Итоги VIII Региональной Конференции Института внутренних аудиторов «Внутренний аудит в России»

Внутренний аудит и внутренний контроль
Источник: Некоммерческое партнерство «Институт внутренних аудиторов»
Опубликовано: 23 октября 2017

5-6 октября 2017 в Сочи состоялась 8-я Региональная Конференция Института внутренних аудиторов* «Внутренний аудит в России». Основными темами мероприятия стали: внутренний контроль, управление рисками, комплайенс – роль внутреннего аудита, передовые методы и подходы во внутреннем аудите, влияние информационных технологий на внутренний аудит, ключевые факторы повышения качества внутреннего аудита, компетенции и профессиональное развитие внутренних аудиторов.

Почетным гостем Конференции стал Сергей Анатольевич Швецов, первый заместитель Председателя ЦБ России, который рассказал о работе советов директоров, внутреннем и внешнем аудите.

Предлагаем вам ключевые тезисы других докладчиков – представителей крупнейших компаний российского бизнеса.

*Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций

Артем Горлов, начальник управления внутреннего аудита ПАО «ФосАгро», рассказал об особенностях внутреннего аудита в динамичных компаниях и поделился практикой «ФосАгро», сделав упор на стадию предварительного исследования процесса: «Все чаще одним из ключевых факторов успешности компаний, работающих в сильной конкурентной среде, называется навык быстро адаптироваться к внешним изменениям и умение эффективно внедрять новые технологии. Динамичность изменений в бизнес-процессах компаний требует того же от системы внутреннего контроля, а это уже напрямую затрагивает работу внутреннего аудита.

В компаниях, где постоянно происходят изменения бизнес-процессов и при этом низкий уровень формализации процедур, аудиторам становится сложнее в достаточной мере проанализировать процессы и контроли до этапа тестирования. Зачастую это приводит к следующим последствиям:

  • Аудит не выявляет и не тестирует ключевые контроли
  • Рекомендации по итогам аудита не актуальны и не раскрыты в должной мере
  • Возрастают трудоемкость аудитов и риски срыва заявленных сроков аудита.

Для повышения эффективности аудитов и снижения вероятности наступления вышеперечисленных последствий в ПАО «ФосАгро» успешно применяется следующий подход.

По итогам предварительного исследования бизнес-процесса составляется ознакомительный отчет, который включает в себя:

  • Информацию о материальности каждого изучаемого подпроцесса
  • Ключевые тренды с учетом управленческих решений и сравнение с целями компании
  • Краткое описание ключевых контролей
  • Выводы касательно периметра аудита и возможных результатов.

Данный отчет презентуется заказчику аудита, а также объекту аудита, но только тогда, когда это не подвергает риску эффективность будущего тестирования контролей. Желательно презентовать такой отчет заказчику в формате презентации с упором на визуализацию данных, чтобы изучение материала было максимально комфортным. Основными целями обсуждения отчета являются составление матрицы рисков и контролей релевантной целям и задачам, стоящих перед компанией, уточнение периметра проекта и оценка необходимого уровня проработанности рекомендаций.

Помимо этого, менеджер проекта убеждается в достаточности компетенций команды для успешного выполнения аудита.

За два года работы внутреннего аудита по такой методологии в ПАО «ФосАгро» повысилась актуальность наблюдений в финальных отчетах и проработанность рекомендаций, улучшились коммуникации с менеджментом за счет роста знаний в аудируемых процессах и наблюдается рост доверия со стороны заказчика аудита за счет повышения прозрачности процесса аудита».


