Автор: Алексей Коряков, CIA, ACCA, Prince 2, преподаватель Учебного центра Ассоциации «Институт внутренних аудиторов»

Многие говорят, что внутреннему аудиту необходимо становится более гибким, приспособленным к быстро меняющейся бизнес-среде. Обычно такой аудит называют аджайл-аудитом. Давайте попытаемся разобраться, что же такое аджайл и как его можно применить к внутреннему аудиту.

Что такое аджайл?

Слово agile переводится с английского как гибкий, адаптивный, быстрый, верткий. В современном языке у этого слова появилось новое значение: общее название для гибких методологий разработки программного обеспечения. Аджайл-методологии пришли на смену традиционной методологии управления проектами – waterfall, или «водопаду».

Дело в том, что у водопада есть несколько серьезных недостатков. Первый – водопад плохо работает с изменениями. Представьте себе строительство здания. И на этапе возведения здания вы решили поменять проект – изменить размеры помещений. И даже если изменение незначительное, потребуется фактически пересматривать всю проектную документацию, сносить что-то из того, что уже построено, и т.д. В случае строительства такой подход к изменениям оправдан. Но в других проектах – правильно ли это, если на запрос «добавьте здесь кнопку» нам говорят – для этого нам надо пересмотреть весь проект?

Второй недостаток – для работы по водопаду необходимо в самом начале хорошо представлять себе конечный результат. Если это стандартное здание, то такой проблемы нет. Но если нужно создать что-то новое, то, чего раньше не было? А если при этом еще и меняется рынок и процессы, то водопад показывает не очень хорошие результаты.

В результате, в феврале 2001 года был выпущен Манифест аджайла (англ. Agile Manifesto), в котором были сформулированы его идеи и принципы. Сейчас аджайл как идеология включается в себя несколько методологий, таких как скрам (SCRUM), канбан, экстремальное программирование и другие.

Аджайл-методологии оказались очень эффективными. Проекты идут быстрее и успешнее. Так, методология «скрам» примерно в 4 раза эффективнее стандартного водопада. Поэтому интерес к аджайлу оправдан.

Применим ли аджайл к внутреннему аудиту?

Изначально Манифест касался разработки программного обеспечения. И ряд методологий применимы только к этой сфере. Но сами идеи, принципы и ряд методологий могут реализовываться и в других проектах. Так, компания Saab заявила, что разработала истребитель Saab JAS 39 E/F по методологии скрам.

Аудиторские проверки — это тоже проекты. Международные стандарты аудита, от 2000 до 2500, описывают, как выполнять проект методом водопада. Можно ли тогда внедрить аджайл-идеи или принципы во внутреннем аудите?

Основная проблема в том, что внедрить аджайл не так-то просто. Даже в ИТ-компаниях есть много примеров неправильного внедрения методологий аджайла. То есть, вроде все делают, как написано, а результата нет. Обычно это происходит, когда внедряют методологию, не понимая идей и принципов аджайла. Поэтому мы рассмотрим вначале основы идеологии аджайла и потом перейдем в конкретные техники.

Идеология аджайла

Идеология аджайла зафиксирована в Манифесте. Он достаточно короткий и состоит из 4 идей и 12 принципов. Полный текст цитировать не будем, поскольку его можно найти в Интернете.

Идеи сформулированы следующим образом:

  1. люди и взаимодействие важнее процессов и инструментов;

  2. работающий продукт важнее исчерпывающей документации;

  3. сотрудничество с заказчиком важнее согласования условий контракта;

  4. готовность к изменениям важнее следования первоначальному плану.

В формулировке идей ключевым словом является «важнее». Это не значит, что аджайл отрицает вторую часть, аджайл не говорит, что документация не нужна. Суть в том, что, если есть выбор следовать документации или сделать рабочий продукт, то надо сделать рабочий продукт. Документацию можно будет сделать позже.

Ценность / полезность

И это приводит нас к тому, что для аджайла ключевым параметром является ценность того, что делает рабочая группа. Любые действия должны приносить пользу, повышать ценность продукта.

