В ноябре 2023 года в Сочи состоялась осенняя конференция Ассоциации "Институт внутренних аудиторов" "Внутренний аудит в России". Мероприятие собрало более 200 представителей профессии. Участники обсудили актуальные профессиональные темы, а также роль и задачи внутреннего в современных реалиях.
АКТУАЛЬНЫЕ ЗАДАЧИ ВНУТРЕННЕГО АУДИТА
"Главное, что менеджмент ждет от внутреннего аудита — это влияние на бизнес. Мы должны сделать так, чтобы цели, которые стоят перед бизнесом, достигались наиболее эффективным образом, чтобы сроки протекания процессов были как можно меньше и стоимость транзакций постоянно снижалась", — так открыл свое выступление Андрей Додонов, директор по внутреннему контролю и аудиту — начальник службы АО "АСЭ" (входит в Госкорпорацию "Росатом), задав лейтмотив всей конференции. Новые вызовы и реалии формируют новые требования заказчиков к аудиту, и здесь важна быстрая адаптация со стороны внутренних аудиторов к новым условиям:
1. Новая международная повестка
2. Амбициозные стратегические цели
3. Импортозамещение
4. Высокий уровень неопределенности
5. Санкционное давление
Для менеджмента кратно возросла скорость принятия решений. Поэтому новые требования наших заказчиков в основном сводятся к тому, чтобы служба внутреннего аудита (далее — СВА) одновременно с ними присутствовала при каждом решении, обсуждала их, высказывала свое мнение, озвучивала риски. Мы очень быстро к этому адаптировались, и если брать, например, количество плановых аудитов, которое у нас было до введения санкций, то сейчас это количество сократилось, вместе с тем раз в 10 стало больше внеплановых консультаций и различных экспертно-аналитических мероприятий.
Таким образом, ответом на вызовы со стороны СВА стали следующие шаги:
1) Проведение тематических аудитов и проверок по тем направлениям, которые наиболее существенным образом оказывают влияние на достижение целей.
2) Цифровизация контрольной деятельности: доработка ИТ-систем под потребности аудита, получение в ежедневном формате выгрузок, работа с дашбордами, причем не только с теми, которые специально готовятся под аудиторские проверки.
3) Управленческий консалтинг (поддержка изменений): более 60% времени по факту занимают консультационные проекты (так называемые быстрые консультации). Из них 80-85% — консультации, которые проводятся менее одной недели, т.к. менеджменту важно получить быстрый анализ, мнение для принятия оперативного решения.
Продолжил тему Владимир Кременицкий, директор по внутреннему аудиту "АИМ Холдинг", рассказав о базовых принципах и подходах внутреннего аудита в Группе. Во-первых, в основном внутренний аудит работает в трех ключевых областях, активно привлекая внешних экспертов: (а) промышленная безопасность и охрана труда, (б) экологическая безопасность, (в) инвестиционная деятельность. Во-вторых, используется скользящее планирование и при проведении аудитов фокус делается на наиболее проблемных областях. В-третьих, такой инструмент как "интенсивный мониторинг" позволяет обеспечить внедрение мероприятий для менеджмента в полном объеме. Он включает в себя детальный контроль со стороны внутреннего аудита на всех этапах реализации менеджментом мероприятий по итогам проверок ВА.
До 2020 года бизнес пребывал в относительно предсказуемых условиях, однако последние 3 года доказали, что ранее привычные риски либо уже не актуальны, либо реализовались, при этом появились наиболее сложные по управлению риски, которые генерируются с очень высокой скоростью и изменениями. Именно поэтому, по мнению Алексея Бухера, руководителя службы внутреннего аудита ПАО "ТМК", проведение внутренних аудитов и оценка рисков в текущей ситуации наиболее эффективны. Безусловно, оценка внутренним аудитом прошлых периодов деятельности компании для балансировки процессов, оценки эффективности и формирования независимого мнения необходима, однако встраивание в деятельность внутреннего аудита и систему управления рисками компании "превентивного" аудита, приносит всё больше пользы бизнесу. "Превентивный аудит" — это комплекс аудиторских мероприятий по оценке текущего состояния бизнес-процессов компании ("аудит в моменте"), направленный на выявление и предупреждение рисков, угроз, потерь, поиск новых возможностей.
Основное отличие "превентивного" аудита от "классического" — исследование текущих событий с различной периодичностью (в зависимости от существенности и материальности процесса), а не прошедших. Внутренний аудит ПАО "ТМК" применяет следующие основные механизмы превентивного аудита:
- Автоматизация индикаторов риска — формирование информационных панелей с контрольными индикаторами, мониторинг индикаторов и оперативная обратная связь с бизнесом.
