Внутренний аудит и цифровизация

В опросе этого года приняли участие руководители  служб внутреннего аудита  российских компаний нефинансового сектора различных отраслей экономики. В рамках исследования были рассмотрены вопросы использования современных технологий, включая автоматизацию работы СВА, а также применение средств анализа данных. Исследование показало ряд тенденций в развитии практики внутреннего аудита, связанной с ИТ.

Полный текст исследования доступен на сайте Института внутренних аудиторов. 

Информация об организаторах исследования

Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. ИВА имеет региональные центры в Екатеринбурге, Казани, Краснодаре, Красноярске, Нижнем Новгороде, Новосибирске, Перми, Самаре, Санкт-Петербурге, Тюмени и Хабаровске. Членство в ИВА дает возможность получить необходимые знания о внутреннем аудите, установить контакты с коллегами по профессии и повысить свой профессиональный статус. Подробности на сайте  www.iia-ru.ru.

Компания «Технологии Доверия» ( www.tedo.ru) предоставляет аудиторские и консультационные услуги компаниям разных отраслей. В офисах «Технологий Доверия» в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Владикавказе и Нижнем Новгороде работают 3 000 специалистов. 

Они помогают клиентам выстраивать и укреплять доверие к бизнесу благодаря опыту и качеству оказываемых услуг. 

подробнее

Общая картина изменений в сфере внутреннего аудита представлена в нашей статье «Динамика изменений внутреннего аудита» 

Использование технологических решений 

Несмотря на общий тренд на цифровизацию и автоматизацию бизнес-процессов организаций всех секторов экономики, 25% респондентов отметили, что СВА в настоящий момент не использует технологические решения. 

Среди 75% респондентов, использующих технологические решения в деятельности СВА, наиболее популярным (52%) оказалось использование инструментов извлечения и анализа данных, отличных от  MS Excel , на втором месте (46%) – инструменты  для визуализации данных , на третьем –  собственные разработки  для автоматизированного выполнения отдельных аудиторских процедур (32%). Павел Нагорнов, директор по внутреннему аудиту ПАО «ФосАгро», уточняет: «Использование инструментов, отличных от Excel, требуется в случаях, когда нет подходящего стандартного отчета в информационной системе, когда требуется доставать сырые данные из источника и обрабатывать их. Если стандартные отчеты содержат все необходимое, то Excel вполне достаточно. Когда требуются сложные расчеты, а в особенности когда они регулярно повторяются, то тут уже на помощь приходят инструменты сложнее (типа Python)».

А Айк Карамян, директор внутреннего аудита ПАО «Вымпелком» («Билайн»), уверен, что в фокусе руководителей внутреннего аудита должно быть постоянное увеличение и улучшение инструментария по аналитике данных, а также повышение навыков и квалификации сотрудников ВА в этом направлении.

Процессную аналитику  используют 12% опрошенных, решения класса GRC – 8%,  RPA  для выполнения аудиторских процедур – еще 8%.

Варвара Солодилова, руководитель направления аналитики, группа компаний «Иннотех», отмечает, что в текущем году в части автоматизации процессов внутреннего аудита вырос спрос на решения с применением искусственного интеллекта, однако полезность и эффективность применения технологий ИИ остается дискуссионной и требующей тщательной подготовки к полноценному использованию.

Василий Чесалов, менеджер по управлению рисками, управление по внутреннему контролю и аудиту, АО «АВТОВАЗ», так прокомментировал результаты исследования: «Использование СВА технологических решений зависит от специфики компании и уровня ее цифровизации, а также от структуры плана внутреннего аудита. Например, такие решения, как RPA, применимы в тех случаях, когда в плане аудита из года в год присутствуют стандартизованные проверки с большим количеством рутинных операций, часто связанных со сбором и первичной обработкой новой информации. Наоборот, использование SQL характерно для нестандартных аналитических задач на хорошо структурированных данных. 

Другое интересное наблюдение состоит в том, что применение аудиторами систем класса Business Intelligence (таких как SAS или Power BI) может говорить об активном взаимодействии СВА с менеджментом в рамках предоставления консультационных услуг.

Можно предположить, что в условиях международных санкций использование аудиторами проприетарных систем (включая бренды Microsoft) будет неуклонно снижаться в пользу открытого программного обеспечения или собственных разработок, этот тренд уже виден сейчас».

