Аудит IoT: как проверить интернет вещей?
Интернет вещей (Internet of things, “IoT”) приобретает свою популярность и сегодня является одной и самых динамично растущих областей. По различным оценкам увеличение объема рынка IoT составляет около 20% в год.
Ожидается, что объем российского рынка IoT достигнет 117 млрд. руб в 2021 году.
Развитие IoT во многом продиктовано достижениями последних лет: существенно возросло количество умных устройств, которые позволяют вещам общаться, и появились доступные технологии, включая сам интернет для передачи данных, облачные технологии для хранения данных и технологии по обработке и преобразованию данных.
Для начала разберемся, для чего используется интернет вещей, выделим три направления:
1. Идентификация вещей. Эта задача давно волновала владельцев крупных бизнесов: невероятный рост потребления в 20 веке привел к появлению большого количества активов, которыми необходимо управлять. В конце 20-го века разработка «свой-чужой» приобрела вид меток, которые клеились на объекты и позволяли такие объекты идентифицировать. Популярная технология получила название RFID-метки (Radio Frequency Identification).
Далее эти метки были модернизированы и сегодня мир знает десятки вариаций, а область применения давно вышла за рамки бизнеса крупных ритейлеров. Организации с помощью таких меток понимают, где их активы и фактически контролируют наличие активов. По сути, современные метки представляют собой первый шаг в сторону интернета вещей.
Однако аудиторский скептицизм заставляет нас сомневаться: когда мы видим в системе сигнал от метки, это не всегда означает, что сам актив тоже существует (возможно ведь метка есть, а ноутбук, к которому она была прикреплена отсутствует). Аудитору необходимо проверять системы внутреннего контроля более тщательно и предусматривать процедуры по проверке самих активов, а не меток.
Умный гаджет может не просто подать сигнал «свой-чужой», но и преобразовать сведения о внешней среде в данные, понятные машине. Фактически это означает, что датчик может определить какой-то показатель (температуру, давление) и даже совершить действие, основываясь на измеренных данных. Это особенно важно в производственных процессах, где гаджет может предотвратить аварию или серьезный ущерб, вовремя отреагировав на проблему.
Самым, пожалуй, важным шагом по развитию умных гаджетов, был шаг, когда устройства научили передавать данные, то есть общаться. Фактически это и стало основой интернета вещей: теперь приборы сами обмениваются необходимыми данными и принимают решения, которые на полученных данных основываются. На практике есть ряд нюансов, как датчики передают и принимают информацию, но сути это не меняет – главное, это сама возможность данные передать.
Развитие технологий, безусловно, помогает не только бизнесу учитывать и контролировать свои активы, но и аудитору. Раньше аудитор сталкивался с достаточно серьезной проблемой: большие объемы активов необходимо было каким-то образом подтвердить, а штат аудиторов намного меньше сотен, даже тысяч сотрудников проверяемых организаций.
Однако улучшение систем внутреннего контроля проверяемых организаций требует от аудитора не поверить технологиям на слово, а требует пересмотра методов проведения проверки. Аудитор должен развивать полномасштабные стратегии проверки.
Для начала отметим некоторые вопросы, которые возникают аудитора:
И это только несколько вопросов на поверхности. Но главный вопрос аудитора сводится к появлению новой группы рисков, которые необходимо не только выявить, но и покрыть. Это риски, связанные с техническими аспектами применения IoT, риски в условиях волны кибератак и угроз, а также риски совершения мошеннических операций.
Мнительному аудитору нужно обдумать не только, как проверить наличие актива (и его правильный учет), но и обдумать, а стоит ли эта «маленькая штучка» $1 млн., и что за поставщик привез оборудование.
Неясным, на первый взгляд, выглядит все: сама технология, экономическая целесообразность IoT, цепочки поставок, обслуживание.
Аудит таких проектов является сложным, но трудностей наша профессия не боится. В конце концов, проверить процесс добычи и сепарации газа тоже задача не из легких, но за годы работы сложилась целая индустриальная практика.
Что же делать аудитору, когда он сталкивается с технологически сложными проектами?
Попробуем составить дорожную карту, опираясь на требования Международных стандартов аудита.
Одной из основных задач аудитора является выявление рисков существенного искажения финансовой отчетности. При чем стандарт предлагает это делать как на уровне всей отчетности, так и на уровне предпосылки к риску (assertion level).
