Фокус на автоматизацию

Новые технологии

В современном мире технологии искусственного интеллекта (ИИ) и больших данных (Big Data) становятся неотъемлемой частью многих бизнес-процессов, включая внутренний аудит. Они позволяют выполнять задачи быстрее и качественнее, в т.ч. за счет автоматизации рутинных задач, что освобождает ресурсы внутренних аудиторов для более сложных и важных аспектов и в итоге повышает общую эффективность работы.

Например, для автоматизации рутинных задач во внутреннем аудите активно используются роботы: при обработке обращений, выгрузке данных из ИТ-систем и анализе документов. Анна Лернер, главный аудитор ПАО «Ростелеком», отметила, что роботы значительно ускоряют процессы аудита, снижая затраты времени и ресурсов. Они обеспечивают точность и последовательность в обработке данных, что повышает качество аудиторских проверок. Благодаря роботам аудиторы могут быстрее проводить свои процедуры и эффективно обрабатывать большие объемы информации.

Однако, предупреждает А. Лернер, внедрение роботов требует тщательной настройки и обучения. Важно учитывать, что роботы ограничены в способности понимать контекст и анализировать, а подходят для простых рутинных задач, которые нужно делать по четкому алгоритму. С другой стороны, эти задачи они выполняют с высоким уровнем качества и без отдыха, а также могут работать с базами данных ночью, когда нагрузка на них минимальна. Это удобно как для аудиторов, так и для проверяемых подразделений. 

Минус роботов в том, что они не подходят для решения аналитических задач и генерации идей, что плавно подводит нас к необходимости использования искусственного интеллекта для более продвинутой автоматизации.

В частности, по словам Марзият Мамалаевой, начальника управления внутреннего аудита АО «Альфа-Банк», в финансовых организациях около 10 лет функционируют ML-модели, которые принимают решения о выдаче кредитов клиентам банка (без участия сотрудников), включают модели фрод-мониторинга, блокируют действия мошенников и дропперов и т.д. Такие модели также являются объектами пристального внимания внутренних аудиторов и требуют наличия у них соответствующих компетенций.

Стратегия внутреннего аудита

В современной быстро меняющейся бизнес-среде внутренний аудит играет важную роль в обеспечении успеха организации. Для достижения этой цели необходимо разработать эффективную стратегию развития функции, соответствующую целям и задачам организации. Стратегия действует как дорожная карта, помогает выставлять приоритеты, эффективно распределять финансовые и людские ресурсы. Стратегический подход обеспечивает системность, последовательность и непрерывность в развитии функции внутреннего аудита, ее методологии, инструментов и команды. Более того, наличие стратегии является требованием новых Международных стандартов внутреннего аудита (Стандарт 9.2), которые вступят в силу с 9 января 2025 года.

Родион Козаренко, директор дирекции внутреннего аудита ООО «Евраз», выделил ключевые моменты, которые целесообразно учесть при формировании стратегии, чтобы сделать ее успешной. Среди них:

• расстановка приоритетов и гибкость: расстановка приоритетов с учетом необходимости оперативно реагировать на происходящие изменения и бизнес-запросы, чтобы обеспечить максимальную пользу для компании; 

• стандартизация и автоматизация: автоматизируя рутинные задачи и оптимизируя процессы, внутренний аудит может повысить производительность труда и снизить затраты на административные и вспомогательные операции;

• вовлечение команды: успех стратегии внутреннего аудита зависит от вовлеченности и мотивации сотрудников. Этого можно достичь путем делегирования полномочий и создания команд для разработки программ по направлениям стратегии; 

• повышение компетенций: внутреннее обучение, адаптированное под нужды команды, передача полученных знаний от одного сотрудника всему коллективу – все это необходимо для того, чтобы внутренний аудит оставался актуальным и эффективным;

• передовые технологии: в эпоху цифровизации умение сотрудников использовать продвинутые инструменты анализа данных и ИИ значительно повышает обоснованность и целесообразность рекомендаций, становится необходимым для поддержания высокого качества аудитов и, что немаловажно, помогает сократить трудозатраты; 

• мониторинг и оценка: чтобы успешно реализовать стратегию внутреннего аудита, важно установить не только конечные цели, но и четкие промежуточные контрольные точки, а также внедрить сбалансированную систему ключевых показателей эффективности и разработать различные сценарии для достижения целей. Регулярный мониторинг прогресса, пересмотр и при необходимости обновление стратегии также имеют важное значение для обеспечения ее актуальности и эффективности.

