Шесть моделей поведения, обеспечивающих принятие более продуманных решений по управлению рисками в ходе цифровой трансформации
Как показывают результаты глобального исследования PwC «Управление рисками, внутренний аудит и комплаенс» за 2019 год, в котором приняли участие 2 000 руководителей различных подразделений компаний (половина из которых представляют функции управления рисками), по мере продвижения организаций по пути цифровой трансформации, службы внутреннего аудита, которые демонстрируют более высокий уровень цифровой подготовки, эффективнее помогают заинтересованным сторонам принимать более продуманные решения и более грамотно управлять рисками.
При реализации цифровых инициатив ставки весьма высоки поскольку новые технологии, равно как и сопутствующие им повышенные риски, несут в себе и возможности, которыми можно воспользоваться, и угрозы, которые могут остаться незамеченными. Пришло время перейти от слов к делу. Готовность функции внутреннего аудита к использованию цифровых технологий должна соответствовать общему уровню цифровой подготовки организации в целом. В противном случае будут расширяться бреши в линиях защиты и возрастать вероятность возникновения рисков.
Где именно выгодно выделяются службы внутреннего аудита, готовые к цифровой трансформации
Готовность к цифровой трансформации по каждому измерению
Мы определили шесть моделей поведения, которые способствуют повышению уровня готовности служб управления рисками к цифровой трансформации. По мере реализации программ цифровой трансформации, эти модели поведения помогают организовывать эффективную работу в сфере внутреннего аудита и управления рисками в целом. При этом три из указанных моделей поведения придают службе внутреннего аудита необходимую гибкость для развития всех шести моделей поведения. Уроки, которые мы почерпнули у наиболее подготовленной в цифровом отношении группы («Прогрессисты»), дают представление о том, что именно функциям внутреннего аудита необходимо делать для продвижения вперед:
- Полная включенность в план цифровой трансформации организации
- Повышение квалификации персонала и привлечение новых специалистов для поддержания темпов развития, заданных самой организацией
- Обеспечение правильного баланса знаний и навыков для работы с новыми технологиями
- Содействие организации в принятии мер в ответ на риски в режиме реального времени
- Активное взаимодействие с лицами, принимающими решения по основным цифровым инициативам
- Сотрудничество и синхронизация усилий для выработки всестороннего представления о рисках
Повышение квалификации персонала и привлечение новых специалистов для поддержания темпов развития, заданных самой организацией
Креативно подходите к подбору кадров для формирования цифровых компетенций службы и инвестируйте в удержание квалифицированных специалистов
Учитывая, что цифровые технологии играют все более значительную роль в деятельности организаций, необходимо постоянно повышать уровень цифровой грамотности и компетентности службы внутреннего аудита. Не менее важное значение имеет способность хорошо разбираться в данных, поскольку именно данные составляют основу всех цифровых решений. Вот примеры того, как прогрессивные функции внутреннего аудита находят требуемых специалистов:
Расширьте зону поиска. Не все аудиторы должны быть экспертами в области роботизации бизнес-процессов (RPA) или специалистами по интеллектуальному анализу данных, но все они должны обладать навыками работы с источниками данных, чтобы оценивать их качество, тестировать алгоритмы на предмет соответствия запланированному функционалу и понимать, какие выводы можно сделать на основании имеющихся данных.
Наймите сотрудников для аудита новых технологий. Прогрессисты обладают всеми необходимыми возможностями для выполнения аудита облачных технологий, решений, используемых для автоматизации бизнес-процессов, технологий «Интернета вещей», при этом они постоянно совершенствуют свои навыки с тем, чтобы научиться справляться с растущим объемом задач. Они также могут предвидеть, какие технологические платформы проведения аудита будут использоваться в их организации в будущем.
