3-4 октября 2019 года в Самаре состоялась 10-я Региональная конференция «Внутренний аудит в России: от вопросов к решениям», организованная Институтом внутренних аудиторов. Партнером конференции выступило ПАО Сбербанк. Мероприятие собрало около 150 гостей и представителей профессии.
Предлагаем вам ключевые тезисы докладчиков – представителей крупнейших компаний российского бизнеса, которые поделились своим опытом и видением задач и позиционирования внутреннего аудита в современных условиях.
В открывшем конференцию выступлении Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа Групп», отметил, что бизнес ожидал от внутреннего аудита новых идей и прорывов, которые могут помочь в выполнении стратегических и тактических задач компании в ближайшие 1-3 года. Работа в этом направлении вышла далеко за границы обычного консультирования, которое является стандартной ролью внутреннего аудита, и появилась новая роль – агент изменений. Это потребовало порядка 70% ресурса службы внутреннего контроля и аудита (СВКиА) в течение года. Ключевыми направлениями деятельности внутреннего аудита в рамках новой роли стали: непрерывный поиск способов достижения КПЭ компании, разработка предложений по внедрению новых технологий и инноваций, участие в качестве медиатора в корпоративных конфликтах. Положительный отклик со стороны бизнеса не заставил себя ждать. Внутренний аудит, безусловно, остается контрольной функцией в компании, однако уровень коммуникации и скорость взаимодействия с менеджментом качественно изменились. Коллеги понимают, что СВКиА не только проводит проверку их деятельности, но и помогает в улучшении бизнеса реальными делами, а не формальными рекомендациями.
В целом, концепция развития внутреннего аудита, в основе которой положен принцип партнерства с менеджментом, является привлекательной и логичной. По мнению Алексея Чепайкина, директора по внутреннему контролю и аудиту АО «Концерн Росэнергоатом», электроэнергетического дивизиона Госкорпорации «Росатом», командная работа, базирующаяся на добросовестном и разумном управлении, представляется более продуктивной, в отличие от отношений, основанных на административном принуждении. При этом, понимание партнерства, как «совместной деятельности, основанной на равных правах и обязанностях, направленной на достижение общей цели», вряд ли встречается в практике внутреннего аудита в чистом виде. Докладчик видит основную причину этого в несопоставимых ресурсах и задачах у бизнес-направлений и внутреннего аудита.
Осмысление возможных путей повышение эффективности внутреннего аудита в атомной отрасли привело к выводу, что перспективным направлением является взращивание компетенций командного лидерства. Алексей Чепайкин подчёркивает, что лидерство для внутреннего аудита – это возможность мягкого влияния в механизмах партнерства. Принимая цели лидерства, важно понять, каким характеристикам соответствует лидер. Спикер перечислил универсальные характеристики лидера, описанные Корпоративной академией Госкорпорации «Росатом»:
- амбициозность. Берется за достижение амбициозных целей, поставленных руководством. Ставит перед подчиненными амбициозные цели. Имеет смелость браться за новое дело первым, несмотря на отсутствие аналогов;
- готовность к изменениям. Быстро реагирует на изменения, не боится вносить коррективы в согласованные планы ради ускорения проектов или соблюдения обязательств;
- широкая сфера ответственности. Действует проактивно, инициативно. Не ждет, когда его попросят или позовут, «влезает» в смежные функции;
- высокая эффективность.
По совету Алексея Чепайкина, первичную оценку уровня лидерства и «зон роста» можно проводить на основании исследований, которые, как правило, организуются в крупных компаниях кадровыми службами: оценка вовлеченности персонала, оценка горизонтального взаимодействия и оценка 360 градусов.
Снежана Газиян, CIA, AIRC, практикующий эксперт в области внутреннего контроля (комплаенс), в своем выступлении подняла вопрос партнёрства второй и третьей линий защиты. Современная модель трех линий защиты предполагает множество постоянно действующих связок и механизмов прямой и обратной связи, интерактивного взаимодействия между первой и второй линиями. Это комитеты и различные коллегиальные органы и площадки, где первая и вторая линии обсуждают в оперативном режиме бизнес-инициативы (продукты, услуги, технологии, клиентский сегмент и т.п.), чтобы оценить, проговорить совместно все преимущества и риски и прийти к осознанному и ответственному принятию последних. Это инструменты постоянного мониторинга процессов – отчеты, индикаторы, dashboards; это обучение в разных форматах, встречи по обмену опытом, реинжиниринг бизнес-процессов; решения, вовлекающие единые хранилища данных и анализ больших объемов информации, искусственный интеллект… Наконец, сама вторая линия защиты подразделяется на уровни 2.1 (более привычный набор функций, отвечающих за встраивание превентивных контролей и механизмов в бизнес-процессы, находящийся максимально близко к своим полевым корреспондентам из первой линии) и 2.2. (специальная команда аналитиков, идущая на полшага позади и осуществляющая постоянный контроль качества системы внутреннего контроля и управления рисками, применяя квази-аудиторские инструменты, но в постоянном, а не дискретном режиме, и также принимающая на себя обязанность по консультированию и методологии). Какую роль в этой модели может играть внутренний аудит? Часто интуитивно выбираемой оказывается роль инспектора, ревизора. Но чем больше аудит превращается в ревизора, тем сильнее становится сопротивление среды.