Выступление Юрия Жеймо, директора по внутреннему аудиту ПАО «МегаФон», было посвящено проблеме внедрения т.н. GRC (Governance, Risks and Compliance) – структурированного подхода по обеспечению надлежащего корпоративного управления, управления рисками и комплаенса: «Данный акроним широко используется в западной практике, различными консультантами и поставщиками автоматизированных решений. Несмотря на очевидную важность этих вопросов, зачастую они не получают должного внимания и развития в компании. Одной из причин является восприятие GRC менеджментом и советами директоров как очередной модной затеи, навязываемой консультантами и продавцами соответствующих решений. Но если смотреть в суть, то речь идет о том, что должно быть в любой компании – надлежащее управление и как часть его – надлежащая система управления рисками и внутреннего контроля. Именно в таком контексте нужно строить разговор с бизнесом тем, кто занимается развитием GRC в компании. А для начала нужно перестать использовать акроним GRC и начать говорить про бизнес. Ведь риски являются нормальной, неотъемлемой составляющей и человеческой жизни, и бизнеса. Умение управлять рисками и отличает успешный бизнес от неуспешного. Компании должны внедрять интегрированный, а не фрагментарный или ситуационный подход к управлению рисками. Это понимание чрезвычайно важно для успеха проектов, связанных с построением системы управлением рисками и внутреннего контроля. И такое понимание должно прежде всего произойти в головах людей и транслироваться в организации от высшего менеджмента и Совета директоров. Необходимо обеспечить вовлеченность сотрудников, как материальными, так и нематериальными методами. Ведь люди должны выделить временной ресурс из своей деятельности, за которую они вознаграждаются и иногда наказываются. Важно также понимать, что построение эффективной системы управления рисками и внутреннего контроля – это не вопрос одного дня или даже года. Это достаточно длительный процесс, связанный с формированием надлежащей культуры поведения людей, упорядочиванием бизнес-процессов и внутренних регламентирующих документов, внедрением необходимых автоматизированных решений. Необходимо «есть слона по кусочкам», иметь четкую дорожную карту и координацию для этого путешествия. И понимать, что это путешествие в нормальном бизнесе никогда не заканчивается, поскольку он не стоит на месте».


Как грамотно управлять рисками и выявлять хищения, слабые места, диагностировать ошибки и нарушения регламента, мошенничество в бизнес-процессах? Об этом рассказал Андрей Нифатов, руководитель центра экспертизы SAP GRC CIS. В качестве примера он привел использование решения SAP GRC, которое интегрируется и масштабируется под компании любого размера и содержит обширный функционал для обнаружения и управления рисками, непрерывного контроля и аудита бизнес-процессов.

В системе содержатся различные компоненты для диагностики несанкционированного доступа и распределения должностных обязанностей, управления процессами соответствия требованиям регуляторов, налоговых органов и достоверности финансовой отчетности. Кроме этого, решение может использоваться для функций внутреннего аудита и управления корпоративными рисками. Например, проверка отклонения цены в счете-фактуре по сравнению с заказом на закупку, расхождения в дате поставки, динамика изменения цен за последние три месяца и закупка без контракта. При этом, информация об отклонениях бизнес-процесса может накапливаться в базе знаний и затем использоваться для самообучения. Этот процесс строится на классификации отклонений по результатам регрессионного анализа и обучения нейронной сети (ridge regression).

SAP помогает компаниям выработать индивидуальный подход к процессу внутреннего контроля, а организация и исполнение этого процесса становится обязанностью руководителя, участвующего в операционной деятельности. При этом за эффективностью контроля следит подразделение внутреннего аудита.

На этапе подготовки компании оценивают риски, выявляют узкие места бизнес-процессов и рассчитывают количественный эффект от автоматизации системы. По опыту компании Exxaro, ожидаемый экономический эффект от проекта управления рисками и внутреннего контроля оценили в 800 000$.

Работа с SAP GRC не всегда требует входа в систему. Задачи, связанные с оценкой рисков, проверками, оценкой эффективности контроля аудита могут выполняться через электронную почту. Сотруднику высылается интерактивный pdf-файл для регистрации в системе SAP, а результат проверки или опроса направляется обратно в систему по электронной почте.

Сегодня одной из актуальных задач для GRC является новая форма налогового контроля – налоговый мониторинг. При помощи гибких сценариев проверки данных налогового учета за любой период и с любой глубиной детализации возможно снизить налоговые риски при подготовке отчетности и устранить ошибки, связанные с человеческим фактором.


В качестве еще одного примера можно привести проект в ПАО «Аэрофлот», о котором рассказала

Татьяна Кутакова, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО «Аэрофлот». В целях оптимизации процесса проведения аудита и мониторинга исполнения рекомендаций, а также соблюдения требований Международных стандартов внутреннего аудита в 2015 году в ПАО "Аэрофлот" была автоматизирована функция внутреннего аудита. Выбранное решение SAP Audit Management до этого еще не внедрялось на российском рынке. Была проделана большая работа по расширению функциональности системы, которую группа разработчиков SAP и проектная команда «Аэрофлота» осуществляли в тесном сотрудничестве. Итоги проекта полностью оправдали ожидания. В настоящее время все элементы внутреннего аудита автоматизированы на основе единой системы. База рисков и контролей ведется в привязке к бизнес-процессам и автоматически актуализируется по результатам проведенных аудитов. При этом обеспечивается соблюдение международных стандартов внутреннего аудита и концептуальных основ управления рисками и контролями организаций. По результатам внедрения продукта процесс аудита не изменился, но существенно ускорился и стал более прозрачным. Снизились операционные затраты на обеспечение качества внутреннего аудита.


