Время прочтения: 13 мин.

«Внутренний аудит информационных технологий» для некоторых коллег звучит, как что-то специфичное и узкоспециализированное, хотя в современном положении дел это уже давно не так. Сейчас ни один отдел любого банка не обходится без автоматизации и цифровизации. Стремительное развитие и внедрение ИТ технологий во все сферы бизнеса вынуждает аудиторов ИТ постоянно совершенствовать свои знания и развивать навыки. Такого же мнения придерживаются и наши коллеги: Майк Соберс (Mike Sobers) партнер Deloitte, специализирующийся на внутреннем ИТ-аудите, Янис Петрас (Yannis Petras) — директор отдела технологий и цифровых рисков, специализация —   предоставление консультационных услуг по вопросам внутреннего аудита технологий, ИТ-рисков, Джонатан Роффи (Jonathan Roffey) — один из директоров отдела службы внутреннего аудита ИТ. В своей статье они делают акцент на то, что профессиональная и современная служба аудита ИТ может дать толчок для развития ИТ в целом во всей организации. Кроме того, авторы статьи отмечают значимость кадров и их развитие, появление новых видов рисков, связанных с повсеместным внедрением информационных технологий. 

Мы рады опубликовать наш последний обзор актуальных тем в области внутреннего аудита ИТ в сфере финансовых услуг.

Наш обзор основан на опросе, проведенном среди организаций финансового сектора Великобритании, и наших обсуждениях с главными внутренними аудиторами, руководителями служб ИТ-аудита и специалистами по ИТ-аудиту за последние 12 месяцев, которые открыто обсуждали свои сферы деятельности и организационные задачи, связанные с организацией технологического контроля в своих компаниях.

Мы провели интервью с более чем 20 ключевыми организациями финансового сектора Великобритании с целью выяснения перспектив по основным темам или фокусам внимания в области внутреннего аудита ИТ на 2019 год. Хотя тема «кибербезопасности» вновь заняла первое место в нашем списке, интересно отметить смещение акцента в сторону кибер «устранимости»: темам, связанным с реагированием на инциденты и устойчивостью к их появлению, а также требованиям обеспечения безопасности в отношении новых цифровых активов. Фактически, в этом году службы действительно «взглянули в будущее»: в нашем отчете впервые появляются такие темы, как искусственный интеллект (ИИ), робототехника, системная инженерия (интеграция разработки и эксплуатации программного обеспечения). Респонденты выделили эти задачи аудита, которые необходимо будет проработать, хотя все по-прежнему относятся к таким темам, как к источникам «новых рисков». Нетрудно представить, что в ближайшем будущем эти риски станут основными, и будут оказывать влияние на деятельность организаций.

Статья также включает в себя комментарии о задачах, с которыми сталкиваются службы внутреннего аудита ИТ (раздел 1), основанные на результатах нашего опроса, наш взгляд на эффективность внутреннего аудита ИТ в будущем (раздел 2), и нашу точку зрения на роль аудита ИТ в непрерывном развитии служб внутреннего аудита.

Как обычно, детальный обзор тем (разделы 3-4) показывает наш взгляд на то, как внутренний аудит должен прорабатывать эти 10 основных тем.

Всегда приятно получать положительные отзывы о публикации, а также конструктивную критику для постоянного совершенствования. Мы хотели бы поблагодарить все организации, которые участвовали или вели с нами открытые беседы в течение года и предоставляли информацию для данной публикации. Мы искренне надеемся, что данная статья даст вам представление о том, как повысить эффективность и ценность службы внутреннего аудита ИТ и при этом стать более инновационной.

Партнер. Майк Соберс

Основные проблемы служб внутреннего аудита в области ИТ

Облако тэгов на рисунке ниже содержит слова/фразы, которые респонденты чаще всего использовали, когда их спрашивали о проблемах, связанных с их службами внутреннего аудита ИТ. 40% организаций, принявших участие в нашем исследовании, ожидают, что бюджеты их служб останутся прежними или сократятся. Этим службам по-прежнему предлагается добиваться «большего при меньших затратах», стремясь при этом учитывать более широкий круг ИТ-рисков, внедрять инновации и увеличивать использование аналитических методов анализа информации.

