Материал подготовлен Ассоциацией «Институт внутренних аудиторов» при участии Сергея Скуредина, менеджера отдела методологии, финансового и операционного аудита департамента внутреннего аудита ПАО «Аэрофлот».
Организации по всему миру все активнее внедряют инновации и прорывные технологии. Хотя эти изменения имеют положительные эффекты , они также связаны с новыми, а иногда и неизвестными рисками. Внутренние аудиторы, как доверенные советники и поставщики гарантий , могут внести свой вклад в принятие решений в области инноваций. Однако все это может быть сложной задачей для службы внутреннего аудита, если она недостаточно информирована об изменениях или не подготовлена к ним.
Актуальные инновации
В соответствии с данными, полученными IIA в ходе исследования, определены наиболее часто встречающиеся новшества и революционные технологии, которые внутренние аудиторы должны быть готовы включить в план аудита:
-
анализ данных – математические методы и вычислительные алгоритмы, используемые для извлечения знаний из необработанных источников информации;
-
облачные вычисления – практика использования набора удаленных вычислительных ресурсов для хранения, управления и обработки данных вместо персонального компьютера или локальных серверов;
-
agile-методология – подход к управлению проектами, целью которых является создание продукта высокого качества в короткие сроки. Часто включает короткие итерации по созданию рабочих версий продукта и с доведением их впоследствии до полноценного продукта в соответствии с изменяющимися требования заказчика;
-
мобильные технологии – использование технологий сотовых сетей для подключения телефонов, планшетов или ноутбуков к процессам обмена и обработки информации;
-
роботизированная автоматизация процессов – тип автоматизации процессов, который позволяет создавать «бота», выполняющего рутинные , систематические задачи;
-
непрерывный аудит – использование автоматизированных методов для выполнения аудиторских мероприятий и задач на постоянной основе – в режиме реального или близко к реальному времени, ранее выполнявшихся в ручном режиме;
-
новые организационные стратегии – как новшество относится к изменениям в бизнесе, например, в связи с реализацией новой стратегии или/и новой бизнес-модели, выходом на новый рынок, изменениями каналов продаж, переходом на новые технологические процессы;
-
искусственный интеллект – использование компьютерных технологий для выполнения задач, которые обычно требуют человеческого мышления или суждения;
-
изменения в законодательстве – широкий спектр нормативных изменений, которые влияют на организации: например, отраслевые , по видам деятельности ;
-
цифровая трансформация – трансформация бизнес-модели за счет использования цифровых технологий, открывающая новые возможности для увеличения эффективности деятельности организаций и ценности для клиентов.
Пока редко встречаются такие прорывные технологии, как использование дронов, блокчейн, беспилотные автомобили, умные города, интернет вещей, VR / AR -технологии и так далее.
Практика Tele2
Юлианна Бочарова, руководитель направления по общему аудиту, Tele2:
-
Телеком – это отрасль, где анализ больших данных стал актуален уже давно, методы анализа непрерывно развиваются и совершенствуются. Внутренний аудит столкнулся с необходимостью подобных компетенций внутри подразделения для того, чтобы не только проверять, насколько качественно анализируются данные в компании, но и быть способным давать консультации о повышении потенциала использования результатов анализа больших данных. В настоящий момент собственная экспертиза в различных методах анализа данных широко применяется практически во всех аудитах бизнес-процессов.
-
В компании реализованы технологии подобные облачным сервисам. В рамках проведения проверок внутренний аудит оценивает эффективность и достаточность контролей хранения, управления и обработки данных при использовании облачных решений.
-
В Tele2 широко распространен Agile, например, при внедрении новых ИТ-решений, разработке цифровых продуктов и тому подобном. Внутренние аудиторы проходили обучение такому подходу для целей проведения проверок. Также подразделение внутреннего аудита пробует применять agile-подход и для аудиторских проектов.
