Непрерывный аудит: практика запуска в компании

Автор: Антон Коробейников, начальник управления непрерывного аудита ООО «БКС Холдинг» член Ассоциации «Институт внутренних аудиторов»¹

Внутренний аудит (ВА) — один из основных инструментов, который позволяет оценить эффективность функционирования систем управления, выявлять проблемы и риски, контролировать, оценивать процессы и улучшать их работу. С помощью этого инструмента можно выявлять как высокорисковые области в компании, так и проблемы на ранней стадии. А внутренние аудиторы являются высококвалифицированными специалистами, которые могут выступать как эксперты и консультанты в различных областях деятельности организации, а также оказывать помощь руководству организации в разработке стратегии и планировании бизнес-процессов.

Даже учитывая все преимущества такого инструмента как внутренний аудит, всегда возникает вопрос повышения качества и эффективности. Особенно если речь идет об организации внутреннего аудита в крупных компаниях или финансовых группах. Подразделения ВА чаще всего сталкиваются со следующими проблемами:

• Ограниченные ресурсы. Необходимо иметь достаточно большой штат, который позволит равномерно распределить нагрузку на внутренних аудиторов для более детального анализа всех процессов компании;

• Определение приоритетов для аудита на основе рисков, критичности процессов и других факторов, на основании которых составляется план проверок. Ряд процессов может быть исключен из плана в пользу более критических;

• Доступность информации. Не всегда имеется возможность в режиме реального времени получать необходимую для проверок информацию. Запрос и подготовка информации увеличивают плановые сроки проверок.

• Частота проверок. В большинстве случаев подразделения ВА не могут себе позволить в каждый план проверок включать одни и те же процессы. Повторные аудиты процессов проводятся с определенной периодичностью, в связи с чем возникает риск формирования проблемных областей, сбоев и нарушений в процессах в период между проверками.

В целом, ограниченный охват внутренним аудитом процессов организации является неизбежным.

История создания непрерывного аудита

На основании вышеуказанных проблем мы задали следующий вопрос: «Почему, имея квалифицированных специалистов, точно известные проблемные зоны и стандартизированные процессы, которые регулируются конкретными нормативными актами, внутренними регламентами, мы не можем осуществлять проверки чаще, чем они включаются в план аудитов, т.е. организовать непрерывный аудит?».

В уравнении для организации непрерывного аудита не хватало только системы, в которой будут осуществляться эти проверки. И тогда мы обратили внимание на Управление непрерывного мониторинга регуляторного риска внутри нашей компании.

В этом подразделении было разработано программное обеспечение (далее – Система), на базе которой осуществляется контроль в рамках процессов комплаенса. А именно – противодействие неправомерному использованию инсайдерской информации и манипулированию рынком и контроль за конфликтом интересов.

В основе системы лежат методы машинного обучения (искусственный интеллект). Система обрабатывает входящие данные, преобразованные на основании внутренних отчетов, и дает оценку риска. Также Система может определять порядка 60 параметров, которые помогают в анализе и выявлении зон концентрации риска. Преимуществом системы является ее гибкость и возможность настройки под любые проверки.

При первых попытках реализации непрерывного аудита возник вопрос: а чем непрерывный аудит отличается от процессов подразделения комплаенса и внутреннего контроля, ведь по характеру и сути проверок они очень близки?

Ответ на этот вопрос дали подходы и конечная цель этих проверок.

Комплаенс (compliance) – в переводе означает соответствие. Проверки подразделений комплаенса направлены в первую очередь на установление контроля и принятие мер для предотвращения нарушения законодательства и регуляторных норм.

Непрерывный аудит – помимо предотвращения нарушения законодательства может включать проверку на ошибки и мошеннические действия в бизнес-процессах, а также выявление зон концентрации риска. Для быстрого выявления проблем и предотвращения потенциальных рисков, процесс непрерывного аудита использует автоматизированные инструменты для мониторинга бизнес-процессов и анализа данных в режиме реального времени.

Необходимые ресурсы для создания непрерывного аудита

Для настройки процессов непрерывного аудита потребовались следующие ресурсы:

1. методолог, который подготовит детальное техническое задание для проведения проверок;

2. система, в которой будут осуществляться проверки;

3. разработчик, который бы реализовал техническое задание;

4. внутренний аудитор, который проверяет результаты проверки.

• С методологом и техническим заданием проблем не возникло. По факту, каждый аудит с планом, этапами и результатами проверки является готовым техническим заданием c набором метрик и правил для автоматизированной проверки. А методологом выступает непосредственно внутренний аудитор, который проводит аудит. В нашей компании мы требуем от внутренних аудиторов детальный план проверки: чем больше деталей описывается в плане, тем легче проходит дальнейшая автоматизация.

• С системой было немного сложнее. Хоть у нас была система проверок собственной разработки с искусственным интеллектом (ИИ), использовалась она для нелинейных проверок и совершенно не подходила под задачи непрерывного аудита. Нами было принято решение о создании единого пространства для проверок, с разделением видов проверок с помощью модулей. Так как в рамках аудита в большинстве случае ИИ не требуется, в создании модулей использовался линейный алгоритм. Каждый модуль — это отдельная проверка.

