Внутренний аудит в изменившихся условиях: результаты ХIV Национальной конференции Института внутренних аудиторов «Внутренний аудит в России»

Мероприятие собрало около 220 представителей профессии. Участники обсудили актуальные профессиональные темы, а также роль и новые задачи внутреннего аудита в изменившихся условиях. Журнал «Акционерное общество: вопросы корпоративного управления» выступил информационным партнером конференции.

ВНУТРЕННИЙ АУДИТ В НОВЫХ РЕАЛИЯХ

Конференцию открыло выступление Геннадия Букаева, вице-президента — руководителя службы внутреннего аудита ПАО «НК «Роснефть», посвященное вызовам и тенденциям внутреннего аудита. К тенденциям развития современного внутреннего аудита можно отнести реинжиниринг процессов внутреннего аудита, развитие новых подходов к аудиту, применение новых технологий во внутреннем аудите, а также построение модели управления персоналом, отвечающей современным потребностям. В планировании деятельности внутреннего аудита основными трендами являются сокращение горизонтов планирования до 3–6 месяцев, развитие системы риск-индикаторов, внедрение непрерывного анализа данных. При проведении проверок все большее значение приобретают переход на непрерывный аудит и камеральный формат проверок. При формировании отчетности внутреннего аудита важными являются актуальность информации, гибкость предоставляемых данных. По словам докладчика, следуя стратегии компании, внутренний аудит «Роснефти» реализует проект по цифровизации внутреннего аудита, которая включает:

• разработку цифровых аудиторских процедур;
• разработку системы риск-индикаторов, автоматизацию их расчета, внедрение в текущую работу бизнеса;
• обеспечение мобильности аудиторов для работы из любой точки — дома, офиса или на объекте проверки.

Букаев Геннадий, вице-президент — руководитель службы внутреннего аудита ПАО «НК «Роснефть»

Продолжила тему Наталия Плотникова, заместитель директора по внутреннему контролю и аудиту — директор департамента внутреннего аудита Госкорпорации «Росатом». Существующие реалии обеспечивают возможности для внутреннего аудита, чтобы показать свою полезность и сохранить свое «место за столом». Для этого важно не просто прислушиваться к ожиданиям заинтересованных сторон, но и обеспечивать оперативное реагирование на них, координировать деятельность с другими бизнес-процессами, действовать на опережение, ставить под сомнение существующие практики, целенаправленно внедрять инновации, а также иметь стратегии для быстрого решения проблемы пробелов в навыках и победы в борьбе за таланты. При этом необходимо сфокусироваться главным образом на целеполагании: обеспечить охват гарантиями областей риска, влияющих на достижение целей, то есть при выборе аудиторских мероприятий ориентация должна быть не на цели самого процесса, а на роли процесса в достижении общего для организации результата. Спикер отметила, что важными темами для аудита сейчас являются вопросы импортозамещения, отказа от исполнения действующих контрактов со стороны поставщиков, сбои в существующих логистических цепочках, волатильность валют и ограниченность финансирования. Другим важным фокусом, по мнению Наталии Плотниковой, должен стать внутренний консалтинг, поскольку он обеспечивает быстрые, качественные и независимые оценки для менеджмента при принятии решений в различных областях. Это формирует потребность в наличии эффективной системы непрерывного повышения уровня профессионально-технических навыков команды аудиторов.

Плотникова Наталия, заместитель директора по внутреннему контролю и аудиту — директор департамента внутреннего аудита Госкорпорации «Росатом»

Участники конференции также обсудили, как внутреннему аудиту оставаться эффективным в условиях ограниченности ресурсов. Одно из решений — это скользящее планирование и использование внешних экспертов. Об этом рассказал Владимир Кременицкий, директор по внутреннему аудиту ООО «АИМ Холдинг». Планирование является очень важным этапом в любой деятельности. У внутреннего аудита нет жесткой привязки к целям и задачам бизнеса (в отличие от других функций и подразделений). Основная задача ВА заключается в профессиональном и кропотливом диагностировании «бизнес-организма» с целью выявления «болевых точек» и их «лечения». Для решения этой задачи ВА должен быть относительно гибким и быстро реагировать (в том числе и в условиях усиления внешних вызовов), перераспределяя свои фокусы на наиболее болевые точки и сбои в процессах. При этом, решая вопрос гибкости и скорости, ВА не должен «разбрасываться» своими ресурсами или неэффективно их использовать, а также должен помнить о необходимости высокого качества своего продукта.