При этом Денис Беляев, генеральный директор компании «Технологии и Бизнес» («Технологии. Автоматизация. Бизнес», ТАБ), затрагивает очень важный аспект автоматизации – наличие самих данных и в нужном качестве: «Несмотря на акцент на «модных» инструментах, у нас не хватает на сегодня базового инструментария автоматизации корпоративного управления. Мы говорим про визуализацию данных, но необходимых данных нет. Мы говорим про автоматизацию с помощью process mining, но нет даже списка процессов. Мое мнение, что нужно сперва доорганизовать и автоматизировать базовые функции корпоративного управления. Должна быть база данных, содержащая контроли, процессы, виды рисков, ключевые индикаторы рисков (КИР), меры, и потом их расширять «модным» инструментарием. Например, должен быть централизованный реестр контролей, дат и результатов их выполнения, тогда можно воспользоваться визуализацией на основе BI, чтобы обработать эти данные быстро и эффективно».

Технологические решения, которые СВА планируют начать использовать в ближайшие три года

42% опрошенных отметили, что в ближайшие три года планируют начать использовать инструменты извлечения и анализа данных, отличные от MS Excel, процессную аналитику (37%) и разрабатывать собственные скрипты для автоматизированного выполнения отдельных аудиторских процедур (37%).

По мнению Полины Сусловой, руководителя направления внедрения информационных систем компании «Квадриум-Системы», хотя данные технологические инструменты напрямую и не предназначены для генерации прибыли организации, но они при этом позволяют повысить качество и прозрачность процессов внутреннего аудита, оцифровать и снизить затраты на проведение аудита, а также уменьшить потери от реализации рисков, в том числе за счет превентивного выявления недостатков и ускорения реагирования на выявленные нарушения.

Варвара Солодилова, руководитель направления аналитики, группа компаний «Иннотех», комментирует, что драйверами внедрения автоматизированных решений для задач СВА может быть повышение эффективности выявления областей для улучшения в процессах организации: GRC-система помогает усилить вовлечение первой и второй линии защиты в анализ рисков, повышает прозрачность информации, помогает выявить взаимосвязи, что позволяет обеспечить полноту информации и получить более качественные выводы. Совместная работа трех линий защиты в едином инструменте – один из источников более быстрого внедрения изменений.

Среди 25% СВА, которые не используют технологические решения, две трети не планируют их внедрять в ближайшие три года. В качестве основных причин, почему СВА не применяют или не планируют применять технологические решения в своей работе, респонденты указывали следующие причины:

1. недостаточный уровень автоматизации процессов в организации, чтобы обеспечить эффективное использование таких инструментов (71%);

2. недостаточный бюджет внутреннего аудита для приобретения/разработки таких инструментов (41%);

3. недостаточный уровень компетенций внутренних аудиторов для применения таких инструментов (41%);

4. неочевидные преимущества использования таких инструментов по сравнению с затратами на их внедрение и применение (35%);

5. низкое качество данных в информационных системах организации, не позволяющее эффективно использовать такие инструменты (25%).

Николай Шумилов, начальник управления внутреннего аудита группы компаний «Мангазея», особо подчеркивает проблему недостаточного уровня автоматизации процессов во многих российских организациях (включая строительные компании) в части именно отсутствия цифровых следов проверяемых процессов (бумажный документооборот). Вдобавок присутствуют проблемы разрозненных источников хранения информации и неинтегрируемые базы данных. По мнению Николая Шумилова, именно это является основной причиной того, почему СВА не применяют технологические решения в своей работе.

С Н. Шумиловым и Д. Беляевым согласен и Василий Чесалов, менеджер по управлению рисками, управление по внутреннему контролю и аудиту, АО «АВТОВАЗ», и делится собственной практикой: «Недостаточный уровень автоматизации бизнес-процессов и низкое качество данных действительно препятствуют использованию технологических инструментов и повышению эффективности внутреннего аудита. По нашему опыту, использование технологических решений необязательно сталкивается с бюджетными ограничениями. Например, связка SQL и скриптов собственной разработки (например, на Python) не требует дополнительных затрат и обладает достаточной гибкостью и мощностью для решения огромного числа задач. Для применения подобных инструментов требуется определенный уровень компетенций, однако необходимые навыки можно вырастить внутри СВА за разумное время, в пределах одного-двух лет».

Павел Нагорнов, директор по внутреннему аудиту ПАО «ФосАгро», поддерживает коллег в том, что основная проблема при организации непрерывного аудита – отсутствие архива данных, особенно в системах, связанных с производством, и уточняет, что сейчас повсеместно идет процесс импортозамещения ПО, аудиторам необходимо держать «руку на пульсе», чтобы при внедрении новых систем были учтены и их требования к качеству и полноте данных.