Инвестируйте в развитие технологических навыков сотрудников. В целях повышения уровня знаний специалистов службы внутреннего аудита в области цифровых технологий прогрессисты принимают участие в цифровых инициативах своих организаций, сотрудничая с функциями управления рисками и комплаенса в вопросах инвестирования в программы обучения и разрабатывая собственные программы повышения квалификации.
Однако службам внутреннего аудита требуется и больше профильных специалистов, поэтому прогрессисты прилагают усилия для того, чтобы выявить в своих командах людей, обладающих способностями и смежными навыками для того, чтобы стать экспертами в этой сфере. Аудиторы, обладающие деловыми качествами и продемонстрировавшие математические способности и навыки работы с данными, или получившие образование в области естественных наук, математики, статистики, экономики и ряде других областей, которые формируют критическое мышление, проходят обучение навыкам обработки и анализа данных.
Прогрессисты готовятся к проведению аудита новых технологий
Моя служба внутреннего аудита полностью укомплектована и в состоянии проводить аудит или за последние 12 месяцев провела аудит сферы, в которой используется данная технология.
Вопрос. Что из перечисленного ниже наилучшим образом характеризует вашу текущую готовность к аудиту каждой из следующих новых технологий?
База респондентов: 98 прогрессистов; 140 активистов; 271 новичок
Обеспечение готовности к использованию новых технологий
Проводите аудит, консультируйте по вопросам новых технологий и используйте их для оптимизации работы собственной службы
Прогрессисты не ограничиваются усовершенствованием существующих процессов, и думают о том, как технологии могут помочь им организовать работу по-другому. Посмотрите на то, как во многих службах внутреннего аудита внедрялся анализ данных, в первую очередь для планирования и проведения аудита. Службы внутреннего аудита довольно редко задумываются о том, как применение анализа данных может изменить подход к проведению аудита в целом, включая использование данных для изменения подходов к оценке рисков, проведение непрерывного мониторинга средств контроля на базе аналитики, тестирование полной совокупности анализируемых данных, предоставление заинтересованным сторонам новых «инсайтов» с помощью интерактивных панелей и отчетов, работающих в режиме реального времени. Вот несколько примеров того, каким образом прогрессисты определяют необходимый функционал:
Поймите свое основное предназначение: консультировать или предоставлять гарантии? Прогрессисты признают необходимость своего вовлечения на самом раннем этапе освоения организациями новой технологии с тем, чтобы поделиться своим пониманием возможных рисков и способов управления ими, даже не обладая детальными знаниями о самой технологии. Впоследствии, по мере все более активного использования технологии на уровне всей организации, они начинают выполнять обе функции – и консультировать, и предоставлять гарантии.
Если речь идет о таких технологиях, как дополненная и виртуальная реальность, а также 3D-печать, здесь прогрессисты зачастую выступают в роли консультантов по управлению рисками, помогая бизнесу понять риски, связанные с использованием новых технологий и соответствующих данных, или обеспечивая уверенность в эффективности управления, проводя аудит или консультируя руководство по вопросам управления технологией. Что касается более зрелых технологий, в частности облачных, то здесь большинство из них видят свою роль в предоставлении гарантий в области рисков и контроля.
Используйте новые технологии в работе внутреннего аудита. Когда встает вопрос об использовании новых технологий в собственной работе, многим службам внутреннего аудита с трудом удается найти подходящие технологии. Более половины респондентов из числа служб внутреннего аудита либо не уверены в целесообразности использования искусственного интеллекта или не планируют этого делать в течение следующих двух лет. Удивительно, но почти такой же процент респондентов не планируют применять технологию роботизации бизнес-процессов или не уверены в том, как они будут ее использовать. Однако у прогрессистов картина совершенно другая: 37 % из них уже сейчас используют эту технологию и еще 45 % планируют осуществить это в течение двух лет.
