Scientific journal
Fundamental research

Print ISSN 1818-4057
Online ISSN 2226-3977
Перечень ВАК

MODERNIZATION OF THE AUDIT PROCESS BY INFORMATION-COMMUNICATION TECHNOLOGIES

Varlamova D.V. 1 Filatova V.B. 1 Abduraimova N.O. 1
1 ITMO University
Благодаря динамичному росту инноваций и технологий, а также непредсказуемым факторам, влияющим на работу организаций, имеет место быть развитие проведения дистанционных аудитов. Уже происходит создание новых высокотехнологичных устройств и систем, позволяющих осуществлять информационный обмен на расстоянии, проводить совещания и переговоры, а также наблюдать за работой проверяемого предприятия в разных отделах и цехах. В статье раскрыта тема адаптации органов по сертификации к новым особенностям проведения аудита, в частности приведены значительные характеристики процесса аудита из стандарта ISO, посвященного проведению удаленного аудита, необходимые требования к нему и условия. Также, названы устройства и комплексы, поддерживающие проведение дистанционной проверки и обеспечивающие достоверность при получении и анализе результатов. Кроме того, приведены важные аспекты использования таких устройств, которые обязательны к учитыванию на каждом предприятии для правильного их функционирования. Также, в данной работе проанализированы достоинства проведения такого вида аудита, как удаленный, его преимущества перед традиционным, и его недостатки и сложности, которые могут возникнуть на предприятии при организации и осуществлении.
Due to the dynamic growth of innovations and technologies, as well as unpredictable factors affecting the work of organizations, there is a development of remote audits. The creation of new high-tech devices and systems is already underway, allowing information exchange at a distance, to hold meetings and negotiations, as well as to monitor the work of the audited company in different departments and workshops. The article describes the topic of adaptation of certification bodies to new features of the audit, in particular, significant characteristics of the audit process from the ISO standard on conducting remote auditing, the necessary requirements and conditions are given. Also, devices and complexes are named that support remote verification and ensure reliability in obtaining and analyzing results. In addition, important aspects of the use of such devices, which are mandatory for consideration at each enterprise for their proper functioning, are given. Also, in this work, the advantages of conducting such a type of audit as remote, its advantages over traditional, and its disadvantages and difficulties that may arise in the enterprise during organization and implementation are analyzed.
remote audit
auditor
organization
process
technology

Введение

В настоящее время наблюдается динамичное развитие аудита, что связано с растущим вниманием к его роли в корпоративном управлении, при взаимодействии с системами управления рисков и внутреннего контроля. Внешний и внутренний аудит является одним из главных элементов эффективности предприятия и важнейшим средством, с помощью которого современный научный менеджмент приобретает точные и упорядоченные данные, необходимые для изучения причин возникновения проблем в организации и принятия соответствующих решений. В последние годы предприятия сталкиваются с быстрыми изменениями в расширенных нормативных требованиях в области технологий. Эти изменения позволили аудиту внести значимый вклад в повышение прозрачности, управляемости и эффективности различных бизнес-процессов.

На сегодняшний день большая часть исследований в области аудита сосредоточена на автоматизации процесса аудита. Ученые уделяют больше внимание использованию инновационных технологий на местах аудита, забывая о главном преимуществе технологий аудита: возможности сокращения объема аудиторской работы на месте и перенесения ее на удаленных членов команды. В то время, как непрерывный аудит расширяет область контроля, позволяющую осуществлять текущие процессы по оценке соответствия, удаленный аудит решает проблему местонахождения, позволяя им разделить задачи между локальными и удаленными членами группы аудиторов. Добавление компонента удаленного аудита – это не просто дополнительное преимущество, а основной драйвер использования технологий, который даст возможность переосмыслить порядок проведения аудита [1].

Целью данной статьи является изучение информационно – коммуникационных технологий, обеспечивающих модернизацию процесса аудита путем дистанционного взаимодействия аудиторов и организаций и проведения удаленных аудитов на предприятиях. В статье мы фокусируемся на областях трансформации, межличностном общении и анализе данных. Желаемый результат – независимый от местоположения аудит, где задачи могут выполняться любым аудитором с сетевым подключением, независимо от того, работают ли они на месте или удаленно.

Материалы и методы исследования

Методология исследования основана на фундаментальных исследованиях, включающих в себя основные выводы из литературы, отечественных и зарубежных методов наблюдения. Также были определены основные возможности для анализа рисков в области удаленного аудита.