- Участие в проектах, касающихся изменений процессов, повышения операционной эффективности, независимой оценки стратегий, тендерных комитетах.
- Экспресс-аудиты (оценка объемов ремонтных и строительных работ (в моменте)).
Особую роль занимает автоматизация индикаторов рисков, которая уже реализована в ключевых бизнес-процессах компании. Ежедневно обновляемые информационные панели с индикаторами рисков позволяют оперативно реагировать на возникшие вопросы/ проблемы, своевременно обсуждать и принимать управленческие решения.
Одни из важнейших факторов успешной деятельности внутреннего аудита — это эффективное взаимодействие с другими подразделениями и использование максимума доступной информации. Яна Ясакова, начальник управления внутреннего аудита АК "АЛРОСА" (ПАО), уточнила, что УВА компании взаимодействует с множеством подразделений на стратегическом и операционном уровне, включая риск-менеджмент и внутренний контроль. На стратегическом уровне взаимодействие с подразделениями, ответственными за развитие системы управления рисками и системы внутренних контролей, направлено на формирование модели аудита и стратегического плана работ внутреннего аудита. На операционном уровне — это обмен информацией при выполнении аудиторских процедур, формировании гипотез и определении индикаторов рисков, а также формирования рекомендаций для непрерывного совершенствования системы внутренних контролей.
Взаимодействие с риск-менеджментом и внутренним контролем работает в обоих направлениях. Основные выгоды, который получают подразделения ответственные за развитие системы управления рисками и системы внутренних контролей: идентификация новых риск-факторов, мнение в отношение эффективности контрольных процедур, актуальная информация о статусе реализации мероприятий по управлению рисками и повышению эффективности контрольной среды.
Двусторонний обмен и взаимодействие между внутренним аудитом, риск-менеджментом и внутренним контролем позволят увеличить объём покрытия бизнес-процессов, поддерживать в актуальном состоянии матрицы рисков и контрольных процедур, синхронизировать усилия при достижении целей 2-ой и 3-ей линий защиты, снизить нагрузку на аудируемый/ оцениваемый объект и определить оптимальные сроки взаимодействия с объектами аудита.
Антон Козлов, директор по внутреннему аудиту "Биннофарм Групп", поделился, как помочь менеджменту разглядеть в аудиторе помощника и снизить градус напряженности и недоверия. В первую очередь, важно обговорить правила игры и следовать им. Объяснить коллегам, как формируется план аудитов, откуда берутся внеплановые проверки и как было бы лучше выстроить коммуникацию. Очень важно слышать и по возможности учитывать в отчете комментарии, полученные от менеджмента, не использовать резких формулировок и давать заключение о процессе в целом, не заостряя внимание только на негативных моментах. Не менее важная задача — сделать так, чтобы коллеги относились к внутреннему аудитору как к члену команды. Антон отметил, что сейчас актуальная тема — консультационные проекты внутреннего аудита. Однако пока между менеджментом и СВА не выстроено доверительных рабочих отношений, потребность в консалтинге не сформируется. Консалтинг может быть и инициативным, то есть без запроса менеджмента, но в этом случае возникает риск, что время будет потрачено зря — менеджмент вряд ли прислушается к рекомендациям, если отношения с аудиторами сложные.
Чтобы покрывать такой объем задач, внутренним аудиторам важно вкладывать ресурсы в постоянное развитие. Раскрывая эту тему, Владимир Серкин, руководитель департамента по аудиту функций поддержки бизнеса, ПАО "ВымпелКом", рассказал, что в КПЭ сотрудников внедрены следующие аспекты, достижения по которым централизованно оцениваются 2 раза в год:
- индивидуальный план развития: включает прохождение тренингов, получение профессиональной сертификации, развивающие задачи "на рабочем месте";
- всеобъемлющая система качества внутренних аудитов: многоэтапная оценка качества и предоставление непрерывной обратной связи на каждом этапе аудита и по его результатам;
- трансформационные проекты, направленные на повышение эффективности и качества различных подпроцессов внутреннего аудита.
Владимир отметил, что над всем этим стоят аналитика данных и автоматизация, которые интегрированы в каждый из перечисленных выше аспектов: это отражено в планах развития, применение этих инструментов проверяется во время оценки качества аудитов, этому посвящены многие трансформационные проекты.
Также руководство внутреннего аудита мотивирует и поддерживает сотрудников в участии в инициативах Института внутренних аудиторов: выступлениях на конференциях и вебинарах; написании статей и переводах материалов; участии в разработке профильных стандартов; участии в Премии "Внутренний аудитор года".