Денис Мушинский, финансовый директор ООО «Экватор», продемонстрировал 4 шага проверки ценообразования в учетных системах: «Фактор цены оказывает наибольшее влияние на размер чистой прибыли бизнеса. Исследование McKinsey & Co. Global 1200 (2002г.) выявило закономерность: +1% к цене дает +11% к чистой прибыли. Эта формула работает и в обратном направлении, достаточно снизить цены на 1% и бизнес потеряет 11% чистой прибыли. Как показал мой опыт (на примере автохолдинга): наибольшие резервы для повышения эффективности ценообразования находятся на стыке пользователи – учетная система.

За любой учетной системой прямо или косвенно стоят люди, а значит, есть человеческий фактор. Необходимо снизить его влияние на цены, в результате чего прибыль компании вырастет. Итак, 4 шага проверки:

1.            Проверка прав пользователей. Надо найти ответы на следующие вопросы:

  • Кто из пользователей устанавливает цены? Был опыт, когда цены устанавливали программисты, маркетологи и даже бухгалтера. Такой хаос приводит к ценовым потерям
  • Как он это должен делать? В каком направлении идет ценообразование, добавляется наценка к базовой закупочной цене или скидка идет от базовой розничной цены. К одной и той же номенклатурной позиции разные пользователи применяли разный подход, на больших объемах реализации потери были солидными
  • Кто и какие скидки может предоставлять? Большинство компаний в своих учетных системах настраивают контроль прав, и обычный менеджер по продажам не может раздавать скидки, исходя из своего собственного понимания рынка. Но, например, максимальную скидку мог давать только коммерческий директор, и в выходные, когда он не работал, чтобы не доставлять дискомфорт покупателям, он оставлял пароль от своей учетной записи доверенному лицу; со временем пароль вышел из-под контроля, и как следствие – средний размер скидки увеличился.

2.            Проверка уязвимых мест учетной системы. Чем лучше настроены права пользователей, тем неудобнее самим пользователям. Пользователи с этим не согласны и начинают искать обходные пути для достижения желаемого результата. Одни грубой силой стараются затолкать в учетную систему свое решение (например, ходят от отдела к отделу, чтобы добиться своего), другие будут искать слабые места программы.

3.            Проверка правильность переноса цен в учетную систему, а фактически – правильности коммуникации. Здесь в наиболее полной мере раскрывается человеческий фактор: одно и то же указание каждый может понять по-своему. Например, в ходе проверки были выявлены заказ-наряды, по которым в рамках маркетинговой акции клиентам выдавалась скидка 30% от итоговой суммы, что приводило к убытку. Идея была в том, чтобы давать скидку только на работы, а исполнители поняли, что скидку надо давать на весь заказ-наряд. Подобная путаница часто касается и НДС: «с учетом НДС» или «НДС сверху».

4.            Аудит маркетинговых активностей. Сильнее всего на конечную цену   влияет скидка, которая является одним из орудием маркетологов. Что важно проверить в маркетинге? Чтобы не выдавалась скидка на скидку, если это не маркетинговый ход. Пробел может возникнуть из-за одновременного запуска нескольких маркетинговых активностей, у которых нет одного хозяина. Программу могут инициировать: руководители подразделений, отделы продаж, маркетологи, управляющая компания, компания-производитель. Программы могут конфликтовать между собой или дублироваться. Чтобы этого не происходило, надо закрепить центр ответственности за маркетинг, а также внедрить «бета-тестирование», чтобы заранее выявить все ошибки.

