О чем говорили на ХI Региональной конференции Института внутренних аудиторов «Внутренний аудит в России»
7–8 октября 2021 года в г. Сочи состоялась ХI Региональная конференция «Внутренний аудит в России», организованная Ассоциацией «Институт внутренних аудиторов». Портал GAAP.ru выступил информационным партнером мероприятия. Представители крупнейших российских компаний поделились опытом в применении инновационных подходов к внутреннему аудиту, сотрудничестве со второй линией, автоматизации внутреннего аудита, внедрении непрерывного аудита и разработки стратегии внутреннего аудита.
Открыло конференцию выступление Алексея Сонина, директора Ассоциации «Институт внутренних аудиторов». Он подробно остановился на современных вызовах и возможностях для внутреннего аудита. Среди основных вызовов, влияющих на компании в целом, можно выделить геополитические перемены, новые технологии и цифровизацию, киберугрозы и пандемию. Они несут новые существенные риски, изменяют технологии ведения бизнеса и трудовые отношения, что в свою очередь имеет непосредственное влияние на внутренний аудит. В то же время Алексей Сонин призвал обратить внимание на такие серьезные риски для профессии внутреннего аудитора как:
- Неумение видеть новые (возникающие) риски
- Неумение привлекать и удерживать таланты (лучших)
- Усталость заинтересованных сторон от внутреннего аудита.
Также он перечислил характеристики внутреннего аудитора нового десятилетия:
- Критически, но конструктивно мыслящий
- Умеющий убеждать и побуждать действовать
- Неравнодушный «аудитор-инноватор»
- Умеющий анализировать и работать с большими массивами данных, использовать приложения искусственного интеллекта
- Имеющий подготовку в области ИС/ИТ.
Галина Дельвиг, директор дирекции внутреннего аудита, контроля и управления рисками ПАО «Газпром нефть», объяснила, как сделать вторую линию помощниками внутреннего аудита. Модель «трех линий защиты» давно стала классикой в вопросах корпоративного управления. В 2020 году она была пересмотрена: фокус «трех линий» расширяется и теперь направлен не только на защиту от рисков, но и на использование возможностей для наиболее эффективного достижения целей организации. Модель становится более гибкой и предусматривает определение ролей всех линий с учетом особенностей и зрелости компании. Где место второй линии в новой концепции? Представим некий спектр, где с одной стороны находится менеджмент, а с другой – внутренний аудит. Функции второй линии распределены между ними: какие-то задачи ближе к бизнесу, например, обеспечение качества и аналитика, какие-то – к аудиту, например, контроль соблюдения требований. Позиция второй линии зависит от множества факторов: степени зрелости процессов и культуры, специфики корпоративного управления и других. Конкретное определение второй линии становится все более зыбким и неоднозначным. Возникают случаи, когда одно и то же подразделение выполняет роли первой и второй линий. Галина Дельвиг рассказала об успешной практике взаимодействия со второй линией: «Один из реализуемых проектов – это диагностика и «тиражирование» рисков в сопоставимых обществах группы компаний. Проведя оценку, внутренний аудит предает информацию о выявленных рисках второй линии, а та проводит диагностику в других объектах, изначально не охваченных аудитом. Другой пример – это контроль выполнения мероприятий менеджмента по результатам проверок. Аудит может делегировать эту функцию второй линии, перенаправляя освободившийся ресурс на иные задачи».
Автоматизация и цифровизация во внутреннем аудите
Одна из наиболее актуальных тем для внутренних аудиторов в настоящее время – это автоматизация. Светлана Тришина, заместитель директора по внутреннему аудиту ПАО «Россети», поделилась опытом реализации проекта по автоматизации внутреннего аудита. Она подчеркнула, что комплексный подход к автоматизации в целях снижения рисков двойного ввода данных и повышения безопасности использования и хранения информации компании обеспечивается импортом информации из всех доступных источников с последующей консолидацией в единой системе, в рамках которой происходит хранение и анализ данных, результатов проверок и мониторинг рисков и планов корректирующих мероприятий. Автоматизированной системой предусмотрено взаимодействие владельцев бизнес-процессов, подразделений внутреннего аудита и внутреннего контроля. От идентификации рисков до принятия управленческих решений с целью минимизации их влияния на бизнес-процесс. В качестве явных положительных эффектов от автоматизации спикер назвала повышение прозрачности и эффективности мероприятий по внутреннему аудиту, сокращение «ручного» формирования и учета данных по процессам внутреннего аудита.