-
Безусловно, работая в телекоммуникационной компании, внутренний аудит широко применяет мобильные технологии в своей работе, а также обладает компетенциями для проведения проверок внедрения таких технологий в компании и для оценки рисков ИБ при их использовании.
-
Непрерывный аудит в Tele2 используется, например, в процессах логистики и мобильной коммерции.
-
В план проверок ДВА пока не включалось такое направление, как новые организационные стратегии. Однако в части консалтинга внутренний аудит может привлекаться для выявления и оценки потенциальных рисков при рассмотрении новых организационных стратегий. Внутренний аудит также привлекается для консультаций по законотворческим инициативам и по вопросам соответствия действующему законодательству в области информационной безопасности.
Быть готовым
Внедрение инноваций в компании приводит к изменениям в работе внутреннего аудита. Аналогично проведение инновационных изменений внутренним аудитом может повлиять на организацию. При этом инновационные решения внедряются по-разному. Например, служба внутреннего аудита привлекается к обсуждениям, связанным с решением о внедрении инноваций, далеко не во всех организациях.
Поскольку у менеджмента нет обязанности привлекать внутренний аудит к вопросу внедрения инноваций, службе внутреннего аудита стоит проявлять инициативу самой. Ведь если она не участвует в принятии инновационных решений или не информирована о них на ранних этапах процесса, она может быть не готова предоставить гарантии или консультационные услуги в отношении данных изменений. Это может снизить способность внутреннего аудита справляться с рисками, возникающими в результате внедрения инноваций, тем самым подвергая риску организацию в целом.
По словам Никиты Масюка, руководителя внутреннего аудита АО «Россети Тюмень», высокий уровень взаимодействия внутреннего аудита с менеджментом компании позволил на первом этапе разработки долгосрочной программы развития включиться в ее обсуждение. Таким образом внутренний аудит смог оценить границы разрабатываемого документа в уже утвержденных стратегических программах и планах. Такое сотрудничество взаимовыгодно для исполнительного менеджмента и внутреннего аудита, который в том числе повышает внутрикорпоративный имидж советника руководства.
Участие внутреннего аудита может быть реализовано через членство в управляющем комитете или комитете по рискам. Таким образом внутренний аудит может вносить свой вклад, не будучи консультантом и не нарушая принципы трех линий [защиты] .
Сергей Петров, заместитель начальника управления внутреннего аудита, ПАО «Юнипро», делится опытом: «В компании с 2021 года был запущен гибкий подход к планированию аудитов, который заключается в составлении так называемого «пула» аудиторских тем, из которого ежеквартально выбирают наиболее востребованные. При этом фиксированный годовой план аудитов отсутствует. Подобный подход позволяет оперативно реагировать на изменения в компании, запросы от комитета по аудиту и правления. Инновации определенно являются одной из «горячих» тем, предлагаемых внутреннему аудиту на рассмотрение».
Меняется аудит – меняется персонал
Многие из инноваций влекут за собой значительные изменения в технологиях или процессах, используемых для достижения организационных целей. Поэтому службе внутреннего аудита, скорее всего, потребуется изменить свой подход, персонал или набор навыков, чтобы она могла продолжать приносить пользу и предоставлять гарантии в условиях таких изменений. Наиболее распространенными изменениями в СВА являются повышение квалификации, специфичной для инновации, и пересмотр вселенной аудита и/или годового плана с целью сосредоточения внимания на новых (рисковых) областях. Сергей Петров, заместитель начальника управления внутреннего аудита, ПАО «Юнипро», отмечает, что в структуре внутреннего аудита компании существует негласное разделение специалистов по областям аудита, таким как финансы, охрана труда, производственная деятельность, ИТ. Именно наличие глубоких знаний и навыков в последней области остается самым востребованным при планировании и проведении аудитов.