Также надо проверить, чтобы у программ были установлены даты их окончания. Иногда про программу просто забывают, и она действует, например, 3 года вместо 2-х месяцев. Чтобы защититься от ошибки, рекомендую внедрить постмаркетинговый аудит. Получим 3 приятных бонуса:

  • если инициатор будет знать, что в конце программы надо будет писать отчет с результатами, то вероятность успешности повысится, маркетинговая программа не будет просто для «галочки»;
  • поймем, какие маркетинговые активности приносят реальный результат, и есть смысл вкладывать в них средства;
  • застрахуем компанию от забытых программ».

Технологии machine learning (ML) все глубже проникают в жизнь современного бизнеса. Не отстает от данного тренда и внутренний аудит. На Конференции своим опытом изучения и внедрения инструментов ML поделились аудиторы УВА по Юго-Западному банку ПАО Сбербанк: Андрей Золотарев, управляющий директор УВА, и Игорь Каширин, менеджер направления УВА: «Уже сегодня инновационные подходы апробируются ими в таких областях аудита, как разведывание неизученных данных и выделение новых кейсов в бизнес-процессах, построение адаптивных систем мониторинга, анализ информационных потоков организации, выявление социальных связей между сотрудниками и клиентами.

Примечательно, что наряду с коммерческими продуктами ИТ-индустрия предоставляет огромное количество open-source инструментов интеллектуального анализа данных, которые уже сейчас можно использовать в аудиторских проектах.

Отдельно необходимо выделить такое новое направление аудита, как аудит моделей машинного обучения, эксплуатируемых в организациях. Повсеместное внедрение ML в процессы управления и принятия решений делает данное направление наиболее перспективным в digital-аудите будущего.


Сергей Мартынов, президент российского отделения ACFE, посвятил свое выступление будущему внутреннего контроля – технологии IoT, BigData и интеллидженс: «Внутренний контроль (ВК) – это про то, как заставить сотрудников делать то, что нужно компании, и не делать то, что компании не нужно. Для этого существует два способа: научить их и убедить делать все правильно; контролировать их действия со стороны. Первый способ – это тема формирования корпоративной культуры и ее оценки (аудита). Второй способ – это контроль действий сотрудников. Например, можно заставить заполнять определенные формы отчетности и периодически присылать аудитора проверять, все ли делается правильно. Со временем стали появляться технологии, которые делают процесс контроля более-менее автоматизированным. Например, система распознавания автомобильных номеров позволяет автоматически регистрировать все въезжающие и выезжающие автомашины, а пропуск с RFID меткой – регистрировать перемещения сотрудников по зданию компании.

В последние 5 лет произошла технологическая революция, которая оказывает огромное влияние на организацию и принципы ВК. ВК – это действия, целью которых является выявление заранее оговоренных отклонений параметров процесса (хода процесса или его результата) от ожидаемых значений. Задача контрольной процедуры – выявлять отклонения параметров процесса от нормальных и, если такое отклонение выявлено, выдать сигнал тревоги. Таким образом, есть измеряемые параметры процесса; есть некие эталонные значения или условия, которые должны соблюдаться; есть некий алгоритм сравнения фактических значений контролируемого параметра с эталонными и определения, является ли отклонение критическим для выдачи сигнала тревоги.

Нужно ли включать действия, которые предпринимаются в случае получения сигнала тревоги, для нормализации процесса, в состав контрольной процедуры? Думаю, что если эти действия автоматизированы, и предопределены заранее, то можно. Если действия по приведению процесса в норму требуют нестандартных действий, или принятия решений людьми, то рассматривать их как часть контрольной процедуры не следует.

Независимо от того, что контролируется – работа оборудования или людей – используется одна и та же самая схема ВК. Когда контролируется работа оборудования, то по традиции это называется словом АСУТП (SCADA), а когда – действия людей, используется термин "внутренний контроль". Принципиальных различий между ними нет.

Системы контроля постоянно эволюционируют и сейчас в большинстве своем представляют собой распределенные сетевые контролирующие устройства. Имеется много центров принятия решений, в каждом центре находится маленький компьютер. Он получает информацию со своей группы датчиков и отправляет информацию по беспроводной сети другим компьютерам. Обработка информации в такой системе распределена, каждый микроконтроллер сам принимает решение о наличии отклонений в контролируемых параметрах. Такие системы способны контролировать не только работу оборудования, но и действия людей.

Системы последнего поколения имеют специфические особенности, которые фундаментально преображают ВК, его принципы и методы: Технологии интернета вещей (IoT), Big Data и Интеллидженс.

