Почему аудит на основе выборки — отмирающая практика
Внутренний аудит десятилетиями работал на модели статистической выборки: тестируй репрезентативную подвыборку, экстраполируй выводы на совокупность и принимай как данность, что выборочный подход что-то упустит. Этот подход был необходим, когда тестирование было ручным, а совокупности — большими. Сегодня он более не необходим — и переход от выборки к полному ИИ-тестированию генеральной совокупности является одним из наиболее значимых изменений в методологии аудита за поколение.
Последствия выходят за пределы эффективности. Аудиты на основе выборки имеют систематические слепые пятна: они обнаруживают то, что присутствует в выборке, а искушённые нарушения можно структурировать так, чтобы избежать попадания в выборку. ИИ-тестирование полной генеральной совокупности устраняет эти слепые пятна. Каждая транзакция, каждое применение контроля, каждое исключение — проверены, а не оценены.
Для финансовых учреждений, государственных органов и регулируемых организаций этот сдвиг переопределяет то, что может гарантировать внутренний аудит и по какой цене.
Непрерывный мониторинг контролей: аудит без годового цикла
Непрерывный мониторинг контролей (CCM) — операционная основа ИИ-расширенного внутреннего аудита. Вместо тестирования контролей в момент аудита — точечной оценки того, работали ли контроли в период наблюдения аудиторов, — CCM тестирует контроли по живым данным на постоянной основе, генерируя видимость в реальном времени показателей эффективности контролей.
Внедрение CCM для финансовой компании может мониторить: нарушения разделения обязанностей в ERP (маркируя случаи, когда функции утверждения и ввода выполняет один пользователь), соответствие авторизации платежей (выявляя платежи выше порогового значения без двойного утверждения), завершение выверки счетов (уведомляя о просроченных выверках или невыверенных статьях, превышающих допуск) и аномалии доступа пользователей (обнаруживая отклонения в паттернах доступа, которые могут указывать на компрометацию учётных данных).
Каждый из этих контролей тестируется по полной совокупности транзакций непрерывно. Исключения ставятся в очередь для управленческого ответа и отслеживаются до устранения. Роль аудиторской функции смещается от периодического тестирования к проверке исключений и системному анализу паттернов — более ценная работа с бо́льшим охватом.
Аналитика поддержки решений Remolda включает внедрение CCM для канадских финансовых компаний и государственных клиентов.
Выявление аномалий на основе риска
Помимо тестирования контролей на основе правил, обнаружение аномалий ИИ выявляет паттерны, не соответствующие установленным нормам — даже когда никакое конкретное правило не нарушено. Это ИИ-возможность, наиболее релевантная для обнаружения нового мошенничества, операционных ошибок, попадающих между определёнными контролями, и возникающих рисков, которые наборы правил ещё не захватили.
Модели обнаружения аномалий учатся тому, как выглядит норма для конкретного субъекта, процесса или счёта — распределение размеров транзакций, частоты, контрагентов и сроков, характеризующее законную деятельность. Отклонения от этого базового уровня запускают метки для человеческой проверки, не требуя, чтобы конкретное отклонение было заранее определено как правило.
Для выявления мошенничества в закупках — постоянной проблемы для государственных организаций и крупных предприятий — обнаружение аномалий выявляет паттерны поставщиков, паттерны утверждения сотрудниками и характеристики счетов, отличающиеся от установленных норм. Оно не заменяет суждение, необходимое для оценки того, представляет ли аномалия мошенничество, ошибку или законное исключение, — но выявляет элементы, которые тестирование на основе правил не обнаружило бы.
Контекст соответствия требованиям OSFI и Казначейства
Канадские финансовые учреждения сталкиваются со специфическими регуляторными обязательствами, которые должен учитывать ИИ для внутреннего аудита. Руководство OSFI E-23 по управлению модельным риском применяется к ИИ-моделям, включая используемые в самой аудиторской функции. Финансовые учреждения, применяющие ИИ-обнаружение аномалий или скоринг рисков в своих аудиторских процессах, обязаны документировать методологию модели, валидировать результаты модели и оценивать модельный риск — та же дисциплина, что требуется для моделей кредитного и рыночного риска.
Политика Секретариата Казначейского совета Канады для федеральных ведомств и государственных корпораций включает требования к внутренним контролям над финансовой отчётностью (ICFR), которые всё чаще выполняются через CCM-внедрения. Директива TBS 2024 года по внутреннему аудиту предоставляет рамку, в которую вписывается ИИ-расширенная методология аудита.
Ключевая коммуникация для комитета по аудиту в обоих контекстах: ИИ-инструменты расширяют охват и скорость тестирования контролей, но человеческое аудиторское суждение остаётся необходимым для оценки рисков, анализа первопричин и руководства по управленческим корректирующим мерам.
Смотрите сервисы комплаенса и стратегического управления Remolda для поддержки внедрения регуляторного комплаенса.
Анализ аудиторской совокупности: скоринг рисков и приоритизация
До тестирования функции внутреннего аудита должны решить, куда сосредоточить ограниченные ресурсы. Традиционная приоритизация аудиторского плана использует оценки рисков — опросы и рабочие группы с бизнес-единицами, трудоёмкие и подверженные предвзятости доступности (аудиторы находят то, что ищут).
ИИ-скоринг рисков дополняет оценку на основе опросов количественными сигналами: операционные метрики, коррелирующие со слабостью контролей (частота изменений систем, текучка кадров на критически важных для контроля должностях, тенденции частоты исключений из предыдущих аудиторских периодов), финансовые сигналы (паттерны отклонений в остатках счетов, аномалии объёма транзакций) и внешние сигналы (правоприменительные действия регулятора в сопоставимых организациях, отраслевые паттерны мошенничества из публичных источников).
ИИ-оценка риска — вводные данные для приоритизации аудиторского плана, а не само решение. Аудиторское суждение должно оценить, отражают ли количественные сигналы реальный риск или объясняются законными бизнес-изменениями. Ценность состоит в том, что количественные сигналы не упускаются при распределении скудных аудиторских ресурсов.
Внедрение ИИ-возможностей аудита: практическая дорожная карта
Для функций внутреннего аудита практическое ИИ-внедрение следует поэтапному подходу. Начинайте с CCM на одном высокообъёмном процессе на основе правил, где параметры контроля чётко определены и данные доступны — кредиторская задолженность является наиболее распространённой отправной точкой. Измеряйте частоту ложных срабатываний, исполнение по корректирующим мерам и время аудитора на исключение. Расширяйте на дополнительные процессы по мере проверки операционной модели.
Обнаружение аномалий — возможность более поздней стадии, требующая большей истории данных и более сложной разработки модели — обычно является второй или третьей фазой в дорожной карте ИИ-аудита.
Полный ИИ-скоринг рисков для приоритизации аудиторского плана — зрелая возможность, выигрывающая от данных CCM (которые дают количественную историю эффективности контролей) как вводных данных, что делает её естественным развитием третьей фазы.
Коммуникация с комитетом по аудиту и высшим руководством на всём этом пути важна не меньше, чем техническое внедрение. Советы всё больше ожидают применения аналитики данных внутренними аудиторами; задача коммуникации — помочь им понять, что ИИ-аудит может и не может гарантировать, и почему охват улучшился, тогда как ограничения выборочного подхода сократились.
Аналитические и агентные внедрения Remolda для внутреннего аудита разработаны с учётом канадского регуляторного контекста. Свяжитесь с нами, чтобы обсудить вашу дорожную карту автоматизации аудита.