Кременицкий Владимир, директор по внутреннему аудиту ООО «АИМ Холдинг»

Эту тему дополнил Дмитрий Бочаров, главный внутренний аудитор Askona Life Group. Кризисы позволяют реально оценить, насколько менеджмент готов к новым вызовам, как процессы функционируют в ситуации внешних шоков, настолько ли надежна система внутреннего контроля компании. Аналогичную оценку можно провести в отношении внутреннего аудита. Актуален ли годовой план с учетом новых реалий, достаточно ли компетенций команды, тот ли фокус деятельности у функции? Однако классические подходы к аудиторской деятельности в кризис могут не сработать. Внешняя среда меняется быстро, и внутренний аудит должен соответствовать этой динамике. Требуются гибкие форматы работы, новые подходы к формированию команд и проведению проверок, фокус на бизнес-задачах и новых рисках: более частая актуализация годового плана, проведение быстрых аудитов и фокус на решение проблем.

Бочаров Дмитрий, главный внутренний аудитор Askona Life Group

В турбулентные времена решать актуальные задачи помогает непрерывный аудит. Людмила Диордиева, директор по внутреннему аудиту ООО «Интер РАО — Управление электрогенерацией», поделилась опытом энергетического сектора в этом вопросе. Служба внутреннего аудита с учетом новых реалий пересматривает приоритетность своих задач и в настоящее время смещает фокус на:

1. оценку рисков, в том числе при достижении целей компании, при принятии управленческих решений;
2. рациональное использование денежных средств компании;
3. сохранность активов;
4. консультационную деятельность, инициатором которой является менеджмент компании.

Одним из полезных инструментов, позволяющих реализовать оперативное реагирование на изменчивость внутренней и внешней среды компании, является непрерывный аудит бизнес-процессов компании. С его помощью возможно повысить полезность функции внутреннего аудита для компании за счет:

1. выбора актуальных для бизнеса объектов проверок по результатам предварительного обследования и использования системы индикаторов внутреннего аудита;
2. оптимального и эффективного распределения ресурсов службы внутреннего аудита;
3. своевременного информирования менеджмента компании, ответственного за функционирование объектов проверки, о выявленных рисках, недостатках, фактах мошенничества.

По словам Людмилы Диордиевой, переход на данный вид проверок стал возможен благодаря автоматизации процессов в компании, накопленному опыту внутреннего аудита в части определения системы индикаторов для их последующей автоматизации, доступу к большинству внутренних и внешних информационных потоков.

Выступление Вадима Желтухина, начальника управления внутреннего аудита АК «АЛРОСА» (ПАО), было посвящено ESG2-вопросам. ESG-повестку «АЛРОСА» формируют тенденции климатических и социальных изменений, рост внимания инвестиционного сообщества к нефинансовым рискам и отток капитала из загрязняющих секторов, а также распространение практики ответственного инвестирования. УВА компании проводит аудиты таких процессов по тематике ESG, как промышленная безопасность, охрана труда, кадровые вопросы, корпоративное управление, мероприятия по охране окружающей среды. В целом основными сложностями для проведения аудита ESG-отчетности являются многообразие и разнородность подходов к ее подготовке: незрелые требования к отчетности, отсутствие единого подхода в российской практике, недостаточный опыт внедрения и отсутствие лучших практик в алмазодобывающем секторе. Спикер также отметил, что при подготовке ESG-отчетности и тестировании эффективности управления ESG-факторами необходимо проработать большой объем разрозненной информации. В этой связи возникает потребность в обновлении инструментария внутренних аудиторов путем наращивания цифровых компетенций в области аналитики и визуализации данных.

