Все ушли, а мы остались

Первую часть обзора конференции Ассоциации «Институт внутренних аудиторов» «Внутренний аудит в России» можно почитать в статье «Актуальные задачи внутреннего аудита»

Все спикеры конференции отмечали важность автоматизации и работы с данными. Ситуация, сложившаяся в России в 2022-2023 годах, привела к уходу иностранных производителей  программного обеспечения . Согласно исследованию GRC market review, основными игроками мирового рынка такого рода ПО были представители США и Германии. Таким образом, практически все представленные в мире программные продукты перестали работать в России. По словам Дениса Беляева, директора компании «Технологии. Автоматизация. Бизнес.» («ТАБ»), ситуация сложилась для разных организаций по разным сценариям:

1. Пользователи облачных версий ПО, а также ПО, установленного на серверах в иностранных юрисдикциях, одномоментно потеряли доступ к своим информационным системам;

2. Вышестоящая организация разрешила сохранить доступ к информационной системе управления рисками на некоторое время – от трех месяцев до одного года;

3. Информационная система перешла во владение организации в российской юрисдикции, но при этом процессы выполнялись головной организацией, и существует потребность их восстановления.

Денис рассказал о программном продукте « GRC  учет рисковых событий», построенном на платформе «1С:Предприятие» и имеющем сертификаты  ФСТЭК   ОУД.4 , а также сертификат для обработки сведений под грифом «совершенно секретно». Ключевая идея продукта – это no-code решение с возможностью дополнительного расширения функционала в режиме low-code. Поставляется с полностью открытым исходным кодом. Функционал продукта характерен для всех продуктов GRC-класса, но при этом содержит как регуляторную специфику российской юрисдикции, так и инновационные функции, которые отсутствовали в иностранных системах, что было связано в первую очередь с использованием устаревших платформенных решений.  

Варвара Солодилова, руководитель группы аналитики, направление автоматизации нефинансовых рисков ГК «Иннотех», отметила, что требования к GRC-системам сильно разнятся и в зависимости от зрелости процессов в организации, и в зависимости от основного драйвера автоматизации: внутренний аудит, внутренний контроль, бизнес-подразделения или служба управления рисками. Однако есть общие тенденции в ожиданиях от автоматизированных инструментов для процессов внутреннего аудита и риск-менеджмента – это комплексность, адаптивность, гибкость и привлекательность для конечных пользователей: 

• комплексность – возможность покрыть весь список бизнес-процессов, требующих автоматизации, а также обеспечить синергию от использования единого инструмента для таких процессов;

• адаптивность – возможность обеспечить соответствие архитектурным требованиям заказчика;

• гибкость – возможность оперативно реализовать дополнительный функционал, а также способность менять уже действующий функционал в связи с изменениями процесса и новыми идеями пользователей;

• привлекательность – самый субъективный, но в то же время очень важный тренд в требованиях к современной GRC-системе. ПО должно быть понятным в работе, должно помогать и подсказывать.

В части помощи и подсказок развитие GRC-систем постепенно идет в сторону применения искусственного интеллекта. Технологии ИИ уже нашли применение в некоторых процессах управления рисками в части автоматического отслеживания изменений требований регуляторов, а также в поиске дубликатов событий реализации риска и инцидентов  СВК , однако возможности применения ИИ гораздо шире: автоматическое планирование проверочной деятельности, автоматизация тестирования контрольных процедур, формирование драфтов выводов и формулировок по рискам и контрольным процедурам, генерация шагов плана по минимизации риска, анализ рисков бизнес-процессов и другие задачи. Платформа ОАЗИС от «Иннотех» дает организации возможность выстроить все процессы управления на единой платформе, развивать функционал и накапливать данные, добавляя возможность применять ИИ на той же самой платформе.

Но есть компании финансового и реального сектора, которые сами разрабатывают ПО и даже выходят с ним на внешний рынок. Один из таких примеров – Sber Process Mining. Динар Галин, руководитель направления по развитию Sber Process Mining, ПАО «Сбербанк», и Кирилл Лисенков, руководитель направления по исследованию данных, ПАО «Сбербанк», рассказали о нем подробнее. СВА «Сбера» применяет Process Mining в своей работе уже несколько лет. Для проведения проверок последние два года в СВА используют инструментарий собственной разработки «Сбера» – платформу и python-библиотеку Sber Process Mining. Они интегрированы во внутреннюю ИТ-инфраструктуру «Сбера», что позволяет без лишних действий анализировать данные по процессам. Платформа Sber Process Mining представлена тремя инструментами, позволяющими проводить глубинный анализ бизнес-процессов: 

