ИИ и коммуникации: результаты ХVIII Национальной конференции Института внутренних аудиторов «Внутренний аудит в России»

22-23 апреля 2026 г. в Москве состоялась XVIII Национальная конференция Института внутренних аудиторов «Внутренний аудит в России». Журнал «Акционерное общество» выступил информационным партнером конференции.

Мероприятие посетили более 300 представителей профессии. Они обсудили такие актуальные профессиональные темы, как использование технологий во внутреннем аудите, выстраивание отношений с заинтересованными сторонами, повышение риск-ориентированности внутреннего аудита и контроля и выстраивание интегрированного управления рисками, возможности и риски ИИ во внутреннем аудите, взгляд комитета по аудиту на функцию внутреннего аудита.

ВАЖНОСТЬ ПРАВИЛЬНЫХ КОММУНИКАЦИЙ 

В условиях ускоряющихся изменений традиционный внутренний аудит трансформируется в непрерывный, ориентированный на постоянный мониторинг рисков и своевременную корректировку управленческих решений. При этом ключевым фактором успеха становятся не только аналитические инструменты, но и партнерские коммуникации с менеджментом и интеграция в операционный контекст при сохранении независимости функции.

По словам Артура Аджамяна, главного внутреннего аудитора холдинга «ON Медиа», проблемы, отражаемые в отчетах внутреннего аудита, редко являются полностью неизвестными. Чаще они локально осознаются, но их масштаб недооценивается, а круг вовлеченных лиц ограничен, что замедляет принятие решений. В этих условиях функция внутреннего аудита должна эволюционировать от роли контролера к роли катализатора изменений, обеспечивая фокус на решение и вовлечение ключевых стейкхолдеров.

«Партнерские коммуникации формируют основу доверия и эффективности. Одних формализованных отчетов недостаточно: необходимы регулярные диалоги с управленческой командой вне рамок проверок (например, регулярные встречи с генеральным директором и топ-менеджментом для обсуждения ключевых рисков и инициатив). Позиционирование внутреннего аудита как бизнес-партнера, ориентированного на достижение общих целей, способствует более раннему выявлению проблем и вовлечению в принятие решений», - уверен Артур Аджамян.

Продолжая тему важности правильной коммуникации, Игорь Каталицких, вице-президент – руководитель службы внутреннего аудита ПАО «Банк ПСБ», выделил 6 групп заинтересованных сторон: совет директоров (далее – СД) и комитет по аудиту (далее – КА), высшее руководство, операционное руководство, регулятор, внешний аудит, а также сотрудники организации. Для каждой группы необходимы свои конкретные инструменты выстраивания доверия в зависимости от внутренней корпоративной культуры в организации. Каждая группа внутренних заинтересованных сторон наделена своим образом ожиданий от внутреннего аудита. СД нуждается в независимой оценке и раннем предупреждении о рисках. Высшее руководство хочет практической пользы. Операционное руководство боится внутреннего аудита, и этот страх становится главным барьером для получения достоверной информации. Сотрудники — нередко самая игнорируемая сторона — ожидают, что внутренний аудит услышит их, защитит и вынесет справедливую оценку по итогам проверки. Игорь Каталицких предупреждает: «Граница при этом остаётся единой: участвовать в жизни организации как эксперт — можно; брать на себя управленческие решения или разрабатывать контроли, которые сам же потом проверяешь, — нельзя».

Интеграция в операционную деятельность зачастую предполагает участие в релевантных комитетах и рабочих органах, где формируются ключевые решения, при одновременном соблюдении принципа независимости. Важным становится постоянный мониторинг: понимание стратегических инициатив, логики управленческих решений, а также динамики финансовых и операционных показателей. Точки интеграции могут определяться через результаты аудитов, коммуникации с бизнесом и анализ внешнего информационного поля.  

Наталия Шалаева, начальник отдела внутреннего аудита ПАО «Совкомфлот», поделилась положительной практикой коммуникаций, которая позволяет внутреннему аудиту всегда быть в курсе событий: «Кроме взаимодействия с КА внутренний аудит (далее – ВА) присутствует на всех заседаниях СД, а также на части заседаний комитета по стратегическому развитию СД. Посещение таких заседаний позволяет получать актуальную информацию о стратегии группы, альтернативных сценариях, стратегических рисках, которые обсуждаются СД. Также ВА периодически присутствует на совещаниях председателя СД с членами правления. Кроме взаимодействия по линии СД ВА присутствует на общегрупповых совещаниях руководителей функций, где на еженедельной основе обсуждаются операционные вопросы и возникающие проблемы. На ежемесячной основе проходят встречи с генеральным директором, а на периодической – с заместителями генерального директора. Это, с одной стороны, позволяет обсудить выявленные внутренним аудитом недостатки системы внутреннего контроля, с другой – уточнить области, в которых присутствие внутреннего аудита полезно на данный момент. Такая системно выстроенная коммуникация позволяет получать на оперативной основе информацию о стратегических и операционных рисках и поручения как от СД, так и от руководства компании».

