Уважаемые коллеги!

Приглашаем Вас принять участие в ежегодных ключевых мероприятиях "ПравоТЭК"!

Наша основная задача — информировать специалистов нефтегазовой, горнодобывающей и энергетической отраслей промышленности о происходящих изменениях в правовом и налоговом регулировании, организовывать и поддерживать диалог между специалистами компаний и регулирующими государственными органами, знакомить профессиональное сообщество с ведущими отраслевыми экспертами, содействовать обмену опытом и знакомству с правоприменительной практикой для решения конкретных задач на местах.

Ждем Вас на наших мероприятиях!

До встречи!

Виктор Нестеренко,

Председатель Оргкомитета Всероссийского форума недропользователей

Президент НОУ "Институт "ПравоТЭК"

conference.lawtek.ru
КОНФЕРЕНЦИИ ПРАВОТЭК
media.lawtek.ru
ВЫШЛИ В СВЕТ
КОНТАКТЫ

115054 Москва, ул. Зацепа, 23

Тел.:  +7 (495) 215-54-43

e-mail: info@lawtek.ru

Внимание!!!

Временно единый телефон ПравоТЭК +7 (495) 215-54-43

Актуальные вопросы внутреннего аудита: результаты осенней конференции Института внутренних аудиторов "Внутренний аудит в России"
28.11.2023

В ноябре 2023 года в Сочи состоялась осенняя конференция Ассоциации "Институт внутренних аудиторов" "Внутренний аудит в России". Мероприятие собрало более 200 представителей профессии. Участники обсудили актуальные профессиональные темы, а также роль и задачи внутреннего в современных реалиях.

АКТУАЛЬНЫЕ ЗАДАЧИ ВНУТРЕННЕГО АУДИТА

"Главное, что менеджмент ждет от внутреннего аудита — это влияние на бизнес. Мы должны сделать так, чтобы цели, которые стоят перед бизнесом, достигались наиболее эффективным образом, чтобы сроки протекания процессов были как можно меньше и стоимость транзакций постоянно снижалась", — так открыл свое выступление Андрей Додонов, директор по внутреннему контролю и аудиту — начальник службы АО "АСЭ" (входит в Госкорпорацию "Росатом), задав лейтмотив всей конференции. Новые вызовы и реалии формируют новые требования заказчиков к аудиту, и здесь важна быстрая адаптация со стороны внутренних аудиторов к новым условиям:

1. Новая международная повестка
2. Амбициозные стратегические цели
3. Импортозамещение
4. Высокий уровень неопределенности
5. Санкционное давление

Для менеджмента кратно возросла скорость принятия решений. Поэтому новые требования наших заказчиков в основном сводятся к тому, чтобы служба внутреннего аудита (далее — СВА) одновременно с ними присутствовала при каждом решении, обсуждала их, высказывала свое мнение, озвучивала риски. Мы очень быстро к этому адаптировались, и если брать, например, количество плановых аудитов, которое у нас было до введения санкций, то сейчас это количество сократилось, вместе с тем раз в 10 стало больше внеплановых консультаций и различных экспертно-аналитических мероприятий.

Таким образом, ответом на вызовы со стороны СВА стали следующие шаги:

1) Проведение тематических аудитов и проверок по тем направлениям, которые наиболее существенным образом оказывают влияние на достижение целей.
2) Цифровизация контрольной деятельности: доработка ИТ-систем под потребности аудита, получение в ежедневном формате выгрузок, работа с дашбордами, причем не только с теми, которые специально готовятся под аудиторские проверки.
3) Управленческий консалтинг (поддержка изменений): более 60% времени по факту занимают консультационные проекты (так называемые быстрые консультации). Из них 80-85% — консультации, которые проводятся менее одной недели, т.к. менеджменту важно получить быстрый анализ, мнение для принятия оперативного решения.