Практика «Ренессанс страхование»
Мария Кедрова, директор управления внутреннего аудита, «Ренессанс страхование» :
Для того чтобы быть готовыми к любым вызовам и аудитам любых направлений, мы постоянно повышаем свой профессиональный уровень: развиваем ИТ- и аналитические компетенции СВА, собираем информацию по новым методикам (scrum, agile), бенчмаркам и пр. К примеру, в настоящее время мы проводим аудит эффективности работы scrum-команд по урегулированию убытков.
Поскольку в нашей компании, да и в мире, на первый план выходят риски, связанные с информационными технологиями, в 2019 году мы начали развивать функцию ИТ-аудита. Хочу отметить, что ИТ-аудитор проверяет не только ИТ-процессы, но и вовлекается в проверки бизнес-процессов для оценки ИТ-составляющей.
Если говорить о процессах внутреннего аудита, то мы также внедряем инновационные подходы:
-
развиваем аналитическую функцию в аудите (SQL, анализ больших массивов данных);
-
используем элементы канбан для трекинга выполнения аудиторского плана;
-
используем электронные опросники удовлетворенности внутренних клиентов;
-
используем гибкий подход при реализации аудиторского плана .
Кроме того, в процессе создания находится интерактивная группа СВА на интернет-портале для дополнительного обмена информацией с аудируемыми лицами. Уже сейчас участники группы могут ознакомиться в ней с ключевыми документами и процессами СВА, что способствует повышению прозрачности коммуникации и уровня доверия со стороны внутренних клиентов.
Из планов на будущее: разработка единой совместной информационной среды для автоматизации процессов внутреннего аудита, риск-менеджмента и комплаенс.
Такая система (по типу GRC) позволит, например, в онлайн-режиме синхронизировать данные по оценке рисков, проводимой на постоянной основе подразделением риск-менеджмента, с итогами аудиторских проверок и актуализировать реестр рисков компании.
Чаще всего руководители внутреннего аудита полагают, что их существующий персонал может эффективно предоставлять гарантии в отношении инноваций. В частности, они предпочитают повышать уровень подготовки, а не изменять штатную численность, нанимать новых аудиторов с другим набором навыков или использовать аутсорсинг. Такой подход, например, существует и в Tele2. Юлианна Бочарова, руководитель направления по общему аудиту, Tele2, уточняет, что изначально подход к набору сотрудников в команду внутреннего аудита сфокусирован на способности кандидатов быстро обучаться, развиваться и применять новые знания на практике, поэтому все члены команды довольно гибко адаптируются к изменениям и осваивают нужные навыки.
В целом ключом к успешному реагированию на организационные инновации остается хорошее знание методологии аудита, рисков и контроля. Эти базовые для эффективной работы внутреннего аудита принципы по-прежнему имеют решающее значение. Вместе с тем замечен тренд востребованности навыков генерации идей, новых способов снижения рисков и решения проблем.
Некоторые из нововведений могут напрямую влиять на внутренний аудит. Например, такие инновационные методы, как анализ данных, RPA и искусственный интеллект, часто являются новыми инструментами, используемыми самими внутренними аудиторами для повышения их эффективности. Роман Куликов, начальник отдела аналитики блока внутреннего аудита ПАО «МТС»: «Написание скриптов с использованием языков программирования и применение специализированных BI-решений может не только повысить эффективность выполнения стандартных процедур в рамках аудиторских проверок , но и автоматизировать рутинные операции внутри подразделения внутреннего аудита. Например, в одном из наших проектов мы собрали и визуализировали на дашбордах информацию по оценке компетенций сотрудников внутреннего аудита для более осознанного выбора стратегии дальнейшего обучения. В планах до конца года также автоматизация отчетности по единой горячей линии и контроля за выполнением планов по устранению недостатков».
Статья подготовлена Ассоциацией «Институт внутренних аудиторов» на основе результатов глобального исследования, проведенного Международным институтом внутренних аудиторов (IIA) в 2019 году.
О том, как внутреннему аудиту эффективно реагировать на инновации, читайте в следующей статье из цикла «Инновации и внутренний аудит».