РАЗВИТИЕ КОМПЕТЕНЦИЙ КОМАНДЫ ВНУТРЕННЕГО АУДИТА

Важность профессионального развития сотрудников подчеркивалась всеми спикерами конференции. Александр Московкин, директор департамента внутреннего аудита компании Sitronics Group, рассказал, на чем стоит сфокусироваться в этом вопросе. Руководителю внутреннего аудита для определения направления профессионального развития команды нужно учитывать общие аудиторские навыки, знание отрасли и бизнеса компании, специфичные для функции задачи. При этом развитие профессионализма должно быть направлено на команду в целом. Здесь следует руководствоваться принципами баланса между привлечением новых игроков, обладающих необходимыми знанием и опытом, и развитием имеющихся членов команды, оценкой команды (формальной и неформальной), составленными планами развития, а для обучения, требующего финансовых затрат, необходим «спонсор»: совет директоров или высший менеджер, которые осознали полезность внутреннего аудита и готовы согласовать финансирование профессионального развития функции. Александр Московкин отметил, что степень формализации и детализации оценки команды зависит от ее численности и применяемой в СВА методологии: чем малочисленнее функция аудита, тем более многогранными знаниями и навыками должен обладать каждый из аудиторов и тем менее формальными будут оценка и планы развития. Для достаточно крупных функций аудита остро стоит вопрос индивидуализации планов развития каждого работника, чтобы не попасть в ситуацию наличия работников с единым профилем компетенции, которые взаимозаменяемы, но не синергичны.

При необходимости поиска источника средств на обучение работников СВА внутри компании — поиске «спонсора» — руководитель ВА попадает в некий парадокс: чтобы обеспечить расходы компании на профессиональное развитие СВА, он уже должен иметь профессионально развитую команду, чтобы обеспечить ее высокую эффективность. В противном случае получить средства на развитие и убедить в его необходимости не получится. Поэтому на ранних этапах жизненного цикла службы внутреннего аудита, да и для большинства функций в изменившихся экономических условиях следует задуматься о профессиональном развитии, не требующем значительных расходов. Сюда можно отнести, например, самообразование аудиторов, развитие методологии функции. Также одним из способов повышения профессионализма служб, не требующих финансовых затрат, может являться наставничество.

Московкин Александр, директор департамента внутреннего аудита компании Sitronics Group

В продолжение темы Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот», перечислил инструменты для постоянного развития компетенций команды внутреннего аудита компании:

1. карта компетенций, в которой установлены требования к уровню владения компетенциями в разрезе должностей: управленческие, профессиональные, корпоративные;
2. получение профессиональных сертификатов и прохождение программ обучения;
3. участие в профессиональных конкурсах;
4. оценка по результатам каждого аудита, для которой используются опросные листы и анкеты;
5. институт наставничества (практика шефства над новыми сотрудниками), по результатам которого формируется отчет с дальнейшими рекомендациями по улучшению отдельных компетенций внутреннего аудитора;
6. составление индивидуальных планов развития, в которых устанавливаются цели на очередной год, планируются внутренние обучающие мероприятия и самостоятельная теоретическая подготовка для улучшения имеющихся компетенций и получения профессиональных сертификатов.

Душатин Леонид, директор департамента внутреннего аудита ПАО «Аэрофлот»

ПРИМЕНЕНИЕ ИНСТРУМЕНТОВ ОБРАБОТКИ И АНАЛИЗА ЦИФРОВЫХ ДАННЫХ ВО ВНУТРЕННЕМ АУДИТЕ; АУДИТ ИТ И ИБ

Представители Сбербанка России — Людмила Ильина, управляющий директор — заместитель директора управления внутреннего аудита центрального аппарата Сбербанка России, и Михаил Савчук, начальник отдела информационных технологий управления внутреннего аудита по Среднерусскому банку Сбербанка России — рассказали о Data-driven-подходе в аудите. С его помощью внутренние аудиторы банка:

1. увеличили охват проверок и за 2021 г. проверили 810 процессов банка (это 39% от всех процессов банка);
2. используют 100%-й объем данных (а не их выборку) во всех аудитах;
3. снизили нагрузку на проверяемые подразделения и обсуждают с ними только результаты проверки и план мероприятий.

