Всем, привет. Продолжаем обсуждение вопросов по цифровому аудиту. В предыдущей заметке я кратко описал начало проекта по цифровизации аудита в нашей компании.
Первую заметку "Цифровизация аудита. Начало" найдёте здесь: https://zen.yandex.ru/media/id/5d5bd2bbcfcc8600af08bb98/cifrovizaciia-audita-nachalo-5d66121e46f4ff00ae42da28
Что является важным элементом цифровизации аудита? Информационные системы. Важно не только иметь представление об их наличии и доступности для аудиторов, но и оценить качество и полноту данных в этих системах.
Без предварительного анализа источников информации вы не сможете приступить к дальнейшей реализации проекта.
Что понимается под цифровым аудитом?
Что вообще означает цифровизация/автоматизация аудита? В нашей компании было принято следующее понятие цифрового аудита - проверочные процедуры, которые выполняются программными средствами с использованием данных о проверяемых объектах (документах, проводках, операциях, справочников клиентов, журналах действий пользователей и т.п.), полученных из информационных систем.
Что такое процедура цифрового аудита – выполняемые с использованием программных инструментов взаимосвязанные действия для получения, обработки и анализа данных из информационных систем с целью формирования аудиторских доказательств.
Предварительно мы предполагаем, что на основе процедур цифрового аудита могут быть построены оперативный контроль, дистанционные проверки и триггерный анализ, а также проводиться тематические и комплексные проверочные мероприятия.
Из этого следует, что мы должны стремиться к снижению вовлечения аудитора в первичную обработку информации. Аудитор должен работать с конечным результатом автоматизации - фиксировать конкретное несоответствие/нарушение/замечание, либо получать некую выборку операций, параметры которых сигнализируют о возможной проблеме, либо подтверждают должную эффективность элементов контроля по конкретному процессу.
Анализ информационных систем
Давайте все таки вернемся к вопросу информационных систем. Это логично, что если мы имеем информационные системы, которые генерируют и хранят определенные массивы данных, но мы знаем, что эти данные могут быть не полными или они содержат ошибки, то выстраивать цифровой аудит на таких данных - это путь в никуда.
Ваша задача на начальном этапе оценить корректность и полноту данных. Если все ок, то следуем дальше по проекту. А если сделан вывод, что на данные нельзя положиться, то тогда аудиту и компании нужно предпринять ряд мер, которые позволят исправить недостатки с данными.
Как этого можно добиться? Сделайте отдельную проверку по теме качества данных в информационных системах, зафиксируйте в отчете все недостатки и выводы. Обсудите с подразделениями, ответственными за ввод и хранение данных и за администрирование систем, варианты исправления проблем. Сформируйте соответствующие рекомендации. Контролируйте выполнение рекомендаций.
На примере это могло бы выглядеть так:
Допустим в компании, занимающейся продажами имеется автоматизированная система продаж CRM, в которой работают менеджеры. Данная система содержит данные о клиентах, о сделках, и об услугах, которые были реализованы клиенту. В рамках цифрового аудита вы планируете выстроить некий мониторинг, который будет анализировать концентрацию продаж на каждом конкретном менеджере. Например, с помощью этого мониторинга можно было бы проверять обоснованность выплаты премии и корректность расчетов.
В рамках проверки качества данных в CRM вы понимаете, что не для каждой сделки заполнено/корректно заполнено поле "Основной менеджер продаж". Для вас это означает, что вы не можете использовать в текущем виде данные из CRM. Результат вашего цифрового аудита будет неверным. Такие результаты потребуют от аудитора дополнительных трудозатрат на верификацию полученных итоговых данных цифрового аудита. А это не то, к чему мы хотели бы прийти.
Что делать? В рамках выводов по проверке качества данных в CRM нужно указать о низком качестве данных. Для менеджмента нужно довести информацию о том, что неполные/недостоверные данные, могут формировать и операционные риски, и способствовать рассмотрению некорректной управленческой отчетности.
Рекомендация. Если мы выявили недостаток, то должна быть рекомендация, которая его минимизирует или полностью устранит.
Что дальше? А дальше вы пытаетесь разработать цифровой аудит на основе данных, которые считаете достоверными и полными. Но это тема следующей заметки аудитора.