Возникает вопрос: а что такое ценность? Ценность не существует просто так – это то, что имеет значение для кого-то. В методологии скрам выделяется специальная роль – владелец продукта – он отвечает за определение того, что есть ценное для продукта, а что – нет. В идеале, должна быть какая-то конкретная метрика определения ценности, например, количество пользователей, доход от продукта или что-то подобное.

Внутренний аудит оставляет после себя несколько продуктов: рабочие бумаги, отчет аудита, оценка СВК, улучшение деятельности и т.п. Можно сюда причислить и отчет по результатам консалтингового поручения.

Для каждого продукта можно и нужно ответить на следующие вопросы:

  1. Для кого мы делаем этот продукт?

  2. Как наши клиенты используют этот продукт?

  3. Что для них ценно в этом продукте?

  4. Есть ли какая-либо метрика, как мы можем померять эту ценность?

  5. Как мы можем изменить продукт, чтобы он приносил больше ценности?

Такой анализ (только он должен быть честным) может помочь существенно улучшить качество самого продукта и его полезность.

Взаимодействие

Другой важной частью аджайла является эффективная команда. Чтобы ее создать, необходимо наладить открытое, прозрачное и максимальное полное взаимодействие как внутри команды, так и между командой и заказчиками (клиентами) проекта.

Для этого во внутреннем аудите не должно быть информационных барьеров между командой и клиентами. Очень часто встречи проводятся в ограниченном составе. Например, в одном подразделении внутреннего аудита отчет согласовывали следующим образом: руководитель проекта и группа работали непосредственно на объекте, смотрели процесс, тестировали контроли. Далее руководитель группы обсуждал пункты отчета с рецензентом. И уже рецензент обсуждал (без кого-либо из команды) пункты отчета с директором проверяемой функции.

Представьте, сколько информации теряется при каждой передаче? Для всех очень важно понимать, в том числе личность директора, что он думает про пункты, как он видит процесс. И хотя схема нацелена на повышение качества, на самом деле, приводит к его потере.

Конечно, вопрос в том, как вести начинающего аудитора на встречу. И очень часто можно услышать: «Ну как я позову его на встречу? А если он ляпнет там чего-нибудь?».

Давайте подумаем. Да, действительно молодой сотрудник может сказать что-то не то. Но если не брать его на встречи, то как он научится разговаривать с директорами? По идее, внутренний аудитор должен быть независим и уметь отстаивать свою точку зрения перед начальством. Но если его не приучать разговаривать с начальством, как он сможет это сделать?

И какова вероятность того, что он скажет «что-то не то»? Зато сколько полезной информации внутренний аудитор может уяснить на такой встрече.

Методология скрама говорит, что вся команда должна сидеть рядом. И в том числе рядом с клиентом (заказчиком). Это помогает быстро узнавать ответы на различные вопросы.

Самоуправление

Другим важным моментом для работы команды является самоуправление. Команда сама решает, как и что она будет делать. Это может выглядеть довольно странно: «Как так? Все сами будут решать, что делать? Они же так разберут все самые хорошие задачи, а все плохое никто делать не будет!». Или: «Должно существовать распределение, руководитель лучше понимает, кому куда надо развиваться» и так далее.

Но команда сама эффективней решит, что и как делать. Если распределение задач прозрачно, а цели понятны, то команда сама понимает, как решения влияют на общую работу команды и как – на общий процесс.

И что также важно – у аудиторов повышается вовлеченность. Все видят, как их решения приводят к общей цели, и это работает прекрасным мотиватором.

Особенности аудита

Внутренний аудит, безусловно, отличается от разработки программного обеспечения. Одно из отличий в том, что у внутреннего аудита обычно есть два заказчика, или два клиента. С одной стороны, внутренние аудиторы выполняют задание аудиторского комитета, например, по тестированию какого-либо процесса. С другой стороны, аудит должен быть полезным компании и помочь, в частности, директору функции/ подразделения.

Техники аджайла

Если рассматривать техники в аджайле, то можно обратиться к скраму. Скрам – одна из самых известных методологий в аджайл-семействе. Название происходит от спортивного термина: скрамом в регби называется схватка за мяч.