1. Граф и BPMN. Позволяют построить схему процесса в виде интерактивного графа или в нотации BPMN, а также провести сравнение реального процесса с эталонной моделью;

2. Business Intelligence: метрики, графики, таблицы. Инструмент включает более 40 различных виджетов для полноценной BI-аналитики, автоматическую проверку данных, вычисление метрик процесса, а также готовые аналитические панели;

3. Machine Learning. В текущей версии платформы представлены восемь ML-модулей, например, модули факторного анализа, поиска «счастливого пути» процесса, автоматического поиска инсайтов и построения автоматического отчета.

Кроме того, внутри СВА запущена Школа Process Mining исследований, куда аудиторские команды могут прийти со своими кейсами и получить помощь как на этапах поиска и предобработки данных, так и на этапах анализа и интерпретации результатов. 

Автоматизация процессов считается неотъемлемой частью внедрения непрерывного аудита. Однако далеко не все компании в России полностью автоматизированы. Николай Шумилов, начальник управления внутреннего аудита группы компаний «Мангазея», поделился необычным опытом внедрения непрерывного аудита, отдельно остановившись на специфике  компаний строительной отрасли :

• сложно выстроить работающую систему контролей из-за отсутствия постоянных структурных единиц, исчезающих после сдачи проекта и собираемых по-новому в зависимости от специфики нового объекта;

• постоянные сложности налаживания и обеспечения контроля в условиях удаленного объекта строительства, отсутствия оргтехники и современных средств коммуникации. И как результат: задержки в документальном оформлении первичных документов (они не фиксируют, как должны, факт финансово-хозяйственной деятельности, а делаются «задним» числом в конце отчетного месяца, а то и в конце квартала), неточности, ошибки, умышленные искажения, которые невозможно своевременно отследить;

• во время выполнения строительно-монтажных работ подрядчиками крайне неудовлетворительно оформляется или вообще не оформляется документация на выполняемые работы и применяемые материалы;

• существуют законодательные требования по хранению исполнительной документации в материальном виде и ее ежедневному заполнению (например, общие и специальные журналы работ, журнал ухода за бетоном и т.д.). Ни унифицировать, ни оцифровать такие документы не представляется возможным. Например, на крупной стройке вес только одних рапортов о работе машин и механизмов (ф. ЭСМ-3) за 1 квартал составил 346 кг.

Все это ведет к тому, что огромные объемы данных о процессах в строительной компании не оцифрованы. Хранение информации осуществляется в разрозненных базах данных или в папках разных подразделений, доступ к которым зачастую еще и ограничен. Очевидно, что при таком уровне работы с данными у внутреннего аудита не так много возможностей для проведения непрерывного аудита, где обычно используются автоматизированные инструменты для мониторинга бизнес-процессов и анализа данных в режиме реального времени, а его реализация возможна только в случае стандартизированных процессов.

Но, по словам Николая, даже в такой ситуации подразделению внутреннего аудита удалось организовать непрерывный аудит, пусть и с помощью не совсем обычных методов:

1. отдельные направления и бизнес-процессы организации распределены между сотрудниками СВА, получены доступы к соответствующей информации, а также к камерам видеонаблюдения на строительных площадках;

2. налажено тесное взаимодействие со службой строительного контроля, отделом охраны труда и представителем СБ на строительной площадке;

3. внутренние аудиторы по своим направлениям сформировали систему индикаторов, которые на постоянной основе (не обязательно ежедневно, но хотя бы раз в неделю) они собирают и агрегируют в собственных таблицах или записях;

4. по выявленным проблемам сразу же составляются справки и информируется руководство, которое назначает ответственного, а тот определяет исполнителей.

В такой форме непрерывного аудита реализуется предварительный и текущий контроль с приоритетом предупреждения над пресечением. Его основной целью являются скорость устранения нарушений и минимизация воздействия на процессы компании возникающих рисков. 

Николай отметил, что с подачи Минстроя России активизирована работа по переводу строительного проектирования в 3D-формат. Тотальное введение  BIM-моделирования  способно нивелировать  многие риски  и значительно упростить внутреннему аудиту строительных компаний работу по выполнению своих обязанностей.

Следующая Национальная конференция Института внутренних аудиторов состоится 16-17 апреля 2024 года в Москве.

Статья предоставлена Ассоциацией «Институт внутренних аудиторов»