбранного решения, а также сколько будет стоить его содержание. Оценить возможности интеграции с используемыми в компании информационными системами. Оценить наличие и доступность обучения по работе с выбранным решением. Учесть возможности масштабируемости решения на перспективу. Продумать и оценить моменты организации работы с данными. На этом моменте остановлюсь подробнее.

В первую очередь, нужно оценить наличие необходимых для аналитики данных. В каких системах они есть, как мы организуем туда доступ, насколько качественные эти данные и в каком формате они нам необходимы. Далее нужно определить, как мы с ними будем работать – собирать в централизованное хранилище, использовать корпоративное хранилище данных, брать из систем напрямую и т.д. Если собирать – то где, как и сколько хранить? А также обеспечить соблюдение всех корпоративных и регуляторных требований по обеспечению информационной безопасности и защиты персональных данных.

Добавляем к выше перечисленному специфические требования исходя из поставленных целей. Должна ли система быть способной эффективно обрабатывать большие объемы данных? Каким спектром аналитических и статистических функций и процедур она должна располагать? Должна ли обладать функционалом автоматического выполнения определенных процедур и формирования отчетности с заданной периодичностью? Есть ли в системе функционал логирования выполняемых с данными процедур? Есть ли возможность с минимальными усилиями внести изменения в выполненный набор процедур (например, повторить тот же набор с другими данными) и запустить автоматический повторный анализ?

Про виды программного обеспечения и его особенности я уже делал большой пост - повторяться не буду. 

Так что пока все. Впереди последняя часть - процесс и финальные штрихи.