Владимир Шатшнайдер, «Ростелеком»: «Как системно управлять данными в аудите»

Справка о компании: «Ростелеком» — это крупнейший в России интегрированный провайдер цифровых услуг и решений, который охватывает все сегменты рынка и миллионы домохозяйств, государственных и частных организаций. Компания занимает лидирующие позиции на рынке услуг высокоскоростного доступа в интернет и платного телевидения, а также мобильной связи. В «Ростелекоме» более 3 миллионов клиентов B2B и B2G и свыше 13 миллионов B2C-клиентов. Выручка ПАО «Ростелеком» превышает 650 миллиардов рублей. «Ростелеком» позиционирует себя не только как провайдер телекоммуникационных услуг, но и как ИТ-компания, способная разрабатывать, поддерживать, внедрять, сопровождать и продавать на внешний рынок современные ИТ-решения.

Зачем системно управлять данными в аудите?

В наш век информационных технологий мы часто слышим о новых ИТ-продуктах, которые, как нам обещают, способны решить любые проблемы. Однако вместо того, чтобы слепо следовать модным тенденциям, важно задать себе вопрос: зачем мы внедряем эти технологии?

Мы выделили для себя три основные цели. Первая – это скорость предоставления данных, которая поможет аудиторам проводить проверки более эффективно. Благодаря организованному потоку информации они смогут получать необходимые сведения за час, а не за неделю или месяц.

Вторая цель – это качество. Чтобы обеспечить полноценный анализ всего массива данных, а не на основе выборок, нам необходимо использовать современные инструменты.

Третья цель – это стоимость. Мы все сталкиваемся с ограничениями бюджета, будь то прямые затраты или косвенные, связанные с человеческими ресурсами. И современные инструменты помогают использовать ресурсы эффективнее, снижая объём рутинных задач.

Что мы изменили в процессе аудита?

Стандартная схема аудита включает в себя несколько этапов: планирование, формирование гипотез, их подтверждение и составление отчёта.

Мы решили добавить два новых этапа в этот процесс: сбор и подготовку данных, а также анализ данных.

Возникает вопрос: почему бы просто не запросить данные перед аудитом? Зачем усложнять процесс? Простой ответ, чтобы получать качественные данные быстро и в одну итерацию.

На рисунке представлены уровни данных. Как правило, качество данных снижается от уровня к уровню из-за передачи и дополнительной обработки. Например, данные из отчётности обычно очень верхнеуровневые, и по ним невозможно выявить корневые причины недостатков. А если хочется получить быстро достоверные данные, необходимо обращаться к их первоисточнику.

Так давайте перейдём к ответу на вопрос, как же мы работаем с данными. Пойдём по процессам.

Процесс сбора и подготовки данных

Данный процесс нужен для ускорения работы с гипотезами аудиторов, а также получения данных для «полевых работ». В нашем случае данный процесс состоит из трёх подпроцессов.

Первый подпроцесс – это сбор данных, включающий их подготовку и извлечение из систем-источников. В этом процессе нам важно найти баланс между тремя ключевыми параметрами: скоростью, затрачиваемыми ресурсами и качеством данных. В зависимости от задачи мы используем 3 основных способа получения данных. Первый – регулярный поток данных напрямую из базы. Такой подход хорошо применим, например, когда речь заходит о закупках. Мы получаем доступы и через средства автоматизации организуем регулярный поток информации о всех закупках. В случае необходимости, мы можем предоставить любые данные в течении дня. Второй – организация доступа к базе. Как и в предыдущем случае мы получаем доступ к базе, понимая, что данные из системы часто пригождаются, но каждый раз требуются различные срезы данных. В этом случае каждая выгрузка делается отдельно, и готовые данные аудиторы получают в пределах 5 дней. Третий способ – разовая выгрузка данных из определённой системы. Когда аудиторам нужны данные из системы очень редко (1 раз в аудиторский цикл, или реже), то мы просто получаем доступ к базе и выгружаем данные. Это занимает до месяца. 

Второй подпроцесс – это хранение и обработка данных. Для того, чтобы на запрос аудиторов быстро понять, откуда какие данные брать, мы сформировали у себя в подразделении несколько направлений экспертизы данных, согласно их типам:

Третий подпроцесс, который мы внедрили, – это представление данных. В каждом аудите есть задача представить исследуемые данные и полученные результаты в максимально понятной, но достаточно детальной форме, чтобы можно было проследить логику аудиторов. Мы в работе в основном используем следующие представления. Во-первых, BI-Дашборды. Это самый простой способ наглядно продемонстрировать наблюдение, при этом дав возможность любому читателю погрузиться в детали. Формат дашборда всегда подстраивается под ключевого клиента. Клиентом может быть сам аудитор, которому нужно сделать рабочие бумаги, или начальник какого-нибудь отдела, которому интересен как его процесс, так и то, как он вписывается в общую картину, или топ-менеджер, которому важно увидеть картину целиком и принять максимально эффективные решения. Аудиторские отчёты также могут быть представлены в виде BI-дашбордов, что облегчает обсуждение аудита, снимает часть вопросов и ускоряет согласование. Во-вторых, интерактивные карты. Если аудит охватывает всю Россию, и одной из задач является сравнение подходов и результатов разных регионов между собой – хорошо подходят интерактивные карты. На них можно задать цветовую гамму по интересующему параметру, а представитель каждого региона сможет как быстро получить данные по себе, так и увидеть, как он выглядит на фоне коллег.

Как итог, внедрение процесса сбора и анализа данных позволяет как значительно ускорить получение всех необходимых данных для аудита, так и упростить процесс согласования выводов аудиторов.