ЭФФЕКТИВНОЕ УПРАВЛЕНИЕ РИСКАМИ

В рамках круглого стола «Как повысить риск-ориентированность внутреннего аудита и контроля и выстроить интегрированное управление рисками» Андрей Додонов, директор по внутреннему контролю и аудиту АО АСЭ, обратил внимание на результаты опросов, проведенных накануне конференции. Так, большинство респондентов отметили тон сверху (как внешний фактор), профессионализм и риск-ориентированное планирование (как внутренние факторы) в качестве фундамента для повышения риск-ориентированности внутреннего аудита и контроля в компании. Одновременно с этим мнения респондентов относительно того, создана/не создана ли в их организациях эффективная интегрированная система управления рисками (ИСУР), разделились примерно поровну (степень внедрения и эффективности ИСУР оценена в среднем на уровне 5,9 по 10-тибальной шкале). 
Это вселяет уверенность, что эффективная ИСУР – это вполне достижимая цель, во многих организациях формируется правильная риск-культура, позволяющая всем линиям защиты за счет синергии и профессионального подхода к делу эффективно управлять рисками, принимая взвешенные управленческие решения, обеспечивая тем самым достижение стратегических и операционных целей организации. Тем не менее, постоянная и системная работа как с менеджментом, так и с рядовыми работниками по поддержанию и развитию риск-культуры, выстраиванию ИСУР, формированию понимания ценности СВК/СУР и ролей ее участников продолжает оставаться важной миссией внутреннего аудита.

Однако в современном мире нередко встречается ситуация, когда СУР существует лишь формально. Валерий Коновалов, заместитель директора департамента внутреннего аудита Госкорпорации «Росатом», отмечает: «Наличие громоздких реестров и утвержденных политик создает иллюзию защищенности, но по факту оказывается, что жизнь организации идет своим чередом, а риски «живут» в отдельном файле, не влияя на ключевые бизнес-решения. С точки зрения аудитора, ключевая проблема кроется в разрыве между идеальной моделью, закрепленной в регламентах, и фактическим поведением организации».

Продолжая тему, Ирина Долгушева, директор по внутреннему аудиту, внутреннему контролю и управлению рисками «АШАН Ритейл Россия», уточняет, что об интегрированности управления рисками свидетельствует в первую очередь то, что в компании решения принимаются менеджментом с учетом оценки рисков, т.е. управление рисками — это не отдельный процесс, а инструмент, который помогает в принятии всех значимых решений в компании: от стратегии до операционных вопросов. Об этом свидетельствует, например, следующее:
- руководители подразделений самостоятельно занимаются оценкой рисков на основании данных об инцидентах, изменении законодательства и прочего и в результате корректируют свою деятельность;
- на проектном комитете для принятия решения о запуске проекта обязательно рассматривается информация о рисках проекта;
- создаются резервы, например, под обесценивание запасов.

Делясь деталями практики риск-ориентированного планирования внутреннего аудита, Татьяна Кутакова, заместитель директора департамента внутреннего аудита ПАО «Аэрофлот», в числе прочего упомянула такие шаги, как: 
1) регулярная переоценка рисков на основе произошедших изменений в стратегии компании, процессах, изменений карты рисков компании, анализа статистики работы «Горячей линии», также на основе результатов проведенных внутренних аудитов; 
2) опросы высшего руководства компании; 
3) изучение российских и международных тенденций в отношении рисков, с которыми может столкнуться компания в предстоящем периоде.

АВТОМАТИЗАЦИЯ ПРОЦЕССОВ И ИСПОЛЬЗОВАНИЕ ИИ

На сегодняшний день большинство функций внутреннего аудита в компаниях стремятся к созданию единой цифровой экосистемы аудита. Она позволяет в реальном времени агрегировать данные о проверках, рисках, процессах, контрольных процедурах, рекомендациях и других инструментах аудита. По словам Яны Постовской, директора департамента внутреннего аудита ИТ-холдинга Т1, и Никиты Волкова, главного аналитика продукта «Оазис», НОТА (ИТ-холдинг Т1), покрытие всего цикла аудита, формирование единой аудиторской базы – все это стало доступно команде аудита холдинга в быстрые сроки и с применением коробочного функционала Оазис: «В отличие от разработки с нуля, коробочное решение предлагает готовую методологическую базу и проверенные практики, что позволяет запустить систему в эксплуатацию в кратчайшие сроки. При этом «коробочный» подход не означает жестких рамок: гибкая архитектура решения позволяет бесшовно адаптировать функционал под специфические требования заказчика».