Продолжила тему важности автоматизации Анна Сергеева, директор по внутреннему аудиту и контролю ГК «Гранель», рассказав о непрерывном аудите как инструменте выявления признаков реализации значимых рисков в режиме онлайн. История создания данного инструмента начиналась с системы ключевых индикаторов корпоративных злоупотреблений. Со временем она менялась, превратившись сначала в систему непрерывного мониторинга, основной задачей которой являлось выявление существенных признаков недостаточной эффективности бизнес-процессов, и далее – в непрерывный аудит. Система непрерывного аудита – это комплексная аналитическая система, которая направлена на выявление признаков возникновения значимых для организации рисков в режиме реального времени. Она используется внутренними аудиторами для непрерывного мониторинга состояния системы внутреннего контроля организации. Данная система постоянно развивается и трансформируется, адаптируясь под внешние и внутренние изменения.
В настоящее время ключевым фактором, влияющим на развитие и изменение действующих систем непрерывного аудита в организациях, является внедрение процессов цифровой трансформации.
Например, в некоторых строительных компаниях активно используются следующие цифровые продукты: искусственный интеллект при общении с клиентом, роботизированный инженер строительного контроля, «умные каски» на строительной площадке и пр. Результат внедрения данных механизмов заставляет существенно меняться в свою очередь и систему непрерывного аудита. И соответственно меняются требования к современному внутреннему аудитору, для которого необходимыми становятся знания в области управления цифровыми продуктами.
Денис Овсянников, директор по внутреннему аудиту Tele2, затронул нюансы непрерывного аудита. Непрерывный аудит практически всегда означает автоматизацию проверки и сплошное тестирование. Это подразумевает наличие хорошо настроенных инструментов и практик их использования. Чаще всего инструменты приходится разрабатывать под конкретный объект аудита и источники данных. Но иногда возможно использовать имеющиеся инструменты, в том числе свободно распространяемые. В частности, для такого широкого класса объектов как транзакционные данные, для анализа сложных паттернов структуры транзакций можно применять инструменты исследования больших графов.
При реализации концепции непрерывного аудита на практике, достаточно сложно провести границу между аудитом и контролями второй линии. Поскольку сама по себе непрерывность может трактоваться как регулярный операционный контроль. Более того, сами инструменты непрерывного аудита могут и должны использоваться и в операционных контролях. Ярким примером является process mining, который хорошо работает и в регулярных контролях, и в непрерывном аудите. При совпадении объекта контроля и инструментов аудит может фокусироваться на поиске новых рисков и механизмов их реализации, участков, не покрытых контролями или таких, где контроль ослаблен.
В банковском секторе цифровизация имеет особенно важное значение. Представители ПАО Сбербанк подробно остановились на цифровых инструментах внутреннего аудита. У службы внутреннего аудита есть необходимость в использовании различных цифровых инструментов и методов, поиске новых источников информации. При этом каждый владелец процесса заинтересован в получении результатов аудита своего бизнес-процесса в целом, а не отдельных его частей. По словам Андрея Золотарёва, управляющего директора, и Степана Михалёва, главного аудитора УВА по Юго-Западному банку ПАО Сбербанк, для решения этой задачи подразделение использует process mining, или процессную аналитику. Этот метод базируется на изучении системных данных о выполненных операциях и позволяет строить граф процесса, сравнивать его с нормативным и выявлять «узкие места» в процессе. А охват 100% проверяемых объектов позволяет получить более достоверную оценку анализируемого процесса и избежать споров о репрезентативности выборок. Важным фактором является визуализация результатов аудита. Здесь на помощь приходит graph mining, или графовая аналитика, – набор методов, которые ориентированы на анализ структуры связей между сущностями. Graph mining очень эффективен для выявления групп лиц/ событий/ фактов/ проч., которые связаны определенными признаками.
Марина Ломсадзе, руководитель направления управления внутреннего аудита центрального аппарата ПАО Сбербанк, отметила, что внутренним аудиторам не всегда приходится работать со структурированными данными (таблицы), и широкие возможности в проверках дает анализ неструктурированной информации – текстов, изображений, звука. Text mining – это набор технологий и методов, предназначенных для извлечения информации из текстов. Основная цель – дать аналитику и возможность работать с большими объемами исходных данных за счет автоматизации процесса извлечения нужной информации. Данный метод позволяет анализировать тест большого количества документов, формировать 100% выборки там, где информация не структурирована в таблицы. Еще один инструмент анализа неструктурированных данных – computer vision. Это область искусственного интеллекта, связанная с анализом изображений. Она включает в себя набор методов, которые позволяют извлекать информацию из сканов, фотографий, видео. Марина Ломсадзе уточняет, что, в частности, таким образом обрабатываются сканированные документы: сканированный текст переводят в обычный и сводят задачу к text mining.