Рисунок 1. Проблемы служб внутреннего аудита ИТ; «Облако слов» на основе ответов респондентов.

Проблемы с ресурсами/кадрами, которыешироко отмечались в предыдущие годы, по-прежнему являются одной из ключевых областей, требующих особого внимания. Правильные кадры не всегда легко найти (или сохранить), особенно «универсала» с высоким и глубоким знанием ИТ в сочетании с хорошей осведомленностью о бизнесе.

Как подчеркнул один из респондентов, «…становится все труднее находить и удерживать людей, которые оптимально сочетают в себе навыки аудита ИТ и знание бизнеса, а также обладают развитыми коммуникативными навыками и личными качествами, чтобы продолжать сопрягать/соединять бизнес и аудит ИТ для выработки комплексных подходов, повышающих ценность службы».

Как мы также упоминаем далее в докладе, отрасль страдает от недостатка собственных «доморощенных» специалистов в области новых направлений, таких как: облачные технологии, робототехника и решения для ИИ. Службы, стремящиеся пополнить штат техническими специалистами, могут столкнуться с различием в «философии» между техническими специалистами и аудиторами в подходе к рискам и контролю, что, в свою очередь, приведёт к необходимости инвестировать в повышение квалификации специалистов, чтобы они могли стать по-настоящему эффективными аудиторами.

Цель прогнозировать данные, используя технологии и инновации, становится все более распространенным требованием к службе со стороны как комитетов по аудиту, так и акционеров, однако, многие службы все еще испытывают трудности с достижением этой цели. Причинами отсутствия прогресса в этой области являются: недостаточный объем инвестиций, нехватка специалистов для управления такими инициативами или культурные ограничения в командах, где доминирует традиционный подход к проведению ревизии.

Другие проблемы включают в себя: эффективное покрытие/страхование рисков в рамках ежегодной системы оценки рисков и аудита, сотрудничество с тремя линиями защиты, проведение «эджайл» аудита на комплексной основе (и/или с участием нескольких глобальных групп) и обеспечение надлежащего баланса между «предоставлением гарантий в отношении рисков» и «проверкой и предоставлением «рекомендаций» бизнесу». Отдельным пунктом следует отметить независимость, которая по-прежнему вызывает беспокойство, особенно в условиях, когда служба внутреннего аудита стремится найти более эффективные способы продолжения выполнения своих функций в качестве службы, приносящей дополнительный доход. Нередки случаи, когда у службы внутреннего аудита ИТ спрашивают, или они сами интересуются: «Как выглядит эффективный внутренний аудит ИТ? «и, что немаловажно, каким образом они могут быть уверены в завтрашнем дне и в том, что они смогут в полной мере удовлетворить меняющиеся потребности акционеров и что они хорошо подготовлены для преодоления возникающих технологических рисков. Цель следующего раздела — пролить некоторый свет на этот вопрос.

Эффективный внутренний ИТ-аудит в финансовых службах

По мере того, как организации сектора финансовых услуг ищут новые методы повышения финансовых результатов и пытаются использовать цифровые инновационные технологии и операционные модели, они вынуждены внедрять инновации и погружаться в новые подходы для создания добавленной стоимости своих организаций. Мы стали свидетелями того, как более зрелые подразделения внутреннего аудита разрабатывают новые инструменты и инновационные возможности — во многих случаях, используя группы по инновациям, исследованиям и разработкам — для того, чтобы эффективнее реагировать и адаптироваться к таким изменениям и новым вызовам.

В нашем докладе о «Внутреннем аудите 3.0» мы предлагали структуру следующего поколения эффективной системы внутреннего аудита, хорошо приспособленной для решения задач, связанных с возникающими рисками, технологиями и сбоями. Анализ, приведенный в данном разделе, использует эту структуру и фокусируется конкретно на роли руководителей ИТ-аудита.

По нашему мнению, эффективная команда внутреннего аудита ИТ активно участвует в формировании и реализации концепции развития, как части стратегического направления деятельности всей службы внутреннего аудита, так и организации в целом. Она стремится идти в ногу с технологическими изменениями, создавать добавленную стоимость, усиливать влияние не только на ИТ-директора, но и на всю организацию в целом. Это видение будет отличаться от компании к компании и будет определяться в зависимости от стратегических целей организации и общим изменениям в бизнесе.