Суть методологии проста. Задается интервал времени («спринт») – обычно это 1-4 недели, – в течение которого команда выполняет ограниченный ряд задач. После завершения спринта команда показывает результаты спринта заказчику, получает обратную связь и начинает следующий спринт. В результате, цикл планирования очень короткий, всегда можно откорректировать текущие задачи и так далее.

Далее мы рассмотрим 2 техники, которые используются в скраме – это бэклог и канбан.

Бэклог

Это способ планирования. Бэклог – это просто список задач, которые нужно сделать. Все. Как работают с таким списком?

  1. Задачи в бэклог может добавлять только один человек. И это не разработчик. Это либо скрам-мастер, либо владелец продукта.

  2. Задачи декомпозируются до элементарных. То есть, в бэклоге не будет задачи: «написать портал». Она обязательно будет разбита на конкретные, четкие задачи: «сделать логотип», «сформировать первую страницу» и т.д.

  3. Задачи в бэклоге проранжированы по важности. Первой идет самая важная задача, потом следующая по важности и т.д. Тем самым достигается то, что команда всегда делает только то, что нужно именно сейчас.

  4. Задачи из бэклога переходят в работу. Это те задачи, которые исполняются на данный момент. Основное правило – в работу переходит то, что находится в начале списка – то есть самое важное.

  5. Владелец продукта может переоценить важность задач в любой момент, до передачи задачи из бэклога в исполнение.

Бэклог может быть расписан на год вперед. Но из списка планируемых в статус реализуемых переводится то, что может принести наибольшую ценность сейчас.

Такое планирование позволяет всегда делать то, что нужно. Дело в том, что «любой план хорош до первого столкновения с реальностью». И никто не в силах сказать, что будет актуально через 3 месяца или через год. Здесь же мы не тратим силы на попытки предсказать, что будет актуально через полгода. Никто этого не знает. С помощью бэклога планирование гораздо эффективнее.

Как можно применять бэклог во внутреннем аудите?

Во внутреннем аудите есть 2 уровня планирования: длительное (на год и на 3-5 лет) и краткосрочное (планирование заданий). Проблема составления вселенной аудита наталкивает на следующий парадокс:

Аудиторская вселенная – это обещание аудита проверить заданный пул процессов за какое-то время. Обычно это 3-5 лет. Из этого пула каждый год, если следовать риск-ориентированному подходу будут выбираться всегда самые рискованные области. И в какой-то год наступит следующий парадокс:

  1. согласно аудиторской вселенной, надо проверять непроверенные области, а именно – самые нерискованные.

  2. запрос от менеджмента будет как всегда – идти на самые рискованные области.

Далее, что делать если в течении года риск-профиль поменялся? Необходимо пересматривать вселенную или годовой план?

Как здесь можно использовать бэклог? Все проверяемые процессы заносятся в бэклог. Им присваивается уровень риска. Каждый квартал руководитель ВА, аудиторский комитет и СЕО просматривают оценку риска и переносят процессы для проверки в категорию для исполнения. Также руководитель ВА может добавлять задания в течение квартала либо по согласованию с комитетом по аудиту, либо сам в определенных пределах.

Канбан

Канбан – это просто доска. Причем ее используют и как часть методологии скрам, так и в качестве отдельной методологии.

Канбан используется для визуализации хода проекта. То есть, бросив взгляд на канбан становится понятно, где находится проект или работа. Самый простой канбан представляет собой доску с тремя частями: План, Выполнение, Сделано. И задачи передвигаются между частями в зависимости от их статуса.

Во внутреннем аудите канбан можно применять при планировании проекта, годовом планировании и для наглядной демонстрации работы над процессами комитету по аудиту.

Заключение

Безусловно, это не все идеи, принципы и методы работы аджайла. Аджайл из методологии разработки ПО уже превратился в эффективный инструмент работы над проектами в целом, в разных отраслях и профессиональных сферах.

Можно ли применять идеи и методы аджайла во внутреннему аудите и нужно ли это делать? На мой взгляд, да. Какие именно методы и как применять – зависит уже от нас. Может быть, через пару лет у нас уже будет несколько разработанных и опробованных аджайл-методологий исключительно для проектов внутреннего аудита?