Спикеры банка отмечают, что цифровая перестройка бизнеса ведет к изменениям во внутреннем аудите. Все чаще приходится оценивать, например, не деятельность клиентского менеджера, а математическую модель, которая оценила клиента и разрешила выдать кредит. Таким образом экспертиза УВА становится актуальной в части процессного аудита, а 100%-ное тестирование больших объемов данных делает выводы аудиторов весомыми.
Стратегия внутреннего аудита
Важности стратегии внутреннего аудита было посвящено выступление Айка Карамяна, директора внутреннего аудита ПАО «ВымпелКом» (Билайн). Стратегия внутреннего аудита является ключевой и отправной точкой для эффективной работы подразделения внутреннего аудита и строится исходя из его целей и миссии. Целью внутреннего аудита «ВымпелКома» является усиление бизнес-контролей, с тем чтобы обеспечить защиту репутации, сотрудников и активов компании и поддержать организацию в достижении стратегических целей. Важным моментом для разработки и осуществления стратегии является ее обсуждение и понимание со стороны всех заинтересованных сторон: команды внутреннего аудита, топ-менеджмента и аудиторского комитета, а также выделение необходимых бюджетных средств. Для предоставления высокого уровня сервиса подразделение внутреннего аудита компании на основе SWOT-анализа и бенчмаркинга разработало следующие три основные направления стратегии с фокусом наращивания собственной сильной команды и экспертизы: (1) развитие профессиональной команды; (2) качество процессов и инструментов внутреннего аудита, что включает в себя широкое использование аналитики данных и автоматизацию роботизированных процессов; (3) ориентир на клиента (т.е. бизнес), а именно: предоставление качественных отчетов с фокусом на материальные риски и выявление коренных причин недостатков. Спикер уточнил, что реализация любой стратегии сопровождается различными вызовами, обусловленными внутренними и внешними факторами, и в случае «ВымпелКома» к таким относятся недостаточное предложение на рынке ИТ-аудиторов, дата-инженеров и сертифицированных аудиторов.
Олег Ажимов, руководитель Службы внутреннего аудита ПАО «РусГидро» (СВА), в своем выступлении поделился опытом разработки стратегии внутреннего аудита. В 2021 году была утверждена Стратегия развития Группы «РусГидро» на период до 2025 года. Она направлена на обеспечение надежного энергоснабжения и безопасного функционирования энергообъектов, устойчивое развитие производства электроэнергии с фокусом на чистую энергию, развитие энергетики Дальнего Востока и рост ценности компании. В свою очередь, была определена и миссия СВА: сохранение и повышение стоимости Группы, содействие выполнению миссии Группы. Функциональная стратегия внутреннего аудита Группы «РусГидро» представляет собой документ стратегического планирования, определяющий целевые ориентиры, приоритетные направления и основные мероприятия развития СВА, соответствующие миссии ВА, направленные на реализацию стратегии Группы. Качественной разработке стратегии внутреннего аудита способствовали рекомендации, полученные в ходе внешней оценки качества деятельности СВА, которая успешно завершилась в 2020 году.
Татьяна Кутакова, заместитель директора департамента внутреннего аудита ПАО «Аэрофлот», рассказала о развитии подходов и инструментов внутреннего аудита как ключевом факторе исполнения стратегии департамента внутреннего аудита. С начала 2015 года ДВА реализовывал мероприятия по развитию функции внутреннего аудита в соответствии с передовыми стандартами и лучшими практиками в области внутреннего аудита, результатом которых стали:
- разработка ряда методологических документов, регламентирующих подход к риск-ориентированному планированию и проведению аудиторских проверок, а также Программы обеспечения и повышения качества внутреннего аудита;
- разработка и внедрение Карты профессиональных компетенций внутреннего аудита, в соответствии с которой планируется развитие и выполняется оценка работников ДВА;
- разработка и внедрение системы КПЭ для оценки эффективности деятельности ДВА и программы оценки и повышения качества функции внутреннего аудита;
- автоматизация процессов внутреннего аудита.
В рамках стратегии ДВА на 2020–2024 годы были определены направления развития внутреннего аудита Группы «Аэрофлот» на пять лет, среди которых использование методов визуализации данных в ходе коммуникации с проверяемыми подразделениями, комитетом по аудиту и прочими заинтересованными сторонами; формирование навыков работы с инструментами сбора и обработки данных, применения методов анализа и визуализации данных, а также интерпретации полученных результатов; вовлечение ДВА (с учетом соблюдения принципа независимости) в проведение ключевых мероприятий, реализующих стратегию Группы, с целью обеспечения надлежащего анализа рисков и контролей, связанных с мероприятиями; анализ целевых процессов в рамках реализации стратегии повышения уровня цифровизации.
Следующая конференция Института внутренних аудиторов состоится в марте 2022 года.