С загрузкой данных проблем не возникло. Потоки данных были настроены из систем внутреннего учета, а также внешних документов, которые имеются во внутренних системах организации. Учитывая тот факт, что реализовано единое пространство, данные могли подгружаться из одного модуля в другой без повторной настройки нового потока в каждый модуль. В итоге получается, чем больше пространство и разнообразней модули проверки, тем больше данных мы имеем в распоряжении, что позволяет не тратить время на дополнительные настройки и реализовывать новые проверки.

• Разработчики и компетенции специалистов.

Для реализации процесса непрерывного аудита потребовалось 3 специалиста (разработчика) обладающих следующими навыками:

1. SQL-разработчик, который настроил потоки данных из внутренних систем организации в модули проверки;

2. Python-разработчик. Занимался настройкой бэкенда (backend)² системы. Данный специалист настроил скрипты для обработки поступающих информационных потоков;

3. JavaScript-разработчик. «Подружил» бэкенд и фронтенд (Fronted)³ системы и интегрировал скрипты обработки в интерфейс системы.

• Для внутреннего аудитора помимо базовых требований приветствуются и дополнительные компетенции, например, в виде знания языка SQL. Это помогает не только при проведении самого аудита, но и при первоначальной настройке процессов непрерывного аудита. Для этого в нашей компании создается ежегодный план обучений, который в том числе включает повышение ИТ-навыков аудиторов.

Процесс непрерывного аудита

Частота проверок

Хоть аудит и называется непрерывным, это не значит, что все проверки идут непрерывно в режиме реального времени. Для каждого типа проверок определяется своя частота на основе анализа рисков, объемов, сложности и видов процесса.

Например:

• Проверка собственных операций компании может проводиться по итогу совершения операций на ежедневной основе;

• Проверка отчетности организации может проводиться в момент формирования. В связи с этим проверка может быть еженедельной или ежемесячной, в зависимости от типа отчетности.

Непрерывный аудит является частью внутреннего аудита и не может заменить его.

Внутренний аудит – это процесс независимой оценки деятельности организации. Проводится периодически в соответствии с планом и может охватывать все процессы компании.

Непрерывный мониторинг, анализ и оценку процессов организации с целью своевременного выявления и устранения отклонений от стандартов. Реализация непрерывного аудита возможна только в случае стандартизированных процессов.

Управление непрерывного аудита в «БКС Холдинг» является частью Департамента внутреннего аудита. Сейчас в Управлении работают 3 сотрудника, за каждым из них закреплены реализованные проверки, в рамках которых осуществляется комплекс мероприятий по выявлению, предупреждению и устранению нарушений. Объем закрепленных проверок у каждого сотрудника разный. Это обусловлено сложностью и объемом каждой проверки.

В общем виде функционал сотрудника Управления непрерывного аудита выглядит следующем образом:

1. Контроль результатов проверки и определение нарушений.

2. Незамедлительное информирование начальника Управления и начальника Департамента внутреннего аудита о выявленном нарушении.

3. Отработка нарушения по установленным процессам ВА компании с отражением нарушения в системе инцидент-менеджмента и уведомлением ответственных за процесс, в котором выявлено нарушение, лиц (далее – Владельцы процесса). Для оперативного решения выявленных нарушений в компании, во внутренней системе обмена сообщениями организованы чаты оперативного реагирования, в которые включены все ответственные за проверяемые процессы лица.

4. Владельцы процессов осуществляют разработку и внедрение корректирующих мероприятий по устранению и недопущению в дальнейшем аналогичных нарушений, а специалист Управления в свою очередь согласовывает указанные мероприятия. В случае выявления недостатка эффективности разработанных корректирующих мероприятий специалист Управления отправляет их на доработку Владельцу процесса.

5. По итогам проверки специалист Управления непрерывного аудита принимает решение и выносит на рассмотрение руководителя Управления предложения по усовершенствованию и оптимизации процесса проверки.

6. Ежеквартально собирается информация по всем выявленным нарушениям и предоставляется начальнику Департамента внутреннего аудита. После этого все выявленные нарушения в рамках процесса непрерывного аудита совместно с результатами внутренних аудитов выносятся на рассмотрение высшим руководством компании.

Руководитель Управления непрерывного аудита организовывает работу подразделения и выступает в роли методолога по созданию и настройке новых модулей проверки.

Учитывая частоту, скорость проверки и оперативность взаимодействия с ответственными подразделениями, большинство нарушений и зон концентрации риска устраняются в течение 1-2 рабочих дней. Критические нарушения, как правило, устраняются в течение нескольких часов.

Скорость устранения нарушений и минимизация воздействия на процессы компании возникающих рисков являются основной целью непрерывного аудита.

Непрерывный и внутренний аудит могут быть дополняющими друг друга методами обеспечения контроля и мониторинга. Использование их вместе может улучшить эффективность системы управления и контроля.

---