Всем привет. В прошлой заметке я говорил о том, как оценить качество данных в информационных системах компании, которые нужны для реализации проекта по цифровому аудиту:
Допустим, данные вы проверили и либо подтвердили их полноту и качество, либо выявили недостатки в них, и дали рекомендации провести ряд мероприятий по устранению.
Что дальше? Дальше нужно определиться с тем, какие направления бизнеса, какие процессы будут охвачены цифровым аудитом. Вопрос непростой и требует от внутреннего аудита комплексного подхода. Как понять какие процессы вам можно и нужно охватить таким аудитом и будет ли он эффективен?
- Под цифровой аудит могут попасть те процессы и направления, которые имеют высокую степень автоматизации и генерируют массивы данных, позволяющие на их основе строить мониторинг и проверку в автоматическом режиме. Нет данных – нет цифрового аудита.
- Обратите внимание на карту рисков компании (если она имеется). Если нет, то это один из поводов ее сделать. Это отдельная тема. Пройдитесь по карте рисков, сопоставьте ее с перечнем информационных систем, с набором доступных вам данных. Уже на этом этапе возникает множество идей по реализации цифрового аудита (далее - ЦА). Не все они в конечном итоге будут реализованы, но какая-то часть - да.
- Обратитесь к своим последним проверкам, которые провели за последние года два. Нарушения и риски, которые вы раньше выявляли в рамках разовых тематических проверок, могут стать темой для отдельных регулярных мониторингов.
- Обратитесь к регламентации бизнес-процессов компании, к описанию продуктовой линейки. При должном описании эти документы имеют набор условий, которые должны выполняться, набор контрольных процедур для повышения системы внутреннего контроля. Здесь есть над чем поработать в части цифровизации. Пример: компания реализует конкретный продукт, который имеет набор параметров и условий как к предмету сделки, так и к клиенту. Многие из них зашиты в автоматизированной системе, которая должна контролировать их выполнение. Автоматизация процесса - это не всегда идеальное его выполнение. В системе могут быть допущены изначальные ошибки при автоматизации, могут появиться ошибки и сбои при обновлении и доработках системы. Да, все это должно контролироваться и тестироваться ответственными подразделениями, но как показывает практика, аудит способен выявлять недостатки автоматизации процесса. И это может быть предметом мониторинга.
- Реализуя проект по цифровизации, аудит должен учитывать мнение менеджмента. Изначально менеджмент должен знать о ваших планах по внедрению цифровизации и поддерживать их. Пока мы не будем обсуждать вопрос по защите необходимости цифровизации аудита перед руководством компании, потому что это сложная тема, требующая отдельной заметки. Здесь будем считать, что менеджмент поддерживает аудит в его начинаниях.
- Участие в различных коллегиальных, совещательных органах, рабочих группах, может быть отличным источником идей для реализации мониторингов. На таких встречах часто обсуждаются вопросы, которые могут потребовать более детальное рассмотрения со стороны аудита. Умейте слушать и слышать. Фиксируйте на таких встречах интересные для аудита темы, а потом пробуйте развить их путем точечного анализа проблемы.
- Можно провести ряд встреч с руководителями департаментов, управлений, отделов. Лучший результат могут дать встречи с линейным руководителями, держателями конкретных процессов. Эти встречи могут быть как официальными, так и неофициальными.
Перечисленные подходы помогут вам сгенерировать ряд мониторингов/ проверок, которые возможно оцифровать. Понятно, что не все из них в итоге попадут в проект. Дальше, сформировав небольшой перечень можно провести встречу с коллегами аудиторами и в режиме мозгового штурма рассмотреть каждый из вариантов. Уже на этом этапе можно и нужно описать каждый мониторинг. Как это сделать - поговорим в следующей заметке.
Есть чем дополнить этот материал - пишите в комментариях. Подписывайтесь на канал, чтобы не пропустить обновлений.