Что касается автоматизации, руководители, участвовавшие в нашем опросе, отметили, что логичной отправной точкой является соблюдение требований закона Сарбейнса – Оксли. Рассмотрим пример одной компании, которая чрезмерно использовала процедуры ручного тестирования отмены прав доступа к системам. Для этого необходимо было использовать функцию поиска по трем разрозненным источникам данных по каждому ИТ-приложению – задача, на выполнение которой было затрачено 100 часов рабочего времени для тестирования всего 20 случаев функционирования средств контроля. После этого в рамках роботизации бизнес-процессов за 40 часов был создан бот. Он справляется с заданиями, которые раньше выполнялись вручную, всего за семь часов. За счет автоматизации множества этапов тестирования, исключая этап проверки полученных результатов человеком, удалось существенно сократить время на проведение тестирования и расширить его зону охвата вплоть до генеральной совокупности, не ограничиваясь проведением тестов на выборочной основе, что существенно повышает точность полученных результатов.
Искусственный интеллект для выполнения таких задач, как полное тестирование совокупности данных, контроль, моделирование рисков
Вопрос. Что из нижеперечисленного лучше всего описывает использование функцией внутреннего аудита вашей компании каждой из этих технологий
База респондентов: 98 прогрессистов; 140 активистов; 271 новичок
Роботизация бизнес-процессов или интеллектуальная автоматизация для мониторинга или повседневных задач, таких как извлечение данных и тестирование в рамках аудита
Вопрос. Что из нижеперечисленного лучше всего описывает использование функцией внутреннего аудита вашей компании каждой из этих технологий
База респондентов: 98 прогрессистов; 140 активистов; 271 новичок
Помощь организации в принятии мер в ответ на риски в режиме реального времени
Разрабатывайте новые методы и виды услуг для предоставления гарантий в режиме, который требуется организации
Ежегодная подготовка планов и проведение ежегодной оценки рисков безнадежно устарели. Более частые и гибкие циклы – это то, что необходимо сегодня, и большинство служб внутреннего аудита чаще, чем раньше, проводят оценку рисков и пересматривают план аудита. По мере перехода организаций на Agile-методологии функции внутреннего аудита следуют их примеру: планирование, тестирование и проверки осуществляются в виде спринтов. Аудиторы не ждут окончания проекта, чтобы предоставить свое заключение. Вот примеры того, как прогрессисты помогают своим организациям в принятии мер в ответ на риски в режиме реального времени:
Используйте данные по-новому. Выполнение работ более короткими циклами позволяет службам внутреннего аудита приносить своим организациям пользу в более оперативном и гибком режиме. Прогрессисты инвестируют средства в накопление данных, в использование аналитики и технологий, что помогает им иначе соотносить данные, точнее увязывать их со стратегическими рисками организации и теснее взаимодействовать с другими линиями защиты в ходе управления и мониторинга рисков.
Этот порядок работы позволяет службе внутреннего аудита сосредоточить свои усилия на решении самых неотложных задач, связанных с обеспечением уверенности, в частности тех, которые связаны с цифровыми инициативами. В этой связи помогают общие платформы GRC (корпоративного управления, управления рисками и соблюдения нормативных требований), инструменты анализа данных и базы данных, так как они предоставляют актуальные и точные общие данные. Пересмотрите свой традиционный подход к оценке рисков, чтобы признать значение скорости реализации рисков. Непрерывно оценивайте и учитывайте изменения в профиле рисков, чтобы правильно ранжировать риски по приоритету и идти в ногу с реализацией цифровых инициатив.
Прогрессисты используют данные и технологии для формирования более содержательных выводов
Моя функция…
Вопрос. Ваша служба внутреннего аудита выполняет или планирует предоставлять следующие услуги, исходя из наличия цифровых технологий? (Верхний ряд; Ответы ‘Сейчас’)
Вопрос. Пожалуйста, оцените ваш уровень согласия со следующими утверждениями о вашей функции внутреннего аудита. (Нижние два ряда; Ответы ‘Согласен’ или ‘Полностью согласен’)
База респондентов: 98 прогрессистов; 140 активистов; 271 новичок