Алексей Чернышев, директор по продуктам АВАКОР компании «Диджитал Дизайн», отмечает: «Действительно, для эффективного использования инструментов data и process mining критически важно, чтобы данные и процессы были оцифрованы, что зависит от общего уровня зрелости ИТ-систем организации. Тем не менее за границами нейросетей, роботов, аналитики данных и process mining есть и такие на первый взгляд более «скучные» и «нетехнологичные» решения, как автоматизация рабочих процессов СВА, отслеживание исполнения корректирующих мероприятий, управление аудиторскими проектами. Подобные автоматизированные системы не требуют ИТ-компетенций от аудиторов, но при этом являются «корневыми», формирующими экосистему и единую среду для взаимодействия СВА, служб внутреннего контроля, управления рисками и менеджмента организации. Ценность таких средств автоматизации заключается в снижении рисков, повышении сумм обнаружений, сплошном контроле внедрения рекомендаций, постоянном развитии и совершенствовании работы СВА». 

Денис Беляев, генеральный директор компании «Технологии и Бизнес» («Технологии. Автоматизация. Бизнес», ТАБ), видит проблему в том числе в низком уровне знаний о корпуправлении в целом: «Думаю, основная проблема недостатка финансирования СВА или эффективного применения инструментария – это низкий уровень знаний корпоративного управления на уровне менеджмента, причем критичны знания именно советов директоров и исполнительного органа. Мы видим даже в ведущих вузах, что задачам корпоративного управления отводится малая часть курса, а в каких-то учебных учреждениях – отсутствует вовсе. Независимые директора не знают, что такое управление рисками, внутренний контроль и внутренний аудит, не умеют читать соответствующую отчетность, не то чтобы требовать какого-либо исполнения на уровне исполнительного органа и руководителей подразделений. Мое мнение, сперва нам надо сконцентрироваться на развитии риск-культуры, интегрировать ее в корпоративное управление, обеспечить внутренние учебные курсы и аттестации, а технологические инструменты могут только помочь в проставлении акцентов у некоторых технологически ориентированных ответственных лиц управления организацией. А сперва нужно сосредоточиться на простых недорого внедряемых технологических инструментах, помогающих здесь и сейчас конкретно службе внутреннего аудита выполнять свою прямую работу». 

Типы аудитов, для которых используются средства анализа данных

Средства анализа данных главным образом используются СВА для проверки закупок (71%), запасов (46%) и бухгалтерского, управленческого учета и отчетности (35%). 

15% респондентов не используют средства анализа данных, отличные от MS Excel. Около трети служб внутреннего аудита используют инструмент анализа данных для осуществления непрерывного аудита.

Полина Суслова, руководитель направления внедрения информационных систем компании «Квадриум-Системы», подтверждает, что инструменты автоматизации могут существенно повысить эффективность и расширить сферу применения непрерывного аудита: например, формировать готовые интерактивные панели мониторинга и дашборды для оперативного анализа информации, выявлять отклонения от заданных целевых значений, аномалии и негативные тренды по наблюдаемым бизнес-процессам и зонам внимания, которые включены в периметр наблюдения службы внутреннего аудита.

По мнению Дениса Беляева, генерального директора компании «Технологии и Бизнес» («Технологии. Автоматизация. Бизнес», ТАБ), такая статистика показывает смешение функций внутреннего контроля с функцией внутреннего аудита: «При организованном внутреннем контроле нет необходимости делать акцент на конкретных операционных процессах, уделяя больше времени корпоративному управлению и деятельности компании в целом. По закупкам может быть больше процедур внутреннего контроля или автоматизированных инструментов на уровне менеджмента, но это не должно сказываться на объеме и инструментарии СВА. Скорее всего, статистика демонстрирует прямое указание менеджментом фокуса службе внутреннего аудита на конкретные операционные процессы. Считаю, что эту тенденцию надо ломать, возлагая соответствующий контроль на «первую» и «вторую» линию защиты. Лично мое ожидание, что в списке процессов должны быть акценты на процессы корпоративного управления, а не непосредственно операционной деятельности».

Использование специализированного программного обеспечения для целей внутреннего аудита

Около половины респондентов (48%) указали, что СВА не использует специализированное программное обеспечение для целей внутреннего аудита, что сопоставимо с данными 2021 года. Увеличилась доля использования ПО собственной разработки – в настоящее время его используют 17% СВА, в 2021 году – лишь 7%.