Продолжил тему Владимир Кременицкий, директор по внутреннему аудиту "АИМ Холдинг", рассказав о базовых принципах и подходах внутреннего аудита в Группе. Во-первых, в основном внутренний аудит работает в трех ключевых областях, активно привлекая внешних экспертов: (а) промышленная безопасность и охрана труда, (б) экологическая безопасность, (в) инвестиционная деятельность. Во-вторых, используется скользящее планирование и при проведении аудитов фокус делается на наиболее проблемных областях. В-третьих, такой инструмент как "интенсивный мониторинг" позволяет обеспечить внедрение мероприятий для менеджмента в полном объеме. Он включает в себя детальный контроль со стороны внутреннего аудита на всех этапах реализации менеджментом мероприятий по итогам проверок ВА.

До 2020 года бизнес пребывал в относительно предсказуемых условиях, однако последние 3 года доказали, что ранее привычные риски либо уже не актуальны, либо реализовались, при этом появились наиболее сложные по управлению риски, которые генерируются с очень высокой скоростью и изменениями. Именно поэтому, по мнению Алексея Бухера, руководителя службы внутреннего аудита ПАО "ТМК", проведение внутренних аудитов и оценка рисков в текущей ситуации наиболее эффективны. Безусловно, оценка внутренним аудитом прошлых периодов деятельности компании для балансировки процессов, оценки эффективности и формирования независимого мнения необходима, однако встраивание в деятельность внутреннего аудита и систему управления рисками компании "превентивного" аудита, приносит всё больше пользы бизнесу. "Превентивный аудит" — это комплекс аудиторских мероприятий по оценке текущего состояния бизнес-процессов компании ("аудит в моменте"), направленный на выявление и предупреждение рисков, угроз, потерь, поиск новых возможностей.

Основное отличие "превентивного" аудита от "классического" — исследование текущих событий с различной периодичностью (в зависимости от существенности и материальности процесса), а не прошедших. Внутренний аудит ПАО "ТМК" применяет следующие основные механизмы превентивного аудита:

  • Автоматизация индикаторов риска — формирование информационных панелей с контрольными индикаторами, мониторинг индикаторов и оперативная обратная связь с бизнесом.
  • Участие в проектах, касающихся изменений процессов, повышения операционной эффективности, независимой оценки стратегий, тендерных комитетах.
  • Экспресс-аудиты (оценка объемов ремонтных и строительных работ (в моменте)).

Особую роль занимает автоматизация индикаторов рисков, которая уже реализована в ключевых бизнес-процессах компании. Ежедневно обновляемые информационные панели с индикаторами рисков позволяют оперативно реагировать на возникшие вопросы/ проблемы, своевременно обсуждать и принимать управленческие решения.

Одни из важнейших факторов успешной деятельности внутреннего аудита — это эффективное взаимодействие с другими подразделениями и использование максимума доступной информации. Яна Ясакова, начальник управления внутреннего аудита АК "АЛРОСА" (ПАО), уточнила, что УВА компании взаимодействует с множеством подразделений на стратегическом и операционном уровне, включая риск-менеджмент и внутренний контроль. На стратегическом уровне взаимодействие с подразделениями, ответственными за развитие системы управления рисками и системы внутренних контролей, направлено на формирование модели аудита и стратегического плана работ внутреннего аудита. На операционном уровне — это обмен информацией при выполнении аудиторских процедур, формировании гипотез и определении индикаторов рисков, а также формирования рекомендаций для непрерывного совершенствования системы внутренних контролей.

Взаимодействие с риск-менеджментом и внутренним контролем работает в обоих направлениях. Основные выгоды, который получают подразделения ответственные за развитие системы управления рисками и системы внутренних контролей: идентификация новых риск-факторов, мнение в отношение эффективности контрольных процедур, актуальная информация о статусе реализации мероприятий по управлению рисками и повышению эффективности контрольной среды.

Двусторонний обмен и взаимодействие между внутренним аудитом, риск-менеджментом и внутренним контролем позволят увеличить объём покрытия бизнес-процессов, поддерживать в актуальном состоянии матрицы рисков и контрольных процедур, синхронизировать усилия при достижении целей 2-ой и 3-ей линий защиты, снизить нагрузку на аудируемый/ оцениваемый объект и определить оптимальные сроки взаимодействия с объектами аудита.