Яна Ясакова, начальник управления внутреннего аудита АК «АЛРОСА» (ПАО), и Алексей Чернышев, директор по продуктам компании «Диджитал Дизайн», поделились опытом внедрения ИТ-решения АВАКОР для автоматизации процессов внутреннего аудита, контроля и оценки рисков. Основными результатами проекта стали единое информационное пространство, объединяющее в себе структурированные массивы данных для интегрированной работы, и единая система планирования аудиторских процедур, оперативного отслеживания рисков/ мероприятий. Кроме того, проработка решения в процессе автоматизации позволила объединить все реестры рисков в едином месте хранения и структурировать бизнес-процессы по их актуализации.

Важная часть автоматизации – автоматизация комплаенс-процедур. Несоблюдение компанией регуляторных норм влечет за собой серьезные риски. Геннадий Бережной, управляющий партнер компании «Квадриум», уверен, что будущее за применением нейросетевых технологий: «Эффективный комплаенс строится на переходе от реактивной модели «проверяем, что можем» к управляемому процессу, где фундаментом выступает реестр комплаенс-обязательств (требований), а не абстрактная карта рисков. Каждое требование должно быть декомпозировано до проверяемой атомарной единицы, что обеспечивает четкую взаимосвязь между нормативно-правовым актом и комплаенс-риском, а также возможность автоматизированной отчётности. Контроли выступают связующим звеном между требованиями и рисками: именно вокруг них выстраиваются процедуры тестирования, сбора доказательств и автоматической эскалации, а риски создаются выборочно — только при наличии материальных последствий для бизнеса. Применение современных LLM1-технологий ускоряет декомпозицию законов и создание контрольного пространства и позволяет комплаенс-службе сместить фокус с ручного сбора данных на управление бизнес-рисками».

При этом Денис Овсянников, главный аудитор ПАО «Ростелеком», уточняет, что за последние 2 года появился целый стек новых инструментов для автоматизации сверок и контрольных процедур: LLM-агенты, векторные RAG-базы, оркестраторы вроде n8n и LangGraph. Уже есть отдельные удачные практические примеры использования, но в масштабе крупной компании всплывают системные ограничения. Основные проблемы всё те же: конфиденциальность, качество результатов, стоимость и эффективность инструментов, настройка под специфику организации.

Николай Лавров, начальник управления внутреннего аудита ПАО «Северсталь», поделился опытом внедрения ИИ-инструментов в практику внутреннего аудита с наибольшим эффектом:

• работа с текстовой информацией: написание писем, составление и обновление аудиторских планов, формулирование рекомендаций и выводов, создание рабочих документов и текстов презентаций;
• анализ коммуникаций и встреч: расшифровка аудиозаписей рабочих встреч, краткое изложение и структурирование ключевых выводов, подготовка выжимок из регламентов и нормативной документации;
• ИИ-ассистент внутреннего аудитора: на текущем этапе развития он выступает как методолог, предлагает план тестирования и рекомендации, помогает сформировать отчет. Но докладчик отметил и основное ограничение в использовании: «За ИИ в любом случае приходится перепроверять, однако как черновик он вполне работает».

Продолжая тему использования ИИ, Павел Татевосян, начальник отдела внутреннего аудита АО «СОГАЗ», обратил внимание на вопросы, которые вызывают опасения: «Мы ускоряем проведение аудитов за счет ИИ, но в этом случае рискуем перестать думать. ИИ позволяет «пробежать» сотни документов за минуты, но есть опасность, что аудитор перестаёт в них погружаться и теряет своё главное оружие — профессиональное чутьё. ИИ усиливает эффект «одного мнения» (того, кто учит ИИ), снижая разнообразие профессиональных подходов. Вместо коллективного аудиторского взгляда возникает риск опоры на обобщённый вывод модели, что может ограничивать критическое мышление и альтернативные интерпретации внутри команды.
Встает и вопрос морального выбора и аудиторской этики относительно необходимости передачи разрабатываемых средств контроля на вторую линию для осуществления текущего контроля, а также риск гонки вооружений в части разработки новых версий средств автоматического контроля, которые будут обходить ранее внедренные средства автоматического контроля, используемые на второй линии».

Участники конференции обсудили не только вопросы автоматизации, но и цифровой трансформации (далее – ЦТ) бизнес-процессов в целом. Тимофей Перепросов, руководитель операционного аудита Ozon, отметил: «ЦТ – это сложный процесс внедрения и применения технологий в процессы для изменения бизнес-модели организации. Этот процесс может проходить на различных уровнях, например, на уровне всей корпорации, конкретного объекта или отдела. ЦТ – это в первую очередь изменение бизнес-модели. Просто применение в компании цифровых и информационных технологий без изменения модели – это цифровизация, а уменьшение доли человеческого и рутинного труда без изменения модели – это лишь автоматизация. На мой взгляд, в настоящее время функция ВА должна быть способна не только реагировать на потенциальные риски, но и видеть возможности, в том числе существенного изменения бизнеса через ЦТ. А для этого важно разбираться в технологиях и вместе с коллегами постоянно обучаться».

Примечания:

1. Большая языковая модель (LLM, Large language model) — это тип программы искусственного интеллекта, которая может распознавать и генерировать текст.