Понимание аудитор получает, изучая среду организации и ее систему внутренних контролей [ISA315.3]. То есть фактически аудитор должен смотреть на риски более системно и стараться их выявить риски в более узких, проблемных местах.
Первым вопросом на практике является – «а где мы эти узкие и проблемные места будем искать?». Отправной точкой становится стандарт, направления анализа представлены на схеме ниже:
Какие процедуры планирует аудитор на этом шаге, чтобы собрать информацию по всем блокам схемы выше:
Inquiry and Observation. Опрос сотрудников поможет понять, как в целом устроен бизнес и как организация сама видит свои процессы, их слабые и сильные стороны. Также это быстрый способ понять, какие прошли изменения в последние периоды и зачем вообще организация решилась внедрять какие-то передовые технологии. Во многом понимание, зачем технологический проект запущен, позволяет понять со стороны, а нужен ли в принципе такой проект.
В общественном секторе это особенно важный шаг. Финансирование организаций в общественном секторе может предусматривать серьезные инвестиционные проекты. В таком случае важно понимать, сможет ли технология решить имеющиеся проблемы. К примеру, зачастую проектная документация может приводить обоснования к проекту в стиле «…вырастет мощность в 2 раза» или «производительность увеличится в 1,8 раз…». Когда аудитор получает такие пояснения, у него появляется 2 задачи, которые являются отправной точкой:
а) Понять, в чем суть технологии. Кто и как ее делает, является ли она сегодня вообще реализуемой, какие известные достижения могут быть примером.
б) Решить, требуется ли вовлечение эксперта в проектную команду. МСА предусматривают сбор доказательств с привлечением экспертов самой организации [ISA 500.5(d)], внешних экспертов [ISA 620.6a] и использование консультантов [ISA 220.18, A22-23]. Важно учитывать правила привлечения экспертов и правильно использовать выводы специалистов:
просто делегировать «сложную» работу аудитор не может.
Однако получение экспертного мнения зачастую крайне необходимо для формирования объективного независимого мнения.
Аналитические процедуры. Аналитические процедуры предполагают проведение анализа финансовых и нефинансовых показателей, а также ключевых трендов и событий с целью выявления областей повышенного внимания [ISA315.A14-15].
По сути, данный шаг является основой для подготовки аудиторской программы по проведению детальных процедур.
Все вопросы, которые аудитор получил на первых двух шагах позволяют аудитору сформировать правильный перечень самих аудиторских процедур. Например, аудитор проанализировал трудозатраты и выявил, что проектная документация IoT предполагает снижение трудозатрат на 40% по отдельным дивизионам организации.
Аудитор в рамках анализа выявил, что общее количество трудозатрат практически не изменилось, расходы на персонал даже выросли. Возникает вопрос:
Каким образом организация достигает экономии, которая предполагалась в проектной документации IoT?
Если же этой экономии нет, то зачем было что-то внедрять?
Важно отметить, что зачастую в новых технологиях есть эффект «отложенной пользы». Например, внедрение датчиков и камер, которые повышают безопасность производства, безусловно, сократят затраты на ликвидацию последствий аварий и сделают более безопасным для человека производства. В таком примере оценить прямой экономический эффект непросто. Понимание такого подхода заставляет аудитора мыслить более гибко в вопросах целесообразности реализации технологически сложного проекта.
Аудит контрольной среды, или как его на практике называют (в более узком смысле) «аудит контролей». Аудит контрольной среды предполагает, что аудитор выявляет, возможно ли в принципе сделать ошибку, и, если она сделана – выявит ли ее организация своевременно.
В рамках аудита контролей необходимо различать направления работы: проверятся с одной стороны дизайн контролей, а с другой стороны – операционная эффективность. Это позволяет сначала аудитору понять, способен ли контроль защитить от ошибки или во время ее выявить (дизайн контроля), а уже потом – как сложилась практика, эффективен ли контроль (операционная эффективность).
Проблема контрольной среды в технологически сложных проектах – понять, что именно является источником риска.