АВТОМАТИЗАЦИЯ, ПРИМЕНЕНИЕ ИНСТРУМЕНТОВ ОБРАБОТКИ И АНАЛИЗА ДАННЫХ ВО ВНУТРЕННЕМ АУДИТЕ
Все спикеры конференции отмечали важность автоматизации и работы с данными. Ситуация, сложившаяся в России в 2022-2023 году, привела к уходу иностранных производителей программного обеспечения (далее — ПО). Согласно исследованию GRC market review, основными игроками мирового рынка такого рода ПО были представители США и Германии. Таким образом, практически все представленные в мире программные продукты перестали работать в России. По словам Дениса Беляева, директора компании "Технологии. Автоматизация. Бизнес." ("ТАБ"), ситуация сложилась для разных организаций по разным сценариям:
1. Пользователи облачных версий ПО, а также ПО, установленного на серверах в иностранных юрисдикциях, одномоментно потеряли доступ к своим информационным системам.
2. Вышестоящая организация разрешила сохранить доступ к информационной системе управления рисками на некоторое время — от 3-х месяцев до 1 года.
3. Информационная система перешла во владение организации в российской юрисдикции, но при этом процессы выполнялись головной организацией, и существует потребность их восстановления.
Денис рассказал о программном продукте "GRC учет рисковых событий", построенном на платформе "1С:Предприятие" и имеющем сертификаты ФСТЭК ОУД.4, а также сертификат "совершенно секретно". Ключевая идея продукта — это no-code решение с возможностью дополнительного расширения функционала в режиме low-code. Поставляется с полностью открытым исходным кодом. Функционал продукта характерен для всех продуктов GRC-класса, но при этом содержит как регуляторную специфику российской юрисдикции, так и инновационные функции, которые отсутствовали в иностранных системах, что было связано в первую очередь с использованием устаревших платформенных решений.
Варвара Солодилова, Руководитель группы аналитики, направление автоматизации нефинансовых рисков ГК "Иннотех", отметила, что требования к GRC-системам сильно разняться и в зависимости от зрелости процессов в организации, и в зависимости от основного драйвера автоматизации: внутренний аудит, внутренний контроль, бизнес-подразделения или служба управления рисками. Однако есть общие тенденции в ожиданиях от автоматизированных инструментов для процессов внутреннего аудита и риск-менеджмента — это комплексность, адаптивность, гибкость и привлекательность для конечных пользователей:
- Комплексность — возможность покрыть весь список бизнес-процессов, требующих автоматизации, а также обеспечить синергию от использования единого инструмента для таких процессов.
- Адаптивность — возможность обеспечить соответствие архитектурным требованиям заказчика.
- Гибкость — возможность оперативно реализовать дополнительный функционал, а также способность менять уже действующий функционал в связи с изменениями процесса и новыми идеями пользователей.
- Привлекательность — самый субъективный, но в то же время очень важный тренд в требованиях к современной GRC-системе. ПО должно быть понятным в работе, должно помогать и подсказывать.
В части помощи и подсказок развитие GRC-систем постепенно идет в сторону применения искусственного интеллекта. Технологии ИИ уже нашли применения в некоторых процессах управления рисками в части автоматического отслеживания изменений требований регуляторов, а также в поиске дубликатов событий реализации риска и инцидентов СВК, однако возможности применения ИИ гораздо шире: автоматическое планирование проверочной деятельности, автоматизация тестирования контрольных процедур, формирование драфтов выводов и формулировок по рискам и контрольным процедурам, генерация шагов плана по минимизаций риска, анализ рисков бизнес-процессов и другие задачи. Платформа ОАЗИС от "Иннотех" дает организации возможность выстроить все процессы управления на единой платформе, развивать функционал и накапливать данные, добавляя возможность применять ИИ на той же самой платформе.
Но есть компании финансового и реального сектора, которые сами разрабатывают ПО и даже выходят с ним на внешний рынок. Один из таких примеров — Sber Process Mining. Динар Галин, руководитель направления по развитию Sber Process Mining, ПАО Сбербанк, и Кирилл Лисенков, руководитель направления по исследованию данных, ПАО Сбербанк, рассказали о нем подробнее. СВА Сбера применяет Process Mining в своей работе уже несколько лет. Для проведения проверок последние 2 года в СВА используют инструментарий собственной разработки Сбера — платформу и python-библиотеку Sber Process Mining. Они интегрированы во внутреннюю ИТ-инфраструктуру Сбера, что позволяет без лишних действий анализировать данные по процессам. Платформа Sber Process Mining представлена тремя инструментами, позволяющими проводить глубинный анализ бизнес-процессов:
1. Граф и BPMN. Позволяют построить схему процесса в виде интерактивного графа или в нотации BPMN, а также провести сравнение реального процесса с эталонной моделью.
