Инновации и внутренний аудит. Что актуально?

Материал подготовлен  Ассоциацией «Институт внутренних аудиторов»  при участии Сергея Скуредина, менеджера отдела методологии, финансового и операционного аудита департамента внутреннего аудита ПАО «Аэрофлот».

Организации по всему миру все активнее внедряют инновации и прорывные технологии. Хотя эти изменения имеют  положительные эффекты , они также связаны с новыми, а иногда и неизвестными рисками. Внутренние аудиторы, как  доверенные советники и поставщики гарантий , могут внести свой вклад в принятие решений в области инноваций. Однако все это может быть сложной задачей для службы внутреннего аудита, если она недостаточно информирована об изменениях или не подготовлена к ним.

Актуальные инновации

В соответствии с данными, полученными IIA в ходе исследования, определены наиболее часто встречающиеся новшества и революционные технологии, которые внутренние аудиторы должны быть готовы включить в план аудита: 

1. анализ данных – математические методы и вычислительные алгоритмы, используемые для извлечения знаний из необработанных источников информации;

2. облачные вычисления – практика использования набора удаленных вычислительных ресурсов для хранения, управления и обработки данных вместо персонального компьютера или локальных серверов;

3. agile-методология – подход к управлению проектами, целью которых является создание продукта высокого качества в короткие сроки. Часто включает короткие  итерации  по созданию рабочих версий продукта и с доведением их впоследствии до полноценного продукта в соответствии с изменяющимися требования заказчика;

4. мобильные технологии  – использование технологий сотовых сетей для подключения телефонов, планшетов или ноутбуков к процессам обмена и обработки информации;

5. роботизированная автоматизация процессов  – тип автоматизации процессов, который позволяет создавать «бота», выполняющего  рутинные , систематические задачи;

6. непрерывный аудит – использование автоматизированных методов для выполнения аудиторских мероприятий и задач на постоянной основе – в режиме реального или близко к реальному времени, ранее выполнявшихся в ручном режиме;

7. новые организационные стратегии – как новшество относится к изменениям в бизнесе, например, в связи с реализацией новой стратегии или/и новой бизнес-модели, выходом на новый рынок, изменениями каналов продаж, переходом на новые технологические процессы;

8. искусственный интеллект  – использование компьютерных технологий для выполнения задач, которые обычно требуют человеческого мышления или суждения;

9. изменения в законодательстве – широкий спектр нормативных изменений, которые влияют на организации: например,  отраслевые ,  по видам деятельности ;  

10. цифровая трансформация – трансформация бизнес-модели за счет использования цифровых технологий, открывающая новые возможности для увеличения эффективности деятельности организаций и ценности для клиентов.

Пока редко встречаются такие прорывные технологии, как использование дронов, блокчейн, беспилотные автомобили, умные города, интернет вещей,  VR / AR  -технологии и так далее.

Практика Tele2

Юлианна Бочарова, руководитель направления по общему аудиту, Tele2:

• Телеком – это отрасль, где анализ больших данных стал актуален уже давно, методы анализа непрерывно развиваются и совершенствуются. Внутренний аудит столкнулся с необходимостью подобных компетенций внутри подразделения для того, чтобы не только проверять, насколько качественно анализируются данные в компании, но и быть способным давать консультации о повышении потенциала использования результатов анализа больших данных. В настоящий момент собственная экспертиза в различных методах анализа данных широко применяется практически во всех аудитах бизнес-процессов.

• В компании реализованы технологии подобные облачным сервисам. В рамках проведения проверок внутренний аудит оценивает эффективность и достаточность контролей хранения, управления и обработки данных при использовании облачных решений.

• В Tele2 широко распространен Agile, например, при внедрении новых ИТ-решений, разработке цифровых продуктов и тому подобном. Внутренние аудиторы проходили обучение такому подходу для целей проведения проверок. Также подразделение внутреннего аудита пробует применять agile-подход и для аудиторских проектов.    