Антон Козлов, директор по внутреннему аудиту "Биннофарм Групп", поделился, как помочь менеджменту разглядеть в аудиторе помощника и снизить градус напряженности и недоверия. В первую очередь, важно обговорить правила игры и следовать им. Объяснить коллегам, как формируется план аудитов, откуда берутся внеплановые проверки и как было бы лучше выстроить коммуникацию. Очень важно слышать и по возможности учитывать в отчете комментарии, полученные от менеджмента, не использовать резких формулировок и давать заключение о процессе в целом, не заостряя внимание только на негативных моментах. Не менее важная задача — сделать так, чтобы коллеги относились к внутреннему аудитору как к члену команды. Антон отметил, что сейчас актуальная тема — консультационные проекты внутреннего аудита. Однако пока между менеджментом и СВА не выстроено доверительных рабочих отношений, потребность в консалтинге не сформируется. Консалтинг может быть и инициативным, то есть без запроса менеджмента, но в этом случае возникает риск, что время будет потрачено зря — менеджмент вряд ли прислушается к рекомендациям, если отношения с аудиторами сложные.

Чтобы покрывать такой объем задач, внутренним аудиторам важно вкладывать ресурсы в постоянное развитие.  Раскрывая эту тему, Владимир Серкин, руководитель департамента по аудиту функций поддержки бизнеса, ПАО "ВымпелКом", рассказал, что в КПЭ сотрудников внедрены следующие аспекты, достижения по которым централизованно оцениваются 2 раза в год:

  • индивидуальный план развития: включает прохождение тренингов, получение профессиональной сертификации, развивающие задачи "на рабочем месте";
  • всеобъемлющая система качества внутренних аудитов: многоэтапная оценка качества и предоставление непрерывной обратной связи на каждом этапе аудита и по его результатам;
  • трансформационные проекты, направленные на повышение эффективности и качества различных подпроцессов внутреннего аудита.

Владимир отметил, что над всем этим стоят аналитика данных и автоматизация, которые интегрированы в каждый из перечисленных выше аспектов: это отражено в планах развития, применение этих инструментов проверяется во время оценки качества аудитов, этому посвящены многие трансформационные проекты.

Также руководство внутреннего аудита мотивирует и поддерживает сотрудников в участии в инициативах Института внутренних аудиторов: выступлениях на конференциях и вебинарах; написании статей и переводах материалов; участии в разработке профильных стандартов; участии в Премии "Внутренний аудитор года".

АВТОМАТИЗАЦИЯ, ПРИМЕНЕНИЕ ИНСТРУМЕНТОВ ОБРАБОТКИ И АНАЛИЗА ДАННЫХ ВО ВНУТРЕННЕМ АУДИТЕ

Все спикеры конференции отмечали важность автоматизации и работы с данными. Ситуация, сложившаяся в России в 2022-2023 году, привела к уходу иностранных производителей программного обеспечения (далее — ПО). Согласно исследованию GRC market review, основными игроками мирового рынка такого рода ПО были представители США и Германии. Таким образом, практически все представленные в мире программные продукты перестали работать в России. По словам Дениса Беляева, директора компании "Технологии. Автоматизация. Бизнес." ("ТАБ"), ситуация сложилась для разных организаций по разным сценариям:

1. Пользователи облачных версий ПО, а также ПО, установленного на серверах в иностранных юрисдикциях, одномоментно потеряли доступ к своим информационным системам.
2. Вышестоящая организация разрешила сохранить доступ к информационной системе управления рисками на некоторое время — от 3-х месяцев до 1 года.
3. Информационная система перешла во владение организации в российской юрисдикции, но при этом процессы выполнялись головной организацией, и существует потребность их восстановления.

Денис рассказал о программном продукте "GRC учет рисковых событий", построенном на платформе "1С:Предприятие" и имеющем сертификаты ФСТЭК ОУД.4, а также сертификат "совершенно секретно". Ключевая идея продукта — это no-code решение с возможностью дополнительного расширения функционала в режиме low-code. Поставляется с полностью открытым исходным кодом. Функционал продукта характерен для всех продуктов GRC-класса, но при этом содержит как регуляторную специфику российской юрисдикции, так и инновационные функции, которые отсутствовали в иностранных системах, что было связано в первую очередь с использованием устаревших платформенных решений.

