Ptáte se, kde lze techniky pro analýzu dat v procesech interního auditu uplatnit?

V plánovacím procesu interního auditu při:

• identifikaci, monitorování a analýze rizik,
• monitorování organizace pomocí indikátorů.

V rámci auditů a poradenských zakázek

• pro lepší pochopení auditovaných procesů, (zejména z business pohledu) a identifikaci slabých míst,
• pro provedení testů na výrazně větším, nebo až 100% vzorku,
• k rychlejšímu provedení testů nebo jejich větší komplexnosti,
• pro automatizaci testování některých kontrol,
• pro zavádění tzv. kontinuálního auditování,
• pro simulaci dopadu doporučované úpravy auditovaného procesu,
• pro analýzu obtížně měřitelných veličin, jako je například sentiment,
• pro detekci a prověření anomálií,
• při identifikaci a analýze neetického a podvodného chování.

Při ověřování opatření.

Při vyhodnocování řídicího a kontrolního systému.

To, že právě technologie hraje významnou roli, je patrné z řady trendů viditelných v dnešní společnosti. Množství chytrých mobilních telefonů, tabletů, hodinek, nástup internetu věcí. Big Data či Cloud číhající na každém rohu. Exponenciální nárůst dat ukládaných na celém světě. Rozvoj nadnárodní e-commerce, jako je Amazon, AliExpress, a on-line služeb bořících zavedené obchodní modely, jako je například

___________________________________________________________________

„Technologie může hrát zásadní roli v dosahování úspěchu, avšak mnoho interních auditorů nevyužívá technologie na úrovni potřebné pro naplnění dnešních očekávání“

___________________________________________________________________

Uber či Airbnb. Užívání sociálních sítí, kde má s velmi vysokou pravděpodobností účet každý z nás, přestože si jej osobně nikdy nezaložil, a mnoho dalšího. Ať už tento vývoj shrneme do pojmu „globalizace“, nebo jej budeme nazývat jinak, výsledný dopad do oblasti interního auditu je větší tlak na flexibilitu, technologické znalosti a schopnosti a přidanou hodnotu.

Pokud chceme udržet krok s našimi zákazníky, být pro ně přínosem, a někdy je snad i pozitivně překvapit svými schopnostmi, je nezbytné věnovat dostatečnou pozornost rozvoji svých dovedností v oblasti CAATs (Computer Assisted Techniques). To jsou závěry, které plynou z průzkumů provedených mezi interními auditory v posledních letech (viz např. 1., 2.).

Graf: Jakou roli podle vás hraje technologie v transformaci interního auditu?

Zdroj: Transforming Internal Audit Management – Agregate Insight (SAP, July 2014).

Kroky pro zavedení analytiky do procesu auditu:

1. Zaneste analytiku do strategie auditu
2. Vybudujte analytický tým
3. Zaměřte se na klíčové oblasti
4. Integrujte analytiku do procesu auditu
5. Rozvíjejte spolupráci s ostatními útvary
6. Propagujte výhody a přínosy

Jak využít sílu technologie a dosahovat s její pomocí působivých 

a udržitelných výsledků?

1. První předpoklad úspěchu je zařazení rozvoje analytiky mezi strategické priority interního auditu. Bez srozumitelné vize, vymezení zdrojů a adekvátní podpory bude šance na úspěch výrazně omezena.

2. Jako dobrá praxe se ukazuje vybudování technicky specializovaného týmu či specialisty v rámci interního auditu. Investice do nástrojů, a zejména do odpovídajícího vzdělání a jeho udržitelnosti nejsou zanedbatelné. Koncentrace odborných dovedností do užšího počtu osob tak se zachováním jejich zastupitelnosti umožní kvalitnější rozvoj, a hlavně každodenní praktické využívání a trénink. Postupem času tak tým získá znalosti a zkušenosti v podobě „toto už jsem principiálně řešil a víme jak na to“, „v těchto případech bude potřeba pročistit vstupní data a na to máme algoritmus z minulosti“ apod.

Pro účinné využití analytiky potřebujete kombinaci technických specialistů, „které to baví“, s alespoň základním porozuměním obchodním procesům. Čím lepší budou jejich znalosti v těchto dvou oblastech, tím lepších výsledků dosáhnete. Auditorský tým je ten, kdo by měl plně chápat auditovaný proces, formulovat hypotézy a navrhovat testy k jejich prověření, ale pokud „datový analytik“ nerozumí prověřovaným procesům a datům, těžko ze sebe může vydat maximum a být pro auditorský tým přínosem. Pokud je symbióza ideální, budou vám kolegové zabývající se analýzou dat přinášet díky svým technickým dovednostem, které nemusíte znát nebo si plně uvědomovat možnosti jejich uplatnění, nové podněty k vylepšení a rozšíření vašich auditních testů.