Снежана предлагает освободиться от стереотипов; научиться слышать и слушать; доверять, а не только проверять; начать обмениваться опытом, жить в мире интерактива. Внутренний аудит может передать часть своих методик, практик общения, получения информации из различных источников, сопоставления, а вторая линия – практический «полевой» опыт, алгоритмические решения в части постоянного контроля, раннего выявления, красных флагов и проч.
Плюсы такого взаимодействия как во взаимном профессиональном обогащении, так и в экономии ресурсов.
Андрей Лукьянов, заместитель директора Департамента регионального аудита ПАО «НК «Роснефть», рассказал об опыте централизации внутреннего аудита в компании, которая затронула почти 400 работников подразделений внутреннего аудита из 90 дочерних обществ.
Во-первых, были укрупнены региональные подразделения внутреннего аудита: из 90 мест дисклокации было сформировано сначала 29 обособленных подразделений, затем их сократили до 17. Использование современных средств связи позволило проводить дистанционное обучение, обмениваться опытом по итогам аудитов, проводить семинары. Внедрение рейтинговой оценки деятельности и определения лучшего подразделения и лучшего сотрудника с последующим материальным поощрением; формирование индивидуальных планов развития сотрудников, основанных на оценке потенциальных направлений развития компетенций; обучение в форме наставничества над вновь принятыми сотрудниками; обмен опытом путем проведения совещаний (круглые столы, семинары с участием специалистов, обладающих высокими компетенциями) и «веерных проверок» – все это было направлено на повышение уровня компетенций сотрудников. Привлечение во внутренний аудит технических специалистов, профессионалов, обладающих большим практическим опытом, позволило формировать рекомендации на понятном бизнесу языке, привело к признанию ценности выводов и рекомендаций аудита. А обеспечение равных условий доступа к информации для каждого сотрудника привело к информационной независимости аудита, сокращению сроков выездных проверок.
В результате реализации этого широкомасштабного проекта сформировалась команда, нацеленная не только на выявление нарушений и недостатков, а, что более важно, – на повышение эффективности деятельности компании. И сейчас функция внутреннего аудита активно внедряет проекты по создание экспертных советов по направлениям деятельности компании для углубленного аудита бизнес-процессов и групп по превентивному контролю в значимых бизнес-процессах.
Многие участники конференции отметили, что работу современного аудитора можно существенно упростить и ускорить при помощи новых технологий Data Science. В частности, коллеги из Управления внутреннего аудита трех территориальных банков ПАО Сбербанк – Антон Бирюков, ведущий аудитор управления внутреннего аудита по Поволжскому банку, Ольга Кожумяченко, менеджер направления управления внутреннего аудита по Среднерусскому банку, и Максим Ларичев, менеджер направления управления внутреннего аудита по Сибирскому банку, – поделились результатами внедрения роботизации процессов. Одним из примеров инструментов, созданных внутренними аудиторами с помощью AI-технологий, является Модель поиска нетипичных заемщиков. Она позволяет быстро анализировать весь кредитный портфель и формировать перечень заемщиков с повышенным кредитным риском, высвобождая время аудитора для проведения профессиональной экспертизы по полученной выборке. Данное решение было реализовано на основе данных, которые формируются внутри банка, о движении денежных средств по расчетным и ссудным счетам заемщиков. В его основе лежит классический метод обнаружения аномалий в DataScience: одноклассовая машина опорных векторов (One Class CVM). А обучение машины было проведено с использованием показателя долговой нагрузки – отношения выручки, поступающей на счета клиента, и сумм погашения обязательств как в банке, так и другим кредиторам.