Продвинутые методики обработки данных позволяют не ограничиваться классическими источниками. По словам спикеров, для проверок внутренние аудиторы берут журналы автоматизированных систем, тексты, сканы документов, видео- и аудиозаписи. Большой объем и разнообразие данных позволяют не опираться на опыт отдельно взятого аудитора, а использовать аналитические инструменты для формирования гипотез и их проверки. Также докладчики привели несколько примеров из практики:

1. при оценке качества учета и эффективности разработки 3 тыс. команд «Сбера» внутренние аудиторы обогатили данные по командам, затратам, релизам и задачам разработки в JIRA, построили воронку разработки и выявили области для улучшения процесса;
2. при анализе клиентского опыта на примере 518 тыс. клиентов, которые заказывали карту на сайте банка, был использован process mining по журналам автоматизированных систем; это позволило выявить отклонения в клиентском пути и дать рекомендации по их устранению;
3. для выявления жалоб пользователей мобильных приложений по 258 тыс. отзывам в Google Play и AppStore был создан инструмент автоматизированной классификации отзывов методами text mining и machine learning, который применили для анализа клиентского опыта сервисов «Сбера» и сравнения с конкурентами.

Вероника Семенова, глава внутреннего аудита энергетической компании «Юнипро», также поделилась опытом внедрения инструмента цифровой аналитики. Подобные инструменты позволяют автоматизировать многочисленные процедуры, которые ранее делались вручную (например, анализ большого объема данных), и дают возможность проводить непрерывный аудит. Таким образом, в любой момент можно увидеть необходимую информацию, не собирая огромный массив бумажных документов и не анализируя их вручную. Целью команды внутреннего аудита было создать универсальный инструмент цифровой аналитики, который позволял бы в режиме реального времени подсвечивать так называемые красные флаги и указывать на потенциальные риски мошенничества и сговора. Отправной точкой был выбран процесс закупок, как наиболее сложный и интересный в части массива данных. Есть тесты на выявление поставщиков со значительным объемом контрактов или тендерных предложений по нетипично большому перечню номенклатур, на успешность участия поставщиков в тендерах, на выявление дополнительных соглашений, увеличивающих стоимость первоначально заключенного контракта и подписанных вскоре после его заключения. Тесты позволяют сопоставить информацию об участниках закупочной процедуры с исторической информацией о подобных закупках или с историей взаимодействия с конкретным контрагентом; понять, насколько успешно на протяжении времени выигрывает в тендерах один и тот же контрагент, всегда ли его сопровождает один и тот же закупщик компании, а возможно, наоборот, контрагент регулярно проигрывает, и это наводит на мысль о его фиктивном участии, и многое другое. Докладчик подчеркнула, что во главе процесса всегда был и остается человек. Выводы искусственного интеллекта не основание для окончательного вывода: система просто оперативно и качественно выявляет «симптомы». Руководствуясь показанными ею красными флагами, специалист более детально разбирается в ситуации.

Выступление Алексея Алексеева, руководителя департамента ИТ и технических аудитов дирекции внутреннего аудита ПАО «Вымпелком», было посвящено аудиту процессов оценки и управления рисками информационной безопасности. Докладчик отметил важность ИБ в системе координат вселенной ИТ-аудитов современных компаний и устойчивую тенденцию к росту критичности данного направления: «Среди ключевых рисков ИБ, на которые должен быть направлен аудит, можно назвать следующие: риск неполного выявления информационных активов, подлежащих защите; риск некорректного определения ценности информационных активов; риск неполного/некорректного выявления угроз и уязвимостей, которым подвержены активы, подлежащие защите; риск некорректного расчета вероятности реализации угроз и их влияния на бизнес; риск выбора методов реагирования на риски ИБ, которые не адекватны выявленным угрозам (в том числе необоснованное принятие менеджментом рисков)».