Результаты исследования и их обсуждение

Дистанционный аудит – это процесс использования информационно-коммуникационных технологий для анализа данных и составления отчетов контроля качества, сбора электронных доказательств и взаимодействия с проверяемой организацией, независимо от местонахождения аудитора. По мере того, как стоимость технологий и онлайн-доступа продолжает снижаться, а бюджетное давление возрастает, все больше и больше групп аудиторов начинают использовать технологию удаленного аудита [2]. Дополнительными мотивами применения этой методики являются повышение качества аудита, увеличение времени контакта с клиентом, расширение охвата аудиторской проверки и сокращение расходов на поездки.

В зависимости от местоположения аудитора выделяют следующие методы сбора информации, которые активно используются на практике. Они представлены на таблице 1.

Проведение аудита на местах производственной деятельности организации при взаимодействии людей и в их отсутствии представляют собой традиционный метод проведения аудита, а использование интерактивных средств коммуникации и наблюдение за выполнением работы с помощью технических средств с учетом социальных и юридических требований закладывают основу для будущих дистанционных аудитов.

Главным отраслевым документом, регламентирующим проведение аудитов систем менеджмента в удаленном режиме, является обязательный документ для использования информационно-коммуникационных технологий (ИКТ) для целей аудита / оценки IAF MD4:2018. Этот документ неизбежен в использовании, если в процессе проверки задействованы информационно-коммуникационные технологии (ИКТ) [3].

Таблица 1

Методы сбора информации

Характер

взаимодействия

аудитора и

проверяемой

организации

Местоположение аудитора

На местах производственной

деятельности организации

На расстоянии

Взаимодействие людей

•Проведение интервью;

•Заполнение контрольного перечня вопросов;

•Осуществление представительных выборок;

•Проведение анализа документации с представителем проверяемой организации.

•Через интерактивные средства коммуникации:

•Проведение интервью;

•Заполнение контрольного перечня вопросов;

•Проведение анализа документации с представителем проверяемой организации.

Без взаимодействия людей

•Проведение анализа документации;

•Наблюдение за выполнением работы;

•Заполнение контрольного перечня вопросов;

•Осуществление представительных выборок.

•Проведение анализа документации;

•Наблюдение за выполнением работы с помощью технических средств с учетом социальных и юридических требований.

 

Согласно данному документу под дистанционным аудитом понимается аудит, в ходе которого ИКТ используются для проведения мероприятий в рамках аудита и сбора свидетельств аудитором, который физически не находится на проверяемом объекте. При этом дистанционные методы проведения аудита могут покрывать как весь объем аудита, так и решать задачи аудита лишь частично. Внедрение удаленных методов проведения аудитов дает ряд преимуществ, среди которых:

- доступ к труднодоступным или даже закрытым объектам.

- уменьшение командировочных расходов.

- увеличение полезного времени аудитора

Основными целями эффективного применения ИКТ для целей аудита являются:

а) предоставление методологии использования ИКТ, которая является достаточно гибкой и не имеет предписывающего характера для оптимизации традиционного процесса оценки соответствия продукции и услуг установленным требованиям;

б) обеспечение наличия адекватного контроля во избежание злоупотреблений, которые могут поставить под угрозу целостность процесса аудита.

в) поддержание принципов безопасности и устойчивости.

Для осуществления этих целей должны быть приняты меры обеспечения безопасности и конфиденциальности на протяжении всей деятельности группы аудиторов [4]. Безопасность и конфиденциальность информации особенно важны при использовании ИКТ в целях аудита. Использование ИКТ для оценки соответствия должно быть взаимно согласовано между органом по сертификации и проверяемой организацией в соответствии с мерами и правилами информационной безопасности и защиты данных, прежде чем ИКТ будет внедрен в процесс аудита. В случае невыполнения или несогласованности мер информационной безопасности и защиты данных орган, осуществляющий аудит, должен использовать другие методы для проведения аудита. Если не достигнуто соглашение об использовании ИКТ для достижения целей аудита, то целесообразно применить другие методы.

Примерами использования ИКТ во время проведения аудитов могут быть:

а) вступительные и заключительные совещания с помощью средств телеконференции, в том числе аудио, видео и обмена данными;

б) аудит документации и записей на соответствие законодательным и нормативным документам, а также нормативным документам организации посредством удаленного доступа, либо синхронно (в режиме реального времени), либо асинхронно (когда это применимо);

в) запись информации и доказательств с помощью видео или аудио записей;

г) обеспечение визуального / аудио доступа к удаленным или потенциально опасным местам.

В последнюю версию Руководства по аудиту систем менеджмента ISO 19011:2018 на проведение аудитов систем менеджмента были включены инструкции по проведению дистанционных / удаленных аудитов, т.е. такая опция допускается как применительно к внешним, так и к внутренним аудитам. Данный стандарт делит удаленный метод аудита на две категории:

а) взаимодействие аудитора или группы аудиторов с проверяемыми;

б) дистанционное изучение системы менеджмента без помощи проверяемых.