Основные параметры ценности, которые сейчас нужны и необходимы акционерам можно классифицировать, как показано на рисунке 2: «гарантирую», «предлагаю», «предвосхищаю». Реализация этих компонентов облегчается благодаря оптимальному сочетанию таких факторов, как «цифровые активы, «навыки и возможности» и «процессы».

Это не универсальный подход, и многие из вышеперечисленных мер не будут применяться в одинаковой степени в различных организациях. Однако, по нашему мнению, ключевые принципы и критерии успеха эффективной службы внутреннего аудита ИТ могут быть применены и ко всей службе в целом, например, такие как: использование целостного подхода наряду с более широкими функциями внутреннего аудита; подход, в котором приоритет отдается изменениям через изменения в ценностях/услугах, выполнению заданий на проведение аудиторской проверки от акционеров и инструментах (кадры, процессы и технологии); акцент на ответственном и надежном реагировании на задачи директора по ИТ и обеспечение безопасности в организации в настоящем и будущем.

Рисунок 2. Статья «Deloitte. Внутренний аудит 3.0». Схема «Гарантируй, Предлагай, Предвосхищай»

Гарантирую

Своевременное предоставление гарантий является основной задачей внутреннего аудита. Эффективная, хорошо подготовленная для будущего служба аудита ИТ, должна быть в состоянии сочетать годовой план проверок, который обеспечивает гарантии по ключевым процессам и средствам контроля, таким как основные показатели и ИТ-инфраструктура, ИТ операции, идентификация и управление доступом, обеспечивая при этом надлежащее покрытие основных или наиболее значимых рисков (включая новые), таких как кибер риск, цифровой риск, риск изменений, риски от новых технологий.

Многие службы уже внедрили ряд инструментов и подходов для обеспечения непрерывного аудита; использование таких технологий, как искусственный интеллект, робототехника и передовые средства анализа данных, может, с одной стороны, облегчить непрерывный, полностью автоматизированный онлайн мониторинг автоматизированных систем, а с другой стороны, обеспечить автоматизированное формирование (например, онлайн дэшборд) отчетности. Когда ИТ-аудит использует такие инструменты, служба выигрывает и может более оптимально использовать квалифицированных сотрудников в проработке нестандартизированных вопросов или в высокорисковых темах, высвобождая время для анализа первопричин, консультаций или будущего взаимодействия с руководством, основанного на понимании сути вопроса.

Предлагаю

Хотя подходы к постоянному аудиту или непрерывному мониторингу часто разрабатываются и применяются третьей линией, они иногда лучше вписываются в рамки первой или второй линии обороны; мы регулярно видим, что службы ИТ-аудита обмениваются знаниями и инструментами для аналитики, которые они разработали. Параметр «Предлагаю» нашей структуры предполагает, что внутренний аудит ИТ должен консультировать первую и вторую линии обороны относительно их возможностей обеспечения гарантий и помогать с цифровыми/технологическими активами, которые могут этому способствовать. Конечно, это должно быть сделано с присущей службе аудиту ИТ независимостью и объективностью, т.е., не беря бразды управления в свои руки или не принимая управленческих решений. 

В более широком смысле, эффективная служба внутреннего аудита ИТ должна приносить пользу за счет обмена опытом, информацией о отраслевых рисках, коммуникаций с другими службами и «лучшими в своем роде» подходами. В качестве примера можно привести искусственный интеллект и новые технологии: их использование может нести с собой риски, которые руководство, возможно, еще не до конца понимает, сосредоточившись на функциональности и проверке работоспособности метода, что, может, привести к возникновению дополнительных рисков. ИТ-аудит может дать рекомендации по структурам рисков и продвинуть концепцию «контроля по проекту»; это поможет руководству ИТ внедрить механизмы и автоматизированные средства контроля, которые поддерживают цели обеспечения контроля в режиме реального времени или отчетности об исключениях.