При этом 61% компаний-респондентов из не использующих специальное программное обеспечение для ВА, не планируют его внедрять в ближайшие два года. По мнению Павла Нагорнова, директора по внутреннему аудиту ПАО «ФосАгро», необходимость в таком ПО возникает при территориальной разобщенности команды, большой численности персонала.

Алексей Чернышев, директор по продуктам АВАКОР компании «Диджитал Дизайн», подтверждает, что, исходя из практики, в последние два-три года значительного роста новых проектов автоматизации, т.е. начала использования специализированного ПО теми службами внутреннего аудита, которые его ранее не использовали, не наблюдается: «Такой рост гораздо более заметен в области внедрения ПО для управления рисками. Крупные службы внутреннего аудита начали автоматизировать процессы достаточно давно, и во многих службах соответствующие решения успешно эксплуатируются несколько лет. Но это не значит, что в области автоматизации процессов СВА ничего не происходит – напротив, в последние полтора года очень активно идет процесс импортозамещения ушедших или уходящих решений западных вендоров на российские. Мы наблюдаем взрывной рост числа российских решений для автоматизации служб корпоративного контроля, и в настоящий момент именно российские продукты являются средствами «первого выбора» для тех, кто планирует автоматизацию».

Специализированное программное обеспечение главным образом применяется для мониторинга процесса исправления замечаний и исполнения рекомендаций по результатам аудитов (38%), оформления рабочих бумаг аудиторов (34%) и хранения рабочих бумаг аудиторов (34%). Только 25% респондентов используют программное обеспечение для годового планирования и 28% – для планирования аудиторских проверок.

Варвара Солодилова, руководитель направления аналитики, группа компаний «Иннотех», делится опытом в части автоматизации процессов ВА: комплексная GRC-платформа позволяет автоматизировать все ключевые процессы ВА – долгосрочное планирование, планирование проверок, управление методологическими документами, проведение проверок, разработка и мониторинг рекомендаций, учет рабочего времени, проведение опросов и самооценок, управление событиями реализации рисков, управление ESG и непрерывностью бизнеса.

По словам Василия Чесалова, менеджера по управлению рисками, управление по внутреннему контролю и аудиту, АО «АВТОВАЗ», ранее в компании использовалось ПО TeamMate для планирования и контроля аудиторских проверок, но, несмотря на положительный опыт использования, не планируется внедрять специализированное программное обеспечение в ближайшее время в связи с санкционными рисками.

Из-за ухода иностранных вендоров резко вырос спрос на создание современного отечественного ПО для служб внутреннего аудита. Как говорит Денис Беляев, генеральный директор компании «Технологии и Бизнес» («Технологии. Автоматизация. Бизнес», ТАБ), крупные консалтинговые компании до 2022 года предпочитали работать с иностранными вендорами, но ситуация резко изменилась, и сейчас они активно делятся своим опытом для создания действительно серьезных типовых отечественных решений. Непосредственно ТАБ планирует выпуск массового доступного решения с применением современных технологий, в т.ч. искусственного интеллекта, уже весной 2024 г.

Полина Суслова, руководитель направления внедрения информационных систем компании «Квадриум-Системы», отмечает, что в последние годы в фокусе внимания менеджмента также стоит задача по расчету стоимости функции внутреннего контроля и внутреннего аудита, для реализации которой возникает запрос на программное обеспечение. Оно необходимо, чтобы аккумулировать и систематизировать сведения о расходах на проведение внутреннего аудита, аллоцировать трудозатраты на предметы и задания аудита, рассчитать стоимость мероприятий по устранению выявленных нарушений и контроль эффекта проведенных мероприятий на уровень рисков (насколько снизились стоимость риска и уровень потерь после проведенных мероприятий).

Владимир Серкин, руководитель департамента внутреннего аудита, ПАО «Вымпелком» («Билайн»), уверен, что современные функции внутреннего аудита (особенно в крупных компаниях) не могут больше основываться на выборочном тестировании, потому что оно трудоемко и не эффективно. В связи с этим целесообразно разово вложить трудовые и финансовые ресурсы в развитие сотрудников, приобретение ПО, наем специализированных дата-аналитиков, чтобы перевести работу внутреннего аудита на рельсы автоматизации и сплошных проверок с помощью дата-аналитики, что в будущем существенно повысит эффективность. 

Статья предоставлена Ассоциацией «Институт внутренних аудиторов»