Варвара Солодилова, Руководитель группы аналитики, направление автоматизации нефинансовых рисков ГК "Иннотех", отметила, что требования к GRC-системам сильно разняться и в зависимости от зрелости процессов в организации, и в зависимости от основного драйвера автоматизации: внутренний аудит, внутренний контроль, бизнес-подразделения или служба управления рисками. Однако есть общие тенденции в ожиданиях от автоматизированных инструментов для процессов внутреннего аудита и риск-менеджмента — это комплексность, адаптивность, гибкость и привлекательность для конечных пользователей:

  • Комплексность — возможность покрыть весь список бизнес-процессов, требующих автоматизации, а также обеспечить синергию от использования единого инструмента для таких процессов.
  • Адаптивность — возможность обеспечить соответствие архитектурным требованиям заказчика.
  • Гибкость — возможность оперативно реализовать дополнительный функционал, а также способность менять уже действующий функционал в связи с изменениями процесса и новыми идеями пользователей.
  • Привлекательность — самый субъективный, но в то же время очень важный тренд в требованиях к современной GRC-системе. ПО должно быть понятным в работе, должно помогать и подсказывать.

В части помощи и подсказок развитие GRC-систем постепенно идет в сторону применения искусственного интеллекта.  Технологии ИИ уже нашли применения в некоторых процессах управления рисками в части автоматического отслеживания изменений требований регуляторов, а также в поиске дубликатов событий реализации риска и инцидентов СВК, однако возможности применения ИИ гораздо шире: автоматическое планирование проверочной деятельности, автоматизация тестирования контрольных процедур, формирование драфтов выводов и формулировок по рискам и контрольным процедурам, генерация шагов плана по минимизаций риска, анализ рисков бизнес-процессов и другие задачи. Платформа ОАЗИС от "Иннотех" дает организации возможность выстроить все процессы управления на единой платформе, развивать функционал и накапливать данные, добавляя возможность применять ИИ на той же самой платформе.

Но есть компании финансового и реального сектора, которые сами разрабатывают ПО и даже выходят с ним на внешний рынок. Один из таких примеров — Sber Process Mining. Динар Галин, руководитель направления по развитию Sber Process Mining, ПАО Сбербанк, и Кирилл Лисенков, руководитель направления по исследованию данных, ПАО Сбербанк, рассказали о нем подробнее. СВА Сбера применяет Process Mining в своей работе уже несколько лет. Для проведения проверок последние 2 года в СВА используют инструментарий собственной разработки Сбера — платформу и python-библиотеку Sber Process Mining. Они интегрированы во внутреннюю ИТ-инфраструктуру Сбера, что позволяет без лишних действий анализировать данные по процессам. Платформа Sber Process Mining представлена тремя инструментами, позволяющими проводить глубинный анализ бизнес-процессов:

1. Граф и BPMN. Позволяют построить схему процесса в виде интерактивного графа или в нотации BPMN, а также провести сравнение реального процесса с эталонной моделью.
2. Business Intelligence: метрики, графики, таблицы. Инструмент включает более 40 различных виджетов для полноценной BI-аналитики, автоматическую проверку данных, вычисление метрик процесса, а также готовые аналитические панели.
3. Machine Learning. В текущей версии платформы представлены 8 ML-модулей, например, модули факторного анализа, поиска "счастливого пути" процесса, автоматического поиска инсайтов и построения автоматического отчета.

Кроме того, внутри СВА запущена Школа Process Mining-исследований, куда аудиторские команды могут прийти со своими кейсами и получить помощь как на этапах поиска и предобработки данных, так и на этапах анализа и интерпретации результатов.