В целом, NLP (анализ естественного языка), Computer Vision (распознавание изображений), нейронные сети LSTM уже сейчас помогают аудиторам ПАО Сбербанк работать с неструктурированными данными. Такие данные используются при решение следующих задач: анализ и классификация текстовых сообщений внутри сервисных систем; распознавание текста, подписей и печатей в различных документах и последующие сравнение с базами данных компании; распознавание голосовых аудиозаписей для контроля разглашения конфиденциальной информации. Решение таких задач при помощи Data Science позволяет получать уже готовые отчеты, заранее структурированные и проанализированные так называемым искусственным интеллектом.
В продолжение темы Денис Овсянников, директор по внутреннему аудиту Tele2, рассказал о цифровых инструментах анализа данных, которые аудиторы Tele2 применяют в своей практике. Докладчик подробно остановился на трех методах, каждый из которых может существенно снизить трудоемкость предварительного исследования и построения выборки при проверке больших совокупностей объектов. Первый метод относится к инструментам Process Mining, он позволяет строить карты процессов из тех цифровых следов, которые остаются в учетных системах компании. Проанализировав такую карту можно выявить случаи обхода контролей в процессе, несоответствующие регламенту процесса последовательности выполнения, «бутылочные горлышки», «петли» и зависшие объекты. Второй метод – Force Graph Clustering – поможет в случае, когда необходимо исследовать внутреннюю структуру большой совокупности объектов и наметить группы для более детального исследования. Он учитывает множественные связи различной природы между объектами и позволяет выявлять сложные непрямые зависимости. Третий метод – t-SNE (метод нелинейного снижения размерности) – применим, когда между исследуемыми объектами нет предопределенных связей, а сами объекты обладают собственной внутренней структурой признаков. t-SNE позволяет сгруппировать объекты по критерию «похожести» и решить тем самым две задачи: поиска нетипичных выделяющихся групп в больших совокупностях или поиска всех похожих объектов по одному имеющемуся примеру. Отдельно следует отметить тот факт, что результаты, которые дают описанные инструменты практически никогда не являются конечным продуктом, они позволяют сфокусировать поиск и направить ресурсы традиционных аудиторских методов в те области, где они будут наиболее эффективны.
Максим Сухарин, директор департамента непрерывного мониторинга системы внутреннего контроля блока внутреннего аудита ПАО «Ростелеком», подробно остановился на внедрении системы поддержки принятия решений на примере мониторинга закупок ДЗО и существующих трендах развития инструментов бизнес-анализа в компании. Докладчик выделил основные предпосылки, способствующие развитию инструментов бизнес-анализа: в компаниях накоплен значительный объем больших данных (1); большие данные становятся все более важным активом компании (2); наличие возможности увеличения добавленной стоимости через эффективное управление системами поддержки принятия решений (3). Максим Сухарин продемонстрировал рабочие возможности реализованной операционной панели индикаторов бизнес-процесса «Закупки» ДЗО, которые дают возможность анализировать данные по ДЗО как в разрезе отдельно взятой компании, так и в целом по группе компаний. Такой реализованный проект обеспечивает управление рисками в режиме онлайн, единый вариант истины, оперативность получения информации и добавленную стоимость бизнеса. В заключение спикер отметил, что реализация данного проекта – это еще один шаг в направлении цифровизации деятельности внутреннего аудита и внедрению полного цикла непрерывного аудита.
Особый интерес вызвала презентация «Аудитор на страже средств акционера: аудит действий топ-менеджмента» Екатерины Лобовой, менеджера по внутреннему контролю и аудиту, группа внутреннего контроля и аудита Корпоративного центра ПАО «МТС». Аудит действий топ-менеджмента – новое и интересное направление во внутреннем аудите. Проверить топ-менеджера службу внутреннего аудита могут попросить лишь в тех компаниях, где очень высок ее статус и степень независимости. Кроме того, степень доверия к профессионализму и полезности СВА со стороны собственников компании тоже должна быть очень высокой.
В современных условиях аудит действий топ-менеджмента становится все более актуален. Он помогает определить, насколько эффективно топ-менеджмент принимает решения и действительно ли вся его работа приносит компании пользу и способствует укреплению ее положения на рынке. Чаще внутреннего аудитора могут просить помочь разобраться в последствиях сложных сделок или нестандартных решений, и ему необходимо обладать высоким профессионализмом и экспертизой в проверяемом вопросе, чтобы сделать правильные выводы и дать нужные рекомендации.
В своем выступлении Екатерина раскрыла предпосылки проведения аудита действий топ-менеджмента, основные объекты проверки и методы проведения аудита и рассказала о видах и способах мошенничества, совершаемого руководителями компании, как с целью принести пользу возглавляемой компании, так и во вред ей, и о том, как его можно выявить. Спикер поделилась советом, каких специалистов из других подразделений и сторонних экспертов стоит привлекать в ходе проведения аудита, примерной программой аудита действий топ-менеджера и рекомендациями по составлению аудиторского отчета.