В стандарте ISO 19011: 2018 изложено, что аудит – это «систематический, независимый и документированный процесс для получения объективных доказательств и их объективной оценки для определения степени выполнения критериев аудита» [5]. Специалист, выполняющий данный процесс – аудитор. Он проводит аудит определенной области или предприятия. Согласно международному форуму по аккредитации, основными аудиторскими мероприятиями являются следующие:

а) проведение вступительного собрания;

б) проверка документов во время проведения аудитов;

в) взаимодействие проверяющей и проверяемой стороны во время аудита;

г) распределение ролей и распределение обязанностей между руководителями и наблюдателями;

д) сбор и анализ данных;

е) подготовка результатов аудита;

ж) подготовка выводов аудита и проведение заключительного обсуждения.

Как правило, подготовка и последующие аудиторские проверки сегодня уже проводятся без назначения аудитором на месте. Необходимая документация отправляется по электронной почте. Соглашения между двумя сторонами могут быть заключены с помощью видео / телефонных конференций. Процесс самого аудита выполнить сложнее в условиях дистанционирования. Обычно, аудитор присутствует в онлайн-сервисе, через который он осуществляет обзор нормативной документальной базы и обсуждает с руководством и представителями все вопросы по видеоконференции. Обход предприятия представляет собой особую задачу. Так как аудитора фактически нет на месте, ему нужно видеть обстановку для того, чтобы осмотреть подразделения организации и рабочую среду. В наши дни это возможно реализовать это с помощью VR-системы (виртуальная реальность). Эта система включает в себя камеру с микрофоном, которая отправляет видео и аудио информацию, а также очки VR. Один работник ответственный за камеру. Один из возможных способов съемки – использование фронтальной камеры. Камера может крепиться к голове на устройство кронштейна. С этой конструкцией человек идет по проверяемым помещениям. Аудитор носит очки VR. При этом он видит трехмерную виртуальную среду организации. Эта система предлагает следующее преимущество перед двумерной видеозаписью:

а) Аудитор имеет доступный осмотр. Система предлагает угол обзора 360 градусов.

б) Через очки VR аудитор видит нужное отделение в 3-х измерениях. Таким образом, он получает больше данных, чем через двухмерную передачу.

в) Виртуальная среда максимально изолирует от реального окружения, позволяя аудитору целиком сосредоточиться на важной информации [6].

Планирование аудита, по крайней мере в первых дистанционных аудитах, потребует большего времени из-за нижеперечисленных причин:

а) оценить и задокументировать процесс проведения и риски с проверяемой организацией;

б) определить, какие ИКТ (информационно-коммуникационные технологии) используются, и как они будут использоваться;

в) позволить организации определить работников, способных провести такой аудит, и обеспечить их доступность на определенное время;

г) предварительный просмотр пробы по использованию ИКТ перед аудитом для подтверждения наличия стабильного соединения и осведомленности работников относительно использования технологии.

Выводы после анализа рисков и возможностей, создают основу для определения того, что проверка процессов поддерживается ИКТ.

Аудитор должен подтвердить в организации возможность использования метода удаленного аудита. Это включает в себя проверку того, что вовлеченные люди будут осведомлены, как использовать инструмент. Аудитор анализирует риск и возможности, определенные в свете этого конкретного аудита, его целей и может предложить изменения в предполагаемом использовании ИКТ. В случае обнаружения ситуации высокого риска аудитор должен быть на месте. Все другие потенциальные ситуации должны решаться соответствующими мерами и быть отражены по мере необходимости в плане аудита. Несмотря на использование методов удаленного аудита, уверенность в том, что желаемые цели аудита будут достигнуты, должна сохраняться.

Средствами, с помощью которых возможно осуществить удаленный аудит являются:

Видео и аудио конференции. Видео и телефонные конференции давно используются в бизнес-секторе. Эта опция облегчает общение с несколькими участниками даже на больших расстояниях. Одна из наиболее широко используемых в бизнесе программ видеоконференций – Skype от Microsoft. Для телефонных конференций требуется подходящий телефон, а для видеоконференций требуется веб-камера, компьютер, проектор или монитор, а также подключение к Интернету с соответствующей скоростью.