• Безусловно, работая в телекоммуникационной компании, внутренний аудит широко применяет мобильные технологии в своей работе, а также обладает компетенциями для проведения проверок внедрения таких технологий в компании и для оценки рисков ИБ при их использовании.

• Непрерывный аудит в Tele2 используется, например, в процессах логистики и мобильной коммерции.

• В план проверок  ДВА пока не включалось такое направление, как новые организационные стратегии. Однако в части консалтинга внутренний аудит может привлекаться для выявления и оценки потенциальных рисков при рассмотрении новых организационных стратегий. Внутренний аудит также привлекается для консультаций по законотворческим инициативам и по вопросам соответствия действующему законодательству в области информационной безопасности.

подробнее

Быть готовым

Внедрение инноваций в компании приводит к изменениям в работе внутреннего аудита. Аналогично проведение  инновационных изменений внутренним аудитом  может повлиять на организацию. При этом инновационные решения внедряются по-разному. Например, служба внутреннего аудита привлекается к обсуждениям, связанным с решением о внедрении инноваций, далеко не во всех организациях.

Поскольку у менеджмента нет обязанности привлекать внутренний аудит к вопросу внедрения инноваций, службе внутреннего аудита стоит проявлять инициативу самой. Ведь если она не участвует в принятии инновационных решений или не информирована о них на ранних этапах процесса, она может быть не готова предоставить гарантии или консультационные услуги в отношении данных изменений. Это может снизить способность внутреннего аудита справляться с рисками, возникающими в результате внедрения инноваций, тем самым подвергая риску организацию в целом. 

По словам Никиты Масюка, руководителя внутреннего аудита АО «Россети Тюмень», высокий уровень взаимодействия внутреннего аудита с менеджментом компании позволил на первом этапе разработки долгосрочной программы развития включиться в ее обсуждение. Таким образом внутренний аудит смог оценить границы разрабатываемого документа в уже утвержденных стратегических программах и планах. Такое сотрудничество взаимовыгодно для исполнительного менеджмента и внутреннего аудита, который в том числе повышает внутрикорпоративный имидж советника руководства.

Участие внутреннего аудита может быть реализовано через членство в управляющем комитете или комитете по рискам. Таким образом внутренний аудит может вносить свой вклад, не будучи консультантом и не нарушая принципы  трех линий [защиты] . 

Сергей Петров, заместитель начальника управления внутреннего аудита, ПАО «Юнипро», делится опытом: «В компании с 2021 года был запущен гибкий подход к планированию аудитов, который заключается в составлении так называемого «пула» аудиторских тем, из которого ежеквартально выбирают наиболее востребованные. При этом фиксированный годовой план аудитов отсутствует. Подобный подход позволяет оперативно реагировать на изменения в компании, запросы от комитета по аудиту и правления. Инновации определенно являются одной из «горячих» тем, предлагаемых внутреннему аудиту на рассмотрение».

Меняется аудит – меняется персонал

Многие из инноваций влекут за собой значительные изменения в технологиях или процессах, используемых для достижения организационных целей. Поэтому службе внутреннего аудита, скорее всего, потребуется изменить свой подход, персонал или набор навыков, чтобы она могла продолжать приносить пользу и предоставлять гарантии в условиях таких изменений. Наиболее распространенными изменениями в  СВА  являются повышение квалификации, специфичной для инновации, и пересмотр вселенной аудита и/или годового плана с целью сосредоточения внимания на новых (рисковых) областях. Сергей Петров, заместитель начальника управления внутреннего аудита, ПАО «Юнипро», отмечает, что в структуре внутреннего аудита компании существует негласное разделение специалистов по областям аудита, таким как финансы, охрана труда, производственная деятельность, ИТ. Именно наличие глубоких знаний и навыков в последней области остается самым востребованным при планировании и проведении аудитов.

