29-30 ноября 2022 года состоялась ХII осенняя конференция "Внутренний аудит в России", организованная Ассоциацией "Институт внутренних аудиторов". Портал ПравоТЭК выступил информационным партнером мероприятия.

Основными темами мероприятия стали инновационные методы аудита, управление рисками, внутренний контроль, границы внутреннего аудита, аудиты информационных технологий, разработка ключевых индикаторов риска, непрерывный аудит, повышение ценности внутреннего аудита, трансформация и внутренний аудит.

Тема трансформации в настоящее время одна из наиболее актуальных для внутреннего аудита.

Александр Московкин, директор по внутреннему аудиту Sitronics Group", отметил, что трансформация организации, как реакция на внешние или внутренние факторы, может быть одним из способов совершенствования ее работы. С внешними факторами, повлиявшими на практически все компании, организации столкнулись в 2020 и 2022 годах, когда произошедшие экономические, политические изменения перекроили рынки, цепочки поставок, подходы к работе, а также изменили суть бизнеса для многих компаний. Что же в этой ситуации ожидает внутренний аудит? Докладчик перечислил 3 направления таких изменений:

1. Изменение природы проектов службы внутреннего аудита. Отмечается снижение числа плановых аудитов и их регулярный пересмотр советом директоров и взрывной рост внеплановых аудитов.
2. Изменение спектра тематики проектов и заказчиков. Меняющиеся процессы и повышенная скорость реагирования бизнеса вносят новые задачи, а при должном уровне зрелости и авторитета СВА в компании — и новых заказчиков.
3. Сложность соблюдения стандартов аудита. В таких условиях грань между консультационным проектом и участием в операционной деятельности компании становится очень тонкой.

В одном из выступлений на 14-й Национальной конференции ИВА "Внутренний аудит в России" было сказано: "Признание функции со стороны менеджмента в период кризиса наиболее правдиво отражает статус аудиторов внутри компании". Если в деятельности СВА не наблюдается изменений в 2022 году, а компания в целом ощутила на себе изменения, следует задуматься о наличии реальной ценности СВА для компании, а не просто декоративного присутствия.

Кроме внешних изменений, влияющих на трансформацию компании, возможны внутренние, которые генерируются из-за реализации новой стратегии, новых задач от акционеров, видения топ-менеджмента. У внутреннего аудита появляется ряд ограничений:

- Невозможность трансформации СВА до формирования целевой модели компании. Нельзя говорить о внедрении новых подходов в деятельности аудита (процесс-майнинг, непрерывный аудит), если в самой компании не обеспечено внедрение информационной системы, которая позволяет это сделать.
- Ограниченность ресурсов. Если в компании реализуются изменения, связанные с инвестициями в новое направление, то расходы на внутренний аудит вряд ли будут на первом месте.
- Неопределённость. Трансформация компании не всегда документируется и вызывает "информационный голод" у тех, кто не является держателями процесса.
Александр Московкин предлагается реагировать на них следующим образом:
- Изменения в объеме и способах получения информации. Посещайте все релевантные совещания и заседания коллегиальных органов, не ждите что с вами поделятся, берите информацию сами.
- Развитие и обучение. Погружайте в процесс получения информации свою команду, если совещания касаются темы текущего аудита — делегируйте их посещение занятым на проекте членам команды. Не избегайте саморазвития, не ждите что информацию вам принесут на блюдечке.
- Смена методологии работы. Переходите на короткие актуальные в моменте проекты аудита. Не стоит тратить время на проект, информация в отчете по итогам которого устареет в момент написания.
- Изыскание резервов. Оглянитесь на свою деятельность: наверняка есть неактуальные или непрофильные задачи, которые можно предать во "вторую линию", автоматизировать или прекратить.

Продолжил тему Айк Карамян, директор внутреннего аудита ПАО "ВымпелКом" (Билайн), рассказав, что в рамках трансформации СВА фокус был перенесен с традиционных количественных КПЭ (например, количество аудитов на одного аудитора, выполнение годового плана аудита) на качественные КПЭ, такие как: развитие команды и индивидуальное развитие аудиторов; качество аудиторских проверок и отчетов; оценка менеджментом работы ВА (отдельных  аудитов и функции в целом) и вовлеченность в трансформационные проекты.

Команды по каждому проекту создаются добровольно, по личным предпочтениям сотрудников. Например, самый маленький проект состоит из 2-х сотрудников, а в проект по аналитике данных вовлечены практически все сотрудники СВА. Айк Карамян поделился несколькими успешно реализованными идеями:

1. Страница на внутреннем ресурсе, посвященная адаптации новых сотрудников. Она была подготовлена командой новых сотрудников, которые на практике почувствовали, что требуется новичкам в команде: как открыть доступы в системе, куда обращаться по разным вопросам и т.д.
2. Раздел на внутреннем ресурсе компании, где каждый член команды выложил информацию о своих интересах и о том, чем он может помочь коллегам. Это позволяет лучше узнать друг друга и создаёт атмосферу открытости и взаимопомощи.
3. Видеоролик, в котором даны ответы на наиболее часто задаваемые вопросы в части внутреннего аудита. Это видео стало хорошей помощью во взаимодействии с менеджментом в рамках аудитов.  
4. Приобретение эффективного инструмента по обработке и анализу большого массива данных из разных баз данных компании. Он позволяет сотрудникам без знания SQL, Python и прочих языков программирования быстро выгружать о сравнивать необходимые данные.
5. Участие в профессиональных аудиторских сообществах в России и за рубежом.  Руководство поощряет членство и участие сотрудников в инициативах Института внутренних аудиторов.