Алексеев Алексей, руководитель департамента ИТ и технических аудитов дирекции внутреннего аудита ПАО «Вымпелком»

Внутренний аудитор в рамках проверок может задействовать одновременно несколько распространенных в мире методик по управлению рисками ИБ: например, NIST Management Framework, ISO/IEC 27005, FRAP, OCTAVE, FAIR и др. Как показал опыт, для проведения эффективного аудита стоит придерживаться следующих основных этапов:

1. Проверка порядка формирования информационных активов, имеющих ценность для компании.
2. Проверка порядка выявления угроз (в том числе векторов и площадей атак), которым подвержены информационные активы.
3. Проверка порядка выявления уязвимостей в составе информационных активов (в том числе с помощью методов программно-аппаратного, инструментального анализа).
4. Проверка порядка формулирования сценариев риска, подходов к количественной оценке их вероятности и ущерба.
5. Проверка рисков ИБ, исходящих из взаимодействия с третьими сторонами (поставщиками, подрядчиками, бизнес-партнерами и пр.).
6. Оценка применения страхования от кибер-рисков.
7. Интеграция мероприятий по управлению рисками ИБ в процессы обеспечения реагирования на инциденты, аварийного восстановления и непрерывности деятельности (в том числе кризисного управления).

Данный подход является достаточно гибким и может быть реализован в форме как самостоятельной проверки, так и комплексного аудита ИБ (в том числе с участием сторонних специалистов по тестированию безопасности).

Выбирая из многообразных публичных инцидентов информационной безопасности, Наиль Айнетдинов, руководитель направления по аудиту информационной безопасности Tele2, сделал акцент на двух наиболее тревожных для бизнеса случаях: утечка данных клиентов со всеми сопутствующими последствиями, а также кибератака с нарушением непрерывности бизнес-процессов и приостановкой услуг. Утечки данных необязательно появляются вследствие кибератак, а от угрозы со стороны инсайдера, тем более обладающего техническими навыками обхода средств защиты, защититься крайне сложно. Учитывая, что штрафы за утечки для бизнеса пока невысокие, основным последствием такого инцидента является репутационный ущерб. Во втором случае, который чаще проявляется как атаки групп шифровальщиков-вымогателей, основным последствием является финансовый ущерб — от простоя бизнес-операций, от затрат на восстановление, иногда прямые затраты на выкуп вымогателям. Следует обращать внимание и на такие явления, как хактивизм, а для особо интересных бизнесов — на атакующих, спонсируемых государствами.

Айнетдинов Наиль, руководитель направления по аудиту информационной безопасности Tele2

Внутренний аудит способен помочь бизнесу справиться с этими вызовами, если сумеет проявлять гибкость и делать акценты на действительно важных угрозах и рисках. Как отметил спикер, проверки соответствия стандартам или отраслевым требованиям дело нужное, но их результаты могут не приводить к снижению рисков и практическим улучшениям по защищенности бизнеса, если подходить к этому формально. С другой стороны, исключительно технические проверки практического состояния безопасности, не наполненные бизнес-контекстом, также могут отвлекать ресурсы на устранение уязвимостей, которые в реальности вряд ли бы использовались атакующими. Аудит может сочетать данные подходы, дополняющие друг друга, в рамках риск-ориентированного подхода внутреннего аудита, который, при наличии соответствующих компетенций, может помочь бизнесу разобраться, какие проблемы ИБ сейчас действительно важны и приоритетны.

Участники конференции сошлись во мнении, что в условиях новых вызовов и возможностей внутренний аудит должен работать совместно с бизнесом, быть гибким и оперативным, точно реагировать на внешние изменения и потребности руководства компании. Таким образом, скорость, гибкость, качество и технологичность — вот актуальные характеристики службы внутреннего аудита для успешного преодоления вызовов сегодняшнего дня.

Примечания:

1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru.
2. От англ. Environmental, Social, and Corporate Governance (ESG) — экологическое, социальное и корпоративное управление. Подразумевается совокупность характеристик управления компанией, при котором достигается вовлечение в решение экологических, социальных и управленческих проблем.