Все современные системы контроля строятся с использованием технологий интернета вещей. Это микроконтроллер, подключенные к нему датчики и передающие устройства - например, WiFi или радиочастотные передатчики-приемники.

Есть любые датчики - расстояния, скорости, температуры, освещенности и т.д., а процесс разработки и создания любого устройства контроля стал очень простым.

Раньше нужно было написать регламент, заставить сотрудников заполнять формы отчетности, и потом периодически присылать аудитора проверять документы. Теперь можно контролировать действия сотрудников автоматически.

Но не все так гладко с использованием технологий IoT в системах ВК. Одна из проблем – это проблема больших данных (Big Data). Возьмем предприятие, на котором работают несколько сотен сотрудников и несколько производственных линий. В такой системе будут работать несколько тысяч датчиков и сотни микроконтроллеров, постоянно собирающих и передающих информацию. Они генерируют огромные объемы информации, которые циркулируют в системе. Это называется "большие данные" (Big Data).

Основное свойство больших данных – не их количество, а качество. Большие данные отличаются от просто данных тем, что по своей природе они всегда содержат ошибки. Представьте себе распределенную по огромной территории сеть датчиков и обрабатывающих центров. Или сеть из сотен контролирующих узлов, работающих в производственной линии. В любой конкретный момент времени часть датчиков будет сломана, и не будет выдавать информацию вообще. Часть датчиков будет давать неправильную информацию и т.д. Датчики могут выводиться из строя умышленно, с целью отключить контроль и совершить хищение.

Ошибки отказов и сбоев оборудования мы пытаемся исключить несколькими способами. Например, используется резервирование – когда вместо одного датчика используются два или три. Но если вы используете технологии интернета вещей, у вас есть и другие, более серьезные причины низкого качества данных. Это, прежде всего, ошибки в программах, которые работают в микроконтроллерах. Программы пишутся людьми, и любая программа может содержать ошибки. Но когда мы говорим об использовании технологий интернета вещей в ВК, для контроля поведения людей, у нас появляется дополнительный источник ошибок. Люди имеют очень много разнообразных моделей поведения и могут их менять, чтобы приспособиться к ситуации. Никакая программа не может предусмотреть такое разнообразие ситуаций, которые могут сложиться.

Важным при контроле людей является то, что мы можем судить об их поведении и об их намерениях только по косвенным признакам. Мы можем поставить инфракрасный датчик, реагирующий на тепло, чтобы определить, находится ли человек на рабочем месте. Но это косвенный признак, который не дает 100% уверенности. Вместо человека под столом может оказаться кошка или горячий чайник. И наш вывод о присутствии сотрудника может оказаться неверным. В каком-то проценте случаев.

Мы можем усовершенствовать систему, подключив к ней дополнительно ультразвуковый датчик, который измеряет расстояние и реагирует на приближение/ удаление. Теперь у нас два датчика – тепла и движения. Но возможность ошибки сохраняется, хотя и стала меньше. Важно то, что принципиально избавиться от ошибок невозможно. Особенно с учетом того, что человек – существо разумное и все время изобретает способы, как избавиться от навязчивого контроля.

Таким образом, при использовании технологий интернета вещей для ВК мы имеем проблему некачественных данных: нам доступно некоторое количество косвенных признаков контролируемого явления, к тому же значения этих признаков могут содержать ошибку – и нам надо получить максимально правильную оценку контролируемого параметра на основе косвенной и ненадежной информации.

Как на основе косвенных и содержащих ошибки данных получить правильный вывод о наличии отклонения процесса от заданных параметров? Задачу в такой постановке решает интеллидженс. Интеллидженс – это область знаний, которая занимается тем, как получить достаточно обоснованный вывод, которому можно доверять в некоторой степени, на основе косвенных признаков интересующего явления и некачественной информации.

Если мы создаем систему ВК на основе технологий IoT и Big Data, то для надежной работы такой системы третьим компонентом будут методики интеллидженс. Мы должны выбрать косвенные признаки контролируемого явления, которые достаточно устойчиво сопутствуют этому явлению; оценивать качество информации, поставляемой каждым источником, и возможные искажения данной информации, и на основании всех собранных, очищенных и оцененных данных, уметь сделать наиболее вероятный вывод о наличии или отсутствии повода включить сигнал тревоги».