Наконец, участие в программе преобразования ИТ позволит отделу аудита ИТ уйти от просто предоставления «гарантий», когда дело доходит до изменений, и действовать в качестве движущей силы при решении проблем и поддержки при оперативном (в режиме реального времени) управлении рисками.

Предвосхищаю

По-настоящему инновационные и перспективные службы внутреннего аудита ИТ сосредоточены на создании и предоставлении руководству превентивного понимания возникающих рисков или проблем/событий до того, как они произойдут. Это, в некотором роде, противоположный подход, по сравнению с традиционным аудиторским подходом (последконтроль), который заключается в анализе ретроданных, с целью обратить внимание на том, что пошло не так или где контроль не сработал.

Основное внимание уделяется будущему, применению таких методов, как продвинутый анализ больших данных (BigData), возможность машинного обучения (Machine Learning) и применение искусственного интеллекта для оценки ключевых контрольных показателей с целью прогнозирования областей повышенного риска сбоев в управлении, о которых руководство может не знать.

Применяемые в настоящее время в сфере аудита такие подходы, как анализ жалоб клиентов (с помощью поведенческого анализа и/или искусственного интеллекта), регистраторы событий риска, анализ соблюдения нормативно-правовых документов (ВНД), могут помочь понять причинно-следственные связи, добраться до первопричины или создать прогнозные представления, которые могут способствовать принятию превентивных мер. Хотя это все еще исключение из правил, мы все чаще видим службы, мыслящие таким образом, которые инвестируют в разработку экономически эффективных решений и решений с использованием прогнозного анализа.

Цифровые активы | Примеры

Некоторые из этих технологий могут включать продвинутую текстовую или голосовую аналитику, в некоторых случаях с возможностями поведенческого и эмоционального анализа. Новейшие технологии могут быть реализованы как полностью интегрированные платформы голосового и интерактивного наблюдения, которые отслеживают взаимосвязи между различными факторами риска (клиенты, сотрудники и т.д.).

Мы также знаем службы, использующие инновационные приложения, написанные с помощью метода машинного обучения, для обогащения рисковой и критичной выборки, путем применения ряда различных алгоритмов, включая передовые методы, такие как топологический анализ данных, для выявления взаимосвязей и отклонений в наборе данных. Это делается полностью на основе данных, что снижает риск предвзятости аналитиков, непреднамеренно ограничивающих выборку при анализе данных.

И наоборот, традиционная аналитика, как правило, основываясь на стандартном комплексе контрольных мер, или знании специалиста в данной области, который понимает исследуемую область и анализирует результаты, может быть более быстрым/простым способом. Хотя их использование и ценность не следует недооценивать, они не учитывают возможность появления «новых неизвестностей» из-за предубеждений или непреднамеренных прогнозов аналитиков.

Несмотря на то, что эти инструменты разрабатываются «дата саинтистами», занимающимися исключительно технической частью работы, после внедрения, эти инструменты обычно требуют минимальных специальных навыков и могут быть использованы аудиторами для выявления аномального поведения во всех направлениях бизнес, предусматривающего хранение данных. Они подсвечивают более сложный (неочевидный) набор исключений и отклонений, включая те, которые, как правило, не обнаруживаются обычными средствами.

Инструменты

Под «Инструментами» понимаются навыки и возможности (люди), цифровые активы и решения (технологии), и ключевые процессы, например, «эджайл» аудит. Мы упомянули некоторые инструменты и решения, используемые службами (разработанные отделом аудита ИТ или инновационной группой), которые повышают эффективность проведения аудита или операционную эффективность самой службы (см. также раздел «Цифровые активы»).

С точки зрения подбора персонала (таких показателей, как талант и навыки), службы должны искать оптимальное сочетание/универсальных ИТ-аудиторов, которые могут легко понять риски, связанные с новым ИТ-решением и предположения/гипотезы, которые это ИТ-решение делает, и специалистов, которые могут углубиться в риски ИИ и, например, новые алгоритмы или передовые киберподходы.

В любом случае, понимание бизнес составляющей (бизнес контекста) имеет первостепенное значение. Акцент на внутренние программы развития талантов также является отличительной чертой по-настоящему эффективных служб.

Ссылка на оригинал статьи, ссылка на файл для скачивания.