2. Business Intelligence: метрики, графики, таблицы. Инструмент включает более 40 различных виджетов для полноценной BI-аналитики, автоматическую проверку данных, вычисление метрик процесса, а также готовые аналитические панели.
3. Machine Learning. В текущей версии платформы представлены 8 ML-модулей, например, модули факторного анализа, поиска "счастливого пути" процесса, автоматического поиска инсайтов и построения автоматического отчета.
Кроме того, внутри СВА запущена Школа Process Mining-исследований, куда аудиторские команды могут прийти со своими кейсами и получить помощь как на этапах поиска и предобработки данных, так и на этапах анализа и интерпретации результатов.
Автоматизация процессов считается неотъемлемой частью внедрения непрерывного аудита. Однако далеко не все компании в России полностью автоматизированы. Николай Шумилов, начальник управления внутреннего аудита Группы компаний "Мангазея", поделился необычным опытом внедрения непрерывного аудита, отдельно остановившись на специфике компаний строительной отрасли:
- сложно выстроить работающую систему контролей из-за отсутствия постоянных структурных единиц, исчезающих после сдачи проекта и собираемых по-новому в зависимости от специфики нового объекта;
- постоянные сложности налаживания и обеспечения контроля в условиях удаленного объекта строительства, отсутствия оргтехники и современных средств коммуникации. И как результат: задержки в документальном оформлении первичных документов (они не фиксируют как должны факт финансово-хозяйственной деятельности, а делаются "задним" числом в конце отчётного месяца, а то и в конце квартала), неточности, ошибки, умышленные искажения, которые невозможно своевременно отследить;
- во время выполнения строительно-монтажных работ подрядчиками крайне неудовлетворительно оформляется или вообще не оформляется документация на выполняемые работы и применяемые материалы;
- существуют законодательные требования по хранению исполнительной документации в материальном виде и её ежедневному заполнению (например, общие и специальные журналы работ, журнал ухода за бетоном и т.д.). Ни унифицировать, ни оцифровать такие документы не представляется возможным. Например, на крупной стройке вес только одних рапортов о работе машин и механизмов (ф. ЭСМ-3) за 1 квартал составил 346 кг.
Все это ведет к тому, что огромные объемы данных о процессах в строительной компании не оцифрованы. Хранение информации осуществляется в разрозненных базах данных или в папках разных подразделений, доступ к которым зачастую ещё и ограничен. Очевидно, что при таком уровне работы с данными у внутреннего аудита не так много возможностей для проведения непрерывного аудита, где обычно используются автоматизированные инструменты для мониторинга бизнес-процессов и анализа данных в режиме реального времени, а его реализация возможна только в случае стандартизированных процессов.
Но, по словам Николая, даже в такой ситуации подразделению внутреннего аудита удалось организовать непрерывный аудит пусть и с помощью не совсем обычных методов:
- отдельные направления и бизнес-процессы организации распределены между сотрудниками СВА, получены доступы к соответствующей информации, а также к камерам видеонаблюдения на строительных площадках;
- налажено тесное взаимодействие со службой строительного контроля, отделом охраны труда и представителем СБ на строительной площадке;
- внутренние аудиторы по своим направлениям сформировали систему индикаторов, которые на постоянной основе (не обязательно ежедневно, но хотя бы раз в неделю) они собирают и агрегируют в собственных таблицах или записях;
- по выявленным проблемам сразу же составляются справки и информируется руководство, которое назначает ответственного, а тот определяет исполнителей.
В такой форме непрерывного аудита реализуется предварительный и текущий контроль с приоритетом предупреждения над пресечением. Его основной целью являются скорость устранения нарушений и минимизация воздействия на процессы компании возникающих рисков.
Николай отметил, что с подачи Минстроя России активизирована работа по переводу строительного проектирования в 3D-формат. Тотальное введение BIM-моделирования способно нивелировать многие риски (в основном ошибки исполнителей при внесении информации и расчётах, а также расхождения в разделах рабочей документации) и значительно упростить внутреннему аудиту строительных компаний работу по выполнению своих обязанностей.
Золотым спонсором конференции стала Группа компаний "Иннотех", серебряным — компания "Технологии и Бизнес" (ТАБ, Технологии Автоматизация Бизнес), партнером — компания "Газпром Нефть" (Промайн).
Информационными партнерами конференции стали: ПравоТЭК и PRO Качество.
Следующая Национальная конференция Института внутренних аудиторов состоится 16-17 апреля 2024 года в Москве.