Александр Локтев, директор по внутреннему контролю и аудиту — главный контролер Госкорпорации "Росатом", осветил наработанные практики в организации и проведении стратегического аудита, рассказал об особенностях системы внутреннего контроля Госкорпорации "Росатом" и о этапах выстраивания вертикали специализированных органов внутреннего контроля (СОВК), позволяющей помогать менеджменту в поддержании устойчивости бизнеса в рамках стратегических целей.

Стратегический аудит — это методика, которая позволяет оценить ресурсную обеспеченность и реализуемость заявленных планов. Он охватывает сбор, проверку и анализ достоверности стратегической (прогнозной) информации, формируемой в т.ч. информационными системами. Основная задача стратегического аудита — формирование независимого объективного и своевременного мнения о проблемах и перспективах реализации стратегии.

Для реализации задач стратегического аудита в Госкорпорации "Росатом":

- перестроен порядок подготовки к проведению аудитов: вопросы технического задания, направленные на контроль реализации стратегических целей Корпорации, спускаются по вертикали;
- дополнена система отчетности в единой информационной системе поддержки деятельности СОВК на базе 1С СВКиА показателями, видами рисков и т.п. с указанием степени влияния выявляемых отклонений на достижение стратегических целей;
- существенно переработана система мотивации работников СОВК: материальной (КПЭ по оценке амбициозности проводимых СОВК аудитов) и нематериальной (конкурс "Человек года");
- совершенствуется система обучения работников СОВК: сформирован целый блок по научению, сформирована система развития компетенций и многое другое.

В докладе Людмилы Диордиевой, директора по внутреннему аудиту ООО "Интер РАО — Управление электрогенерацией", была рассмотрена разработка ключевых индикаторов риска как инструмент проведения непрерывного аудита в основных бизнес-процессах компании.

Во времена турбулентных перемен компании вынуждены стремительно менять свои фокусы и приоритеты, снижая негативные последствия изменений и используя возможности по завоеванию и расширению рынков взамен ушедших иностранных компаний.  В этих условиях наиболее востребована роль внутреннего аудитора, приносящего пользу заинтересованным лицам компании и учитывающего (слышащего) их потребности.  Аудитор идет с ними в ногу, используя независимость, объективность, профессиональные компетенции, формирует оценки и рекомендации по улучшению эффективности функционирования процессов, эффективному расходованию денежных средств, достижению стратегических целей, сохранности активов, достоверности отчетности.

Существенное количество разнонаправленных внешних и внутренних преобразований вынуждают аудиторов искать новые направления и подходы в своей деятельности, позволяющие сокращать время получения сигналов о проблемах в компании, тем самым обеспечивая своевременность формирования рекомендаций заинтересованным лицам.

В 2022 году основной объем деятельности СВА ООО "Интер РАО — Управление электрогенерацией" связан с непрерывным аудитом (более 60% трудоемкости), проведение которого базируется на следующих процедурах: (1) выявление и оценка рисков/ факторов рисков; (2) определение и мониторинг ключевых индикаторов риска (далее — КИР); (3) проведение аудиторских процедур на основании выборки, сформированной в ходе мониторинга КИР; (4) формирование заключения и рекомендаций для заинтересованных лиц.

Процедуры (1) и (2) стали частью постоянной и регулярной деятельности внутреннего аудита, проводимой, в том числе в ходе консультационной деятельности, проверок, мониторинга, ознакомления с нормативными изменениями, результатами исполнения бизнес-планов, внешних проверок.

Докладчик отметила, что аудитор может учитывать также и оценки риска со стороны менеджмента, но с присущей ему долей скептицизма.

Применение непрерывного аудита в деятельности СВА стало возможным благодаря автоматизации бизнес-процессов в компании и профессиональным компетенциям работников СВА. КИР формируются на основании экспертной оценки, обсуждения (мозгового штурма) работников СВА для каждого существенного риска в разрезе факторов риска и отвечают следующим критериям:

- полнота (охватывают все основные факторы риска);
- проверяемость (правильно оформлены и задокументированы);
- своевременность (определены до наступления рисковых событий);
- достаточность (исключают сильно взаимосвязанные индикаторы);
- автоматизированность (формируются автоматически);
- простота мониторинга;
- измеримость (имеют количественную оценку);
- релевантность (учитывают частоту и существенность риска).

Для каждого КИР определяется вес и допустимый диапазон значений, превышение которого и будет сигнализировать о проблеме в процессе, проекте и/или возможном сбое автоматизированных информационных систем компании.

Система ключевых индикаторов должна быть связана со стратегией компании, быть проста для понимания и использования, сбалансирована, и обязательно регулярно пересматриваться.