К примеру, аудитор проверяет IoT на геотермальной станции. Датчики на станции контролируют давление пласта, температуру пара и еще десяток важнейших показателей станции. Для определения риска аудитору необходимо понять, «что бы могло пойти не так») (англ. – “whatcangowrong?”). Например, датчики установлены, но не работают. Или датчики работают, но за ними никто не смотрит. В таких ситуациях возникают риски, которые аудитор оценивает и выявляет «ответ» руководства организации – грамотно установленные контроли.
Контроли могут быть как ручными, когда инженер проверяет работу прибора, так и автоматическими, соответственно аудитору важно понимать, какой контроль выявлен. Автоматические контроли, которые правильно настроены и функционируют помогут существенно снизить как объем работы самой организации, так и объем работы аудитора.
Основной и важный блок проверки – процедуры по существу. Задача аудитора является найти баланс: чем меньше аудиторский риск, тем проще аудитору – объем работы напрямую зависит от того, на сколько проблемной является операция:
Важно помнить, что МСА достаточно четко установили перечень процедур по существу [ISA 500.A10-A25], поэтому предлагается ниже подумать над примерами практического применения: как названная в МСА процедура может выглядеть при аудите IoT:
Аудитору необходимо проверить:
- проектную документацию по созданию IoT. Проверка предполагает, что изучается задание донора проекта (что хотела организация или правительство, которые заплатили за такую технологию?).
- соответствуют ли понесенные расходы в учете первичным документам.
Фактически данный блок процедур предполагает документальное подтверждение внедренной технологии и всех понесенных расходов и закупок основных средств.
Лучше один раз увидеть, чем сто раз услышать, поэтому аудитору следует спланировать маршрут и посмотреть на процессы со стороны своими глазами. Важно, чтобы аудитор был не частью команды по инвентаризации, а был «участником со стороны». Аудитор просто наблюдает, как устроены процессы IoT, кто занимается какими процессами, как на практике весь процесс организован. В последствии аудитор может сверить наблюдения с данными учета, политиками и проектной документацией.
Проведение опросов может помочь аудитору понять, почему те или иные процессы так реализованы, правильно ли это. К примеру, можно опросить сотрудников организации, были ли случаи хищения оборудования, иные недобросовестные действия, все ли сотрудники одинаково выполняют свои обязанности. Это позволит аудитору выявить серые области, которые также надо принять во внимание в ходе анализа.
Иногда оборудование IoT может даже целиком не находиться на территории организации. К примеру, data center, в котором обрабатываются все полученные данные с датчиков IoT, может физически находиться на территории обслуживающей организации. Важно понимать, что такие центры бывают крайне дорогостоящими и аудитору следует спланировать их аудит и возможно сделать внешние подтверждения.
Данная процедура направлена на пересчет показателей. С одной стороны, следует проверить сами затраты на IoT. С другой стороны, аудитору следует вернуться на несколько шагов назад и посмотреть, получилось ли у аудируемой организации выполнить те показатели, которые запланированы изначально. К примеру, если организация планировала сократить расходы на обслуживание и ремонт на 15% - аудитору следует понять, какие успехи в данной области. Иными словами, аудитор может оценить целесообразность понесенных расходов на IoT и оценить эффективность технологии.
Несмотря на то, что аудитор самостоятельно принимает решение, делать ли аналитические процедуры по существу [ISA520.A4], важно понимать, что аналитика помогает покрыть риски, связанные с полнотой. Выявить отсутствие какого-то оборудования зачастую бывает сложно.
Однако сделать аналитический расчет и понять, что производственная линия загружена неполностью вполне реально, поэтому аналитические процедуры помогают получить более глубокое понимание изменений в учете и построить аудиторский план более точно.
К 2030 году ожидается, что во всем мире будет активировано более 100 млрд. умных устройств, что позволит встречать IoT на каждом шагу. Аудитору стоит заранее готовиться к тому, что проверка будет технически сложнее с каждым годом.
Если сегодня зачастую аудитор общается с живыми людьми, пытаясь выявить мошенничество или ошибку, то в настоящем и будущем растет число случаев, когда мошенничество спрятано в алгоритмы и совершает его не человек, а умная машина.
Важно также понимать, что IoT направлен на анализ большого количества данных, что само по себе неплохо. Решения по идее должны быть более объективными и основанными не просто на суждении, но на собранных и обработанных данных, что позволяет организациям выстроить более сложную систему внутреннего контроля.
Ясно одно – за технологией будущее и роль аудитора в нем должна быть весьма конкретно определена.