Удаленный доступ. Это означает, что есть доступ к чему-либо, даже если человек не находится поблизости. Для виртуальных аудитов удаленный доступ подходит для компьютера в компании, на котором хранятся документы, относящиеся к аудиту. Это позволяет аудитору осуществлять удаленный поиск документов. Преимущество заключается в том, что компании не нужно отправлять все документы аудитору. Помимо проблемы отправки большого пакета данных аудитору, еще одним преимуществом является то, что компания сохраняет контроль над данными.

VR-система. Разработка в области VR продолжается уже несколько десятилетий. Первый виртуальный дисплей VR (HMD) был разработан компьютерным специалистом Иваном Сазерлендом в 1968 году. В последующие десятилетия эта тема поднималась снова и снова и появлялись новые разработки. Однако эта технология не могла реально заявить о себе. Движущей силой в развитии была индустрия видеоигр. Это также является движущей силой увеличения инвестиций в эту область с начала 2010-х годов. Первая версия очков для разработки была доступна с 2013 года. Версия для конечного пользователя была выпущена в 2016 году. Особые характеристики по сравнению с более ранними очками VR: угол обзора 90 градусов, более высокое разрешение дисплея и более низкий вес, что позволяет их комфортно носить.

Как и при традиционном аудите, при дистанционном важно обратить внимание на риски проверки. Риски для достижения целей аудита выявляются, оцениваются и управляются. Еще одним важным вопросом является понимание того, какие процессы, виды деятельности или сайты организации может проводиться удаленный аудит с помощью имеющегося инструмента ИКТ. Международный форум по аккредитации провозглашает, что это решение должно основываться на документированной идентификации рисков и возможностей, которые могут повлиять на аудит / оценку для каждой рассматриваемой ИКТ.

В таблице ниже перечислены основные проблемы для оценки возможностей и анализа рисков для удаленного аудита. Эта оценка должна быть сделана и задокументирована для каждого аудита с участием всех членов аудиторской группы и представителя проверяемой организации.

Любые договоренности должны быть документированы и сообщены между соответствующими заинтересованными сторонами. Ниже приведена таблица, в которой описаны возможности и анализ рисков для удаленного аудита [7] (табл. 2).

Таблица 2

Возможности и анализ рисков для удаленного аудита

1. Конфиденциальность, безопасность и защита данных

 

Обеспечить соглашение между аудитором и проверяемым лицом по вопросам конфиденциальности, безопасности и защите данных. Документация любых мер по их обеспечению.

2. Использование ИКТ

 

Должна быть установлена стабильная связь с хорошим качеством онлайн-соединения.

ИКТ обеспечивают доступ к соответствующей документированной информации, включая программное обеспечение, базы данных, записи и т. д.

Можно сделать аутентификацию / идентификацию опрошенных людей предпочтительно с изображением.

Если наблюдение за объектами, процессами, действиями и т. д. имеет отношение к достижению целей аудита, возможно обеспечить получение доступа к ним по видео.

3. Люди в организации

 

Возможно получить доступ и опросить людей, имеющих отношение к СМК.

4. Операции

 

Если организация не работает регулярно, из-за непредвиденных ситуаций, выполняемые процессы / действия являются репрезентативными и позволяют выполнять задачи аудита.

5. Сложность организации и тип аудита

 

В случае сложных организаций, процессов или продуктов и услуг, тип аудита требует полной оценки стандартной и более широкой выборки (например, первоначальная оценка или переоценка), тщательного анализа возможности проведения удаленных аудитов для полной оценки организации, а также должно быть обеспечено

соответствие всем требованиям.

6. Выводы

 

Цели аудита могут быть достигнуты с помощью удаленного аудита – переход к удаленному аудиту;

Цели аудита могут быть достигнуты частично – удаленный аудит может быть выполнен частично и позже

дополнен аудитом на месте;

Цели аудита не могут быть достигнуты с помощью удаленного аудита.

7. Подтверждение анализа рисков с менеджером программы аудита.

 

Заключение

Самыми большими преимуществами дистанционного аудита по сравнению с обычным аудитом являются экономия времени и средств. Экономия времени в основном объясняется тем, что аудиторы не присутствуют на месте. Для проверок, длящихся несколько дней, нет необходимости в размещении в отеле. Экономия затрат является результатом этой экономии времени. Путевые расходы и расходы на ночлег, если применимо, исключаются. В зависимости от размера компании, несколько дней можно провести вместе. Еще одним преимуществом является гибкое управление временем. В то время как обычные аудиты проводятся в один или несколько дней, управление виртуальными аудитами можно сделать более гибкими. Просмотр документации и обсуждения с руководством и представителями могут проводиться в другой день, чем обход предприятия. Это также можно разделить на несколько дней. Преимущество для организации заключается в том, что представители аудита не должны резервировать для этого один или несколько полных дней.