Людмила Диордиева резюмировала, что в период турбулентных изменений деятельность внутреннего аудита компаний должна преломляться сквозь призму результатов процедур: выявление, оценка риска/ факторов риска, определение и мониторинг КИР. Это позволит существенно повысить эффективность СВА в компании, своевременно формировать рекомендации по улучшению процессов и приносить пользу заинтересованным лицам.

Тему инструментов непрерывного аудита развил Геннадий Бережной, управляющий партнер компании "Квадриум", разработчика отечественного программного продукта Quadrium ActiveGRC, в основе которого лежит концепция IRM. Он рассказал о концепции интегрированного управления рисками и о переходе от концепции GRC к концепции IRM. IRM является новой ступенью развития GRC-решений и содержит в себе все практики управления рисками, которые есть в GRC, но предоставляет их конечным пользователям в рамках единой интегрированной системы и для всех видов рисков, интересующих заказчиков. Благодаря отсутствию барьеров между разными сегментами и видами рисков высшее руководство может получить объединённую картину по всему пространству рисков в онлайн-режиме. Не надо ждать отчеты из ответственных подразделений и объединять данные этих отчетов для получения консолидированных оценок по рискам. Также IRM содержит в себе весь накопленный опыт в области специальной автоматизации отдельных видов рисков в виде отдельных прикладных модулей/ компонент, функционирующих в рамках единой информационной платформы.

Проведение риск-ориентированных аудитов в формате непрерывного аудита является отличительной чертой IRM. При проведении аудита при наличии IRM-системы не надо ждать предоставления данных об оценках рисков, связанных с предметом аудита, так как эти оценки всегда доступны аудиторам, и они могут их посмотреть в любой момент. Также концепция подразумевает возможность самостоятельной параллельной оценки рисков службой внутреннего аудита, благодаря чему риски, оценки по которым получили существенные расхождения между СВА и службой рисков могут быть легко идентифицированы, интерпретированы и необходимые из них выгружены в отчет о проведенном аудите. Далее по этим расхождениям могут быть спланированы мероприятия по минимизации, выполнение которым может отслеживаться СВА в онлайне.

Докладчик отметил, что IRM выходит за рамки традиционных технологических решений GRC, ориентированных на соблюдение нормативных требований, и предоставляет действенную информацию, соответствующую бизнес-стратегиям, а не только нормативным требованиям. Она позволяет упростить, автоматизировать и интегрировать процессы и данные управления стратегическими, операционными и ИТ-рисками. Что немаловажно, в IRM-системе работают практически все подразделения и все сотрудники организации и в ней агрегируется информация из разных систем-источников, благодаря чему достигается всестороннее представления о рисках организации.

Один из важнейших аспектов эффективной работы любой организации — это отлаженные процессы непрерывности и доступности ИТ-сервисов. Как отметил Ширяев Иван, руководитель проектов отдела ИТ-аудита ПАО "МТС", ключевым отличием понятий доступности и непрерывности является фокус этих процессов — удовлетворенность пользователей [для доступности] и устойчивость к аварийным ситуациям [для непрерывности]. И в том, и в другом случае требуется понимание критических бизнес-функций и анализ влияния отказов услуг/ систем на бизнес-процессы. Оба процесса, в конечном счете, решают задачу обеспечения устойчивости организации к отказам.

Непрерывность — это не про мелкие сбои, не влияющие на бизнес в целом. Она подразумевает значительные риски, даже если вероятность их реализации очень низкая. Например, различного рода чрезвычайные ситуации и катастрофы — пожары, метеориты, недоступность ЦОД целиком и т.д. Резервные площадки, переход на альтернативные способы предоставления услуги, процедуры восстановления — все это позволяет снизить ущерб, но никак не влияет на вероятность происшествия.

Доступность, в свою очередь, фокусируется на соответствии SLA/SLO/OLA и недопущении отклонений при сохранении размера бюджета. Мы ищем и устраняем единые точки отказа, а предпринимаемые меры, как правило, носят проактивный характер и снижают вероятность наступления нежелательных событий. Мы пытаемся достичь максимального уровня доступности при имеющихся ресурсах, оптимизируем.

В противовес этому, управление непрерывностью почти всегда создает избыточность (резервные площадки, подменный фонд оборудования, соглашения на предоставление мощностей в случае ЧС). С инженерной точки зрения процессы доступности и непрерывности довольно понятны: необходимо обеспечить резервное копирование, георезервирование и отказоустойчивые кластеры, планы восстановления и аварийные планы. Другой вопрос — как оценить эффективность принятых решений. По мнению докладчика, при аудите этих функций, помимо технического вопроса нужно обратить внимание на зоны ответственности департаментов, соблюдение уровня коммуникаций, результаты тестового восстановления, политику по закупке и резервированию мощностей. А в организационном плане эти процессы следует рассматривать как часть стратегии по обеспечению непрерывности всего бизнеса.

Следующая конференция Института внутренних аудиторов состоится весной 2023 года в Москве.

Портал ПравоТЭК выступил информационным партнёром мероприятия.