Автоматизация процессов считается неотъемлемой частью внедрения непрерывного аудита. Однако далеко не все компании в России полностью автоматизированы. Николай Шумилов, начальник управления внутреннего аудита Группы компаний "Мангазея", поделился необычным опытом внедрения непрерывного аудита, отдельно остановившись на специфике компаний строительной отрасли:

  • сложно выстроить работающую систему контролей из-за отсутствия постоянных структурных единиц, исчезающих после сдачи проекта и собираемых по-новому в зависимости от специфики нового объекта;
  • постоянные сложности налаживания и обеспечения контроля в условиях удаленного объекта строительства, отсутствия оргтехники и современных средств коммуникации. И как результат: задержки в документальном оформлении первичных документов (они не фиксируют как должны факт финансово-хозяйственной деятельности, а делаются "задним" числом в конце отчётного месяца, а то и в конце квартала), неточности, ошибки, умышленные искажения, которые невозможно своевременно отследить;
  • во время выполнения строительно-монтажных работ подрядчиками крайне неудовлетворительно оформляется или вообще не оформляется документация на выполняемые работы и применяемые материалы;
  • существуют законодательные требования по хранению исполнительной документации в материальном виде и её ежедневному заполнению (например, общие и специальные журналы работ, журнал ухода за бетоном и т.д.). Ни унифицировать, ни оцифровать такие документы не представляется возможным. Например, на крупной стройке вес только одних рапортов о работе машин и механизмов (ф. ЭСМ-3) за 1 квартал составил 346 кг.

Все это ведет к тому, что огромные объемы данных о процессах в строительной компании не оцифрованы. Хранение информации осуществляется в разрозненных базах данных или в папках разных подразделений, доступ к которым зачастую ещё и ограничен. Очевидно, что при таком уровне работы с данными у внутреннего аудита не так много возможностей для проведения непрерывного аудита, где обычно используются автоматизированные инструменты для мониторинга бизнес-процессов и анализа данных в режиме реального времени, а его реализация возможна только в случае стандартизированных процессов.

Но, по словам Николая, даже в такой ситуации подразделению внутреннего аудита удалось организовать непрерывный аудит пусть и с помощью не совсем обычных методов:

  • отдельные направления и бизнес-процессы организации распределены между сотрудниками СВА, получены доступы к соответствующей информации, а также к камерам видеонаблюдения на строительных площадках;
  • налажено тесное взаимодействие со службой строительного контроля, отделом охраны труда и представителем СБ на строительной площадке;
  • внутренние аудиторы по своим направлениям сформировали систему индикаторов, которые на постоянной основе (не обязательно ежедневно, но хотя бы раз в неделю) они собирают и агрегируют в собственных таблицах или записях;
  • по выявленным проблемам сразу же составляются справки и информируется руководство, которое назначает ответственного, а тот определяет исполнителей.

В такой форме непрерывного аудита реализуется предварительный и текущий контроль с приоритетом предупреждения над пресечением. Его основной целью являются скорость устранения нарушений и минимизация воздействия на процессы компании возникающих рисков.

Николай отметил, что с подачи Минстроя России активизирована работа по переводу строительного проектирования в 3D-формат. Тотальное введение BIM-моделирования способно нивелировать многие риски (в основном ошибки исполнителей при внесении информации и расчётах, а также расхождения в разделах рабочей документации) и значительно упростить внутреннему аудиту строительных компаний работу по выполнению своих обязанностей.

Золотым спонсором конференции стала Группа компаний "Иннотех", серебряным — компания "Технологии и Бизнес" (ТАБ, Технологии Автоматизация Бизнес), партнером — компания "Газпром Нефть" (Промайн).

Информационными партнерами конференции стали: ПравоТЭК и PRO Качество.

Следующая Национальная конференция Института внутренних аудиторов состоится 16-17 апреля 2024 года в Москве.

Мероприятия:
<< Ноябрь, 2023 >>
Пн Вт С Ч П С В
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
ПОДПИСКА НА НОВОСТИ

Если Вы хотите подписаться
на рассылку новостей
перейдите по ссылке

АНАЛИЗ И КОММЕНТАРИИ

МИНЕРАЛЬНЫЕ РЕСУРСЫ РОССИИ. ЭКОНОМИКА И УПРАВЛЕНИЕ