Процесс анализа данных

Для того, чтобы ускорить сами аудиторские процедуры, мы прибегаем к современным способам автоматизации деятельности. Сутево, всю автоматизацию можно разделить на следующие направления. Первое – роботизация. Мы используем роботов (в основном написанными на Python), когда нужно сделать много однотипных ручных операций. Например, если требуется обработать множество договоров, найти и извлечь определённые данные, то использование робота становится оптимальным решением. Робот может быстро и эффективно пройти через все электронные документы, извлекая нужную информацию и систематизируя её, что одновременно ускоряет работу и повышает её качество, так как у робота отсутствуют ошибки «ручной обработки» информации.

Второе – Process Mining и другие современные инструменты. Существует множество современных инструментов, помогающих быстро обрабатывать большие массивы данных. Например, если мы говорим о простых линейных процессах, то это в первую очередь Process Mining. Он быстро может показать в процессе как «нестандартные» операции, так и бутылочные горлышки процесса, позволяя аудиторам быстрее добраться до корневых причин.

Третье направление – машинное зрение. Бывают задачи, когда документы предоставлены не в виде Word, а в PDF или даже в виде фотографий. Когда из таких документов нужно вытащить какую-то информацию, это может стать проблемой. Тут нам и помогает машинное зрение, которое само просматривает эти документы и может доставать и систематизировать информацию уже в табличном виде. Особенно хорошо машинное зрение работает в связке с роботизацией, существенно ускоряя работу.

Отдельно хотелось бы поговорить про использование искусственного интеллекта в аудите.

Вызовы, которые ставит ИИ перед внутренним аудитом

Использование ИИ во внутреннем аудите сопряжено с рядом вызовов и проблем:

1. Необходимость обучения ИИ: для того, чтобы ИИ мог качественно выполнять возложенные на него задачи, необходимо уделять особое внимание его дообучению специфике компании. Только в этом случае его результаты могут быть действительно применены в реальной жизни.

2. Необходимость обучения сотрудников: не только ИИ нужно обучить «премудростям аудита», но и аудиторам нужно освоить навык использования искусственного интеллекта. В первую очередь понимать, какие задачи ИИ может качественно решить, и не в последнюю очередь уметь правильно формировать запрос информации к ИИ, а также формировать правильный «Промт» для ИИ.

3. Правовые и технические аспекты: учитывая, что внутренний аудит постоянно работает с конфиденциальной и чувствительной информацией, мы не можем себе позволить использовать общедоступные инструменты ИИ. Мы разворачиваем генеративный ИИ на внутренних серверах и дообучаем, чтобы добиться наилучших результатов, но это требует времени.

4. Доверие качеству результатов. Чем больше мы используем ИИ в своей работе, тем больше внимания нужно уделять тому, насколько качественно и тщательно он эту работу выполняет. Ведь искусственный интеллект может ошибаться, а отвечать за эти ошибки придётся его пользователю.

Примеры использования ИИ во внутреннем аудите

На данный момент у нас внутри аудита «Ростелекома» идёт ряд проектов по применению ИИ. Вот некоторые из них:

ИИ-помощник аудитора

Мы взяли генеративный ИИ и подстроили его под себя. «Рассказали» ему, кто он и для чего предназначен. Загрузили в него стандарты внутреннего аудита, лучшие практики в области процессов, наиболее релевантные статьи о внутреннем аудите, и, конечно, данные о специфике «Ростелекома». Как итог, этот помощник может выполнять задачи по формированию предложений для плана аудитов и программы аудиторской проверки.

На данный момент мы находимся на стадии дообучения модели, чтобы повысить качество выдаваемых ей результатов. Хотя уже сейчас качество её работы позволяет существенно облегчить ручной труд и добавить новые идеи.

ИИ анализ документов

Помимо использования генеративного ИИ, мы также создаём и тренируем собственные модели. Одна из задач, для которых модели ИИ могут быть качественно применены, – это автоматизация анализа различных документов и выявление в них аномалий. Мы действуем по следующем алгоритму в этом случае. Сначала формируем перечень «триггеров», то есть таких факторов или сочетания факторов, которые могут говорить об отклонении. Это могут быть как «красные флаги», которые используют при анализе рисков во внутреннем аудите, так и признаки нарушения как внешних, так и внутренних нормативных требований. Второй этап – автоматизация процесса выявления триггеров в документах. Обычно это простая программка или робот на Python, которая или смотрит в нужную часть документа, или сопоставляет данные из нескольких источников. Затем мы формируем перечень кейсов с выявленными отклонениями. Например, фрод, манипуляции ценами, претензии со стороны контролирующих органов и так далее. Последним этапом мы создаём ИИ-модель, которую учим по триггерам предсказывать «негативное событие» из предыдущего пункта. В этом случае действуем классическим способом для Data Science. В частности, разбиваем весь набор «кейсов» на обучающую и тестовую выборки и максимизируем качество предсказания.

Данный подход может быть применён для множества задач и способен автоматизировать большой объём скрупулёзной и рутинной работы по анализу документации.

Заключение

Применение современных технологий и ИИ во внутреннем аудите открывает новые возможности для повышения эффективности и точности проверок.

Думаю, что в ближайшем будущем ИИ станет неотъемлемой частью внутреннего аудита, помогая компаниям снижать затраты, повышать надежность и эффективность своих процессов, а также своевременно реагировать на изменения и риски.

Владимир Шатшнайдер, директор департамента ИТ-аудита и анализа данных, «Ростелеком» 

Комментарии