Первые шаги автоматизации во внутреннем аудите

Проще, чем вы думаете

Один из мифов внедрения автоматизации — что это очень сложно, это для очень умных программистов, которые учились этому в вузе четыре года (а лучше — еще больше). Действительно, есть сложные вещи, связанные с использованием нейронных сетей: распознавание документов, видео, текста. Есть проще — построение процесса по логам ( Process mining ), базовые модели ( регрессии ,  «решающие деревья» ). Есть базовые:  SQL-запросы  к базам данных, расчеты в Excel. Да, последний пункт — это тоже автоматизация. И даже эти простые операции могут принести много пользы, если применять определенные подходы к их использованию.

Кейс

Крупная компания занимается доставкой товаров и следит за своим уровнем сервиса. Поступила жалоба от клиента: товар доставили не в обещанный интервал времени. Внутреннему аудиту необходимо разобраться, как часто такое происходит в компании и почему. Конечно, можно выборочно по каждому заказу проанализировать документы, но это долго. К тому же надо запрашивать документы в архиве, они могут отсутствовать, на документах может отсутствовать время доставки. В итоге объем выборки может быть незначителен, будет недостаточно фактов для заключения. А если в дальнейшем снова понадобится провести такой же анализ?

Есть другой способ — сформировать из базы данных компании две выгрузки:

1. Информация по всем заказам за интересующий период: номер заказа, сумма заказа, дата и время доставки, оплата при получении.

2. Сумма и время поступления средств на счет компании от клиентов при оплате картой при получении.

При анализе аудитор проверит, попадает ли момент поступления средств в требуемый интервал времени. Даже при отсутствии во второй выгрузке номера заказа сверку можно осуществить по сумме и дате заказа, при этом вероятность, что все заказы клиентов будут на одну сумму, очень мала. Данный подход не идеален, он не покрывает 100% заказов, могут быть проблемы при совпадении сумм заказов, но трудозатраты на него значительно ниже, чем на ручную проверку такого же объема заказов, к тому же он даст первичную картину отклонений. Возможно дальнейшее улучшение способа — анализ маршрута доставки через GPS (в какое время курьер находился по адресу клиента). Этот способ уже зависит от подхода организации по сбору данных — какие данные и в каком виде она собирает.

Что делать

Описанный выше способ является простейшей автоматизацией: сверка данных  одной учетной системы  компании с  данными другой . При его применении необходимо помнить о следующих нюансах:

1. Что проверять? Этот вопрос важен для внутреннего аудита из-за ограниченности ресурсов, нужно выбирать критичные для компании вопросы. В кейсе была жалоба клиента на процесс, но такая конкретизация (подарок для внутреннего аудитора) бывает не всегда. Чаще всего при проведении проверки на месте или интервьюировании сотрудников можно выявить новые виды отклонений, в дальнейшем автоматизировать их поиск в системах.

2. Это можно измерить? Простота этого способа накладывает и ограничения. При автоматизации мы должны получить некую расчетную величину и сравнить ее с эталоном. Например: время доставки попадает в интервал, сумма списаний соответствует тарифу, время оплаты соответствует моменту предоставления услуги и т.д. Данный способ не сможет  работать с видео или выделять группы похожих клиентов/операций .

3. Какой эталон? При автоматизации процесса компьютеру надо четко задавать правила: что считать отклонением, а что — нет. Обычно это описано в стандартах или внутренних документах компании. Возможно, внутреннему аудитору нужно будет самостоятельно определить, что является нормой, а что — нет. Например: доставка должна быть осуществлена в течение двух часов с момента заказа. Тариф: 200 руб. Комиссия со счета клиента должна быть списана в течение 10 минут с момента печати документов. Отклонения от этих параметров — и есть отклонения от нормы.

4. Где смотреть? Анализ невозможен без данных. Стоит понимать, какие источники данных есть у компании, какая информация там хранится и как получить к ней доступ. Владельцы данных не всегда предоставляют доступ к данным внутреннему аудиту. При возникновении проблем стоит провести коммуникации с владельцами данных и донести, что целью аудита является совершенствование деятельности организации, а не выявление виновных сотрудников и их наказание.

5. Как смотреть? Существуют разные подходы к хранению данных: Excel-файлы,    базы данных ,  специальные учетные системы . От способа хранения данных зависят способы извлечения и обработки данных: язык SQL, простые расчеты в Excel,  Python-скрипты и т.д.

   При желании необходимые знания базовой обработки данных можно освоить менее чем за месяц
   

   В интернете существует множество различных курсов по SQL, Excel, Python. При построении алгоритма нужно выгрузить данные и провести расчеты. Нет ничего сложного в том, чтобы по имеющимся данным сравнить, попадает ли определенный момент в нужный временной интервал или нет.

6. Как анализировать? Если бы все было просто, работа внутреннего аудитора не была бы такой интересной. Личный опыт показывает, что проще сказать, что «по данному случаю все хорошо и он соответствует эталону». Все же, если расчеты показали отклонения от эталона, нужно начинать разбираться: правильно ли выстроен алгоритм расчета, почему возникло отклонение. Особенно стоит обратить внимание, если отклонений аномально много: 60% и более. Может, бизнес-подразделение изменило процесс, но не обновило стандарты?

7. Кому все это делать? Желательно, чтобы автоматизацией занимались два-три человека. Они должны понимать структуру данных в организации, деятельность организации и иметь базовые навыки SQL/Excel/Python (можно обойтись без последнего, если есть хорошее знание Excel). Небольшой командой проще обсуждать подходы к расчетам и интерпретировать результаты, искать ошибки. Простой автоматизацией может заниматься и один человек, но ему все равно будет необходимо обсуждать результаты с коллегами.

8. Как все это использовать? При разработке алгоритма нужно действовать поэтапно, не торопиться. Важно понять, какие шаги для расчетов необходимо сделать, где хранятся данные и как их получить. Провести расчеты, проанализировать их, при необходимости скорректировать алгоритм расчетов. Правильно выстроенный и отлаженный алгоритм увеличит выборку до 100% (на доступных и подходящих данных), снизит трудозатраты для получения результатов до нескольких кликов. Большой плюс в автоматизации — алгоритмы расчетов никуда не пропадают. Их можно запускать периодически и получать результаты. Они помогут оценить текущее положение в компании: происходит ли улучшение или ухудшение по данному вопросу.

Идеальная ситуация, когда по итогам проверки каждого вопроса появляется автоматизированный алгоритм проверки, который можно запустить в любой момент и оценить количество отклонений. К сожалению, так получается не всегда. Причины могут быть разными: недостаточно времени для полноценной автоматизации расчетов, невозможно получать данные на периодической основе, низкое качество данных или вопрос проверки требует сложной автоматизации. В любом случае даже наличие минимальной автоматизации значительно облегчает жизнь внутреннего аудитора.

Статья подготовлена в рамках спецпроекта «Начни с себя».