Практика «Ренессанс страхование»

Мария Кедрова,  директор управления внутреннего аудита, «Ренессанс страхование» :  

Для того чтобы быть готовыми к любым вызовам и аудитам любых направлений, мы постоянно повышаем свой профессиональный уровень: развиваем ИТ- и аналитические компетенции СВА, собираем информацию по новым методикам (scrum, agile), бенчмаркам и пр. К примеру, в настоящее время мы проводим аудит эффективности работы scrum-команд по урегулированию убытков.

Поскольку в нашей компании, да и в мире, на первый план выходят риски, связанные с информационными технологиями, в 2019 году мы начали развивать функцию ИТ-аудита. Хочу отметить, что ИТ-аудитор проверяет не только ИТ-процессы, но и вовлекается в проверки бизнес-процессов для оценки ИТ-составляющей.

Если говорить о процессах внутреннего аудита, то мы также внедряем инновационные подходы: 

• развиваем аналитическую функцию в аудите (SQL, анализ больших массивов данных);

• используем элементы  канбан  для трекинга выполнения аудиторского плана;

• используем электронные опросники удовлетворенности внутренних клиентов;

• используем гибкий подход при реализации аудиторского плана .

Кроме того, в процессе создания находится интерактивная группа СВА на интернет-портале для дополнительного обмена информацией с аудируемыми лицами. Уже сейчас участники группы могут ознакомиться в ней с ключевыми документами и процессами СВА, что способствует повышению прозрачности коммуникации и уровня доверия со стороны внутренних клиентов.

Из планов на будущее: разработка единой совместной информационной среды для автоматизации процессов внутреннего аудита, риск-менеджмента и комплаенс.

Такая система (по типу GRC) позволит, например, в онлайн-режиме синхронизировать данные по оценке рисков, проводимой на постоянной основе подразделением риск-менеджмента, с итогами аудиторских проверок и актуализировать реестр рисков компании.

подробнее

Чаще всего руководители внутреннего аудита полагают, что их существующий персонал может эффективно предоставлять гарантии в отношении инноваций. В частности, они предпочитают повышать уровень подготовки, а не изменять штатную численность, нанимать новых аудиторов с другим набором навыков или использовать аутсорсинг. Такой подход, например, существует и в Tele2. Юлианна Бочарова, руководитель направления по общему аудиту, Tele2, уточняет, что изначально подход к набору сотрудников в команду внутреннего аудита сфокусирован на способности кандидатов быстро обучаться, развиваться и применять новые знания на практике, поэтому все члены команды довольно гибко адаптируются к изменениям и осваивают нужные навыки.  

В целом ключом к успешному реагированию на организационные инновации остается хорошее знание методологии аудита, рисков и контроля. Эти базовые для эффективной работы внутреннего аудита принципы по-прежнему имеют решающее значение. Вместе с тем замечен тренд востребованности навыков генерации идей, новых способов снижения рисков и решения проблем.

Некоторые из нововведений могут напрямую влиять на внутренний аудит. Например, такие инновационные методы, как анализ данных, RPA и искусственный интеллект, часто являются новыми инструментами, используемыми самими внутренними аудиторами для повышения их эффективности. Роман Куликов, начальник отдела аналитики блока внутреннего аудита ПАО «МТС»: «Написание скриптов с использованием языков программирования и применение специализированных BI-решений может не только повысить  эффективность выполнения стандартных процедур в рамках аудиторских проверок , но и автоматизировать рутинные операции внутри подразделения внутреннего аудита. Например, в одном из наших проектов мы собрали и визуализировали на дашбордах информацию по оценке компетенций сотрудников внутреннего аудита для более осознанного выбора стратегии дальнейшего обучения. В планах до конца года также автоматизация отчетности по единой горячей линии и контроля за выполнением планов по устранению недостатков».

Статья подготовлена Ассоциацией «Институт внутренних аудиторов»  на основе результатов глобального исследования, проведенного Международным институтом внутренних аудиторов (IIA) в 2019 году.

О том, как внутреннему аудиту эффективно реагировать на инновации, читайте в следующей статье из цикла «Инновации и внутренний аудит».