___________________________________________________________________

„Jednou z významných výhod datově založeného přístupu

je poskytnutí kvantifikovatelného vyhodnocení“

___________________________________________________________________

3. Ne všechny oblasti, kde lze uplatnit datově založený přístup, pro vás musí být vhodné. Porovnejte proto dostupnou technologii a zdroje dat s cíli a procesy své organizace. Při rozvoji analytického týmu se pak zaměřte na oblasti, kde vidíte největší možný přínos.

4. Dalším krokem, je zakomponování analytiky do standardního auditního procesu. Analytický tým by neměl zůstat mimo dění s tím, že pokud si budeme myslet, že se nám hodí jeho pomoc, požádáme jej. Naopak, pokud se stane standardní součástí, může vám v řadě případů při úvodní fázi auditu otevřít řadu možností jak využít dostupná data k analýze a testování auditovaného procesu. Spojením jeho technických zdrojů a dovedností s vaší expertní znalostí auditovaného procesu mohou vytvořit tu správnou synergii.

5. Významným katalyzátorem rozvoje a příležitostí pro zviditelnění interního auditu jako leadera a obhájce výhod integrace technologií v různých oblastech je spolupráce. První se nabízí spolupráce s útvary či procesy zejména v tzv. druhé linii obrany, kam patří řízení rizik, bezpečnost či compliance, jejichž cíle jsou v mnoha ohledech shodné nebo velmi blízké cílům interního auditu. Společný pohled na stav rizik, funkčnost a účinnost kontrol se současným snížením nákladů je dobrou příležitostí ke spolupráci.

6. Interní audit má výhodnou pozici, protože pohlíží komplexně na celou organizaci a její procesy. Společně s výše zmíněným překryvem zájmů s dalšími útvary či procesy tak může dobře šířit a propagovat výhody datově založeného přístupu mezi ostatními. Jednou z významných výhod datově založeného přístupu je poskytnutí kvantifikovatelného vyhodnocení. A jak dokazují zkušenosti, efektivně řídit lze jen to, co lze změřit. Navíc, kvantifikované vyhodnocení lze úspěšně využít při prezentaci přidané hodnoty interního auditu. V ideálním případě dokážete zpětně ukázat, jak to vypadalo před a po implementaci opatření přijatého na základě vašeho auditu.

Pokud jste již s řízeným využíváním analýzy dat v procesu auditu nezačali, tak můžete brzy dojít k názoru, že vám již ujel vlak. Trendy digitalizace, automatizace, zvyšujícího se množství informací, a tím pádem i důležitost schopnosti informace extrahovat, analyzovat a využít při dalším rozhodování, jsou velmi silné. Jsem toho názoru, že v dnešní době požadující „více za méně“ je zavedení či rozvoj analytiky pro interní audit jednou z významných příležitostí. Nebo se chcete snad jen přizpůsobovat ve vleku ostatních?

1. Transforming Internal Audit Management – Agregate Insight (SAP, July 2014).
2. 2014 State of the Internal Audit Profession Study Higher performance by design: A blue print for change (PwC, March 2014).
3. Connecting the Dots: Building Internal Audit Value (ACL, 2014).
4. Driving Success in a Changing World: 10 Imperatives for Internal Audit (2015, CBOK).

Mgr. Petr Švub, CISA, CIA

Vystudoval Masarykovu univerzitu v Brně obor Informatika, aplikované informační systémy. Oblasti interního auditu se věnuje od roku 2003 v rámci svého působení v České spořitelně. Za 13 let v oboru vystřídal několik pracovních pozic od výkonu auditů, metodiky a reportingu až po vedení útvaru zajišťujícího výkon auditů.

Zúčastnil se zahraniční pracovní stáže v rámci skupiny Erste Bank a aktivně se podílel na projektech zavádění GRC řešení na lokální i skupinové úrovni. Aktuálně je zodpovědný za proces plánování interního auditu, analýzu rizik, GRC (Governance Risk and Compliance) systémy a zabývá se také analýzou dat při provádění auditů. Je držitelem certifikátů Certified Internal Auditor (CIA) a Certified Information Systems Auditor (CISA).