Продолжили тему новых видов аудита представители ПАО «Аэрофлот» – Игорь Кожуров, заместитель директора департамента внутреннего аудита, и Ирина Волкова, ведущий аудитор департамента внутреннего аудита, – которые рассказали об аудите использования социальных сетей.
Динамика развития социальных сетей не оставляет сомнений, что данный вид коммуникаций с заинтересованными сторонами выходит на первый план, особенно для компаний, деятельность которых связана с широкой аудиторией. Но использование социальных сетей сопряжено с репутационным риском, а в некоторых случаях – с вполне конкретными финансовыми потерями, и поэтому нуждается в релевантной системе внутреннего контроля. Докладчики поделились общими практическими рекомендациями по проведению такого аудита:
- определение критериев и принципов использования социальных сетей. Аудиторам необходимо убедиться, что компания определила стратегические и ключевые цели коммуникаций в социальных сетях, целевые аудитории и площадки, цели использования и планы развития по каждому корпоративному каналу/ платформе социальных сетей.
- администрирование корпоративных аккаунтов в социальных сетях. Особое внимание следует уделить порядку создания учетных записей корпоративных аккаунтов в социальных сетях, в том числе использованию персональных данных работников для регистрации в социальных сетях, предоставлению и блокировке доступа, мониторингу доступа, парольной защите.
- информационное сопровождение деятельности компании в социальных сетях, которое включает в себя редакторскую поддержку и работу с обращениями. Стоит предусмотреть процедуры по оценке системы внутреннего контроля в части формирования, согласования и обновления информационного контента, а также эффективности мер реагирования на публикации в социальных сетях и на запросы/ обращения пользователей.
- обучение персонала работе в социальных сетях. Любой работник может повлиять на репутацию компании. Возможные процедуры аудита могут включать анализ и оценку формирования и поддержания единых корпоративных стандартов по использованию социальных сетей путем информационных рассылок, обучения для работников, которым предоставлен доступ к корпоративным учетным записям в социальных сетях, менеджмента и рядовых работников компании.
Спикеры обратили внимание, что наполнение и глубина программы аудита использования социальных сетей напрямую зависит от уровня зрелости самого процесса в компании и целей аудита.
Выступление Анны Сергеевой, директора по внутреннему аудиту и контролю АО «Стройтрансгаз», было посвящено ревизии арсенала внутреннего аудитора. В условиях современного инновационного развития бизнеса перед большинством служб внутреннего аудита российских компаний стоит задача обеспечить соответствие деятельности аудиторского подразделения изменяющимся потребностям. При этом достаточно часто возникает ситуация, когда знакомство с отчетами службы внутреннего аудита, а также презентация результатов проверок создает ощущение, что данное подразделение находится на шаг, а то и на несколько шагов позади бизнеса.
Данное ощущение возникает нередко не по причине несоответствия тематики проверок потребностям бизнеса, а вследствие использования устаревшего арсенала внутреннего аудитора, который не актуализировался уже несколько лет. Самым удобным и эффективным механизмом усовершенствования используемых инструментов, средств и методов, является ревизия арсенала внутреннего аудитора, которая должна проводиться не реже чем один раз в год. Эксперт советует проводить такую ревизию в конце года, после завершения процесса годового планирования.
Ревизия арсенала функции внутреннего аудита состоит из нескольких этапов. Во-первых, проводится анализ изменений, происходящих в бизнесе, по итогам чего формируется перечень особенностей текущих процессов, которые должны быть учтены при проведении аудитов. Следом идет анализ возможностей использования новых инструментов, средств и методов, который основывается в том числе на опыте коллег из других российских, зарубежных и международных компаний. На третьем этапе происходит сопоставление результатов первого и второго этапов и принимается решение о внесении изменений в используемые инструменты, средства и методы внутреннего аудита.
Анна Сергеева подчеркивает, что результатом проведения такой ревизии будет повышение качества проверок, а также более эффективное распределение ресурсов подразделения.
Все участники конференции согласились, что внутренний аудит в российских компаниях стремится развиваться, не отставать от бизнеса и стать его надежным партнером, в т.ч. внедряя лучшие практики. И такие мероприятия как конференции Института внутренних аудиторов максимально способствуют этим целям, поскольку дают возможность обмениваться передовым опытом и узнавать о новых технологиях.
Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.