Айк Карамян, директор внутреннего аудита ПАО «ВымпелКом» («Билайн»), согласен с выводами коллеги: успешная стратегия внутреннего аудита – это стратегия, которая отражает желаемое будущее состояние СВА, является гибкой, адаптируемой и ориентированной на предоставление пользы организации. Он отметил, что для разработки эффективной стратегии внутреннего аудита нужно учесть наличие следующих компонентов: 

1. определение видения и миссии внутреннего аудита; 

2. анализ текущего состояния и определение целевого состояния; 

3. ожидания заинтересованных сторон, в том числе совета директоров (СД), аудиторского комитета (АК) и менеджмента компании; 

4. гибкость: стратегия должна быть «рабочей», «живой» и «гибкой» и при необходимости адаптироваться и пересматриваться

Айк Карамян уверен, что очень важно, чтобы стратегия была обсуждена и согласована как с менеджментом, так и с СД и АК компании, поскольку обсуждение стратегии с разными заинтересованными сторонами делает работу ВА более прозрачной, понятной и улучшает взаимодействие и коммуникацию.

Взаимодействие с заинтересованными сторонами 

Сотрудничество – это фундамент повышения эффективности деятельности компании и достижения ее стратегических целей. Профессия внутреннего аудитора предполагает общение практически со всеми подразделениями организации и разными по управленческой иерархии руководителями. При этом в обязанности руководителя подразделения внутреннего аудита естественным образом входит коммуникация с высшим менеджментом компании, СД и в ряде случаев – с акционерами. 

Рушан Богаудинов, руководитель службы внутреннего аудита компании «А1», отметил, что эффективное взаимодействие с высшими органами корпоративного управления компании и ее акционерами является абсолютно необходимым условием как для выполнения планов аудитов, так и, что важнее, для успешной реализации планов корректирующих мероприятий, способствующих достижению стратегических и тактических целей организации. 

Однако изменения бизнес-ландшафта последних нескольких лет повлекли за собой существенные изменения как в составах акционеров, так и в составах СД, увеличение количества корпоративных споров и конфликтов. Разные акционеры и их представители могут придерживаться противоположных взглядов в отношении стратегии развития бизнеса, вопросов распределения прибыли, операционного управления и т.д., пытаться использовать внутренний аудит в своих интересах. Соответственно, внутренний аудитор обязательно должен учитывать эти иногда довольно сложные обстоятельства, проявляя в каждом конкретном случае индивидуальный подход, дипломатичность, оставаясь при этом в рамках профессиональных стандартов, сохраняя объективность и независимость.

Галина Дельвиг, начальник департамента внутреннего аудита ПАО «Газпром нефть», поделилась опытом компании в вовлечении бизнеса в активный конструктивный диалог с внутренним аудитом. Организация самооценки процессных рисков на первых этапах проверки поддерживает доверительный тон взаимодействия и способствует большей открытости бизнеса к дальнейшим коммуникациям. Самооценка процессных рисков проводится в формате опережающих риск-сессий – очно или онлайн. Вовлечение всех заинтересованных сторон делает такие риск-сессии уникальной площадкой экспертного обсуждения «узких мест» и возможностей для улучшения бизнес-процесса. Результаты самооценки для аудиторов являются данными «на вход», которые позволяют эффективно спланировать проверку, лучше понять структуру бизнес-процесса и адаптировать программу аудита под специфику рассматриваемых вопросов.

В продолжение темы Андрей Далиненко, директор департамента внутреннего аудита ПАО «РОСБАНК», рассказал о вызовах, с которыми сталкивался ДВА «Росбанка» при формулировании заключений внутреннего аудита в разные моменты времени, и о решениях, которые были найдены внутренними аудиторами для ответа на них, в т.ч.:

• фокус на регулярное обучение команды;

• унификация методологии для систематического применения единого подхода при написании заключений;

• жесткие ограничения на объем замечаний и общего заключения для контроля объема отчетов;

• минимизация объема или полное исключение тех секций в отчете, которые не вызывают значимого интереса у менеджмента при прочтении заключения;

• прямая работа с проверяемыми подразделениями при разработке планов корректирующих мероприятий;

• адаптация заключений под разные типы аудиторских заданий.

Автоматизация внутреннего аудита

Объем работ растет, количество данных увеличивается, появляется все больше аспектов, требующих внимания и контроля внутренних аудиторов. Именно автоматизация призвана помочь справляться с растущим потоком задач. Денис Беляев, генеральный директор «Технологии. Автоматизация. Бизнес.», рассказал об отечественном программном продукте ТАБ:GRC – составном модульном ПО, основанном на платформе «1С:Предприятие» и имеющем сертификаты ФСТЭК. Например, модуль «Внутренний аудит» включает все необходимые функции для автоматизации, а также дополнительные интересные инструменты для аудиторов, в т.ч. контрольные списки (чек-листы), тестирование эффективности контролей, инструменты BI-анализа, построение гиперкубов, кластеризацию данных и поиск аномалий, применение LLM-моделей ИИ для определения соответствия внутренних нормативных актов внешним регуляторным требованиям и многие другие.

Продолжила тему Полина Суслова, руководитель направления внутреннего аудита компании «Квадриум». Она отметила, что чтобы своевременно предотвращать потери организации, рационально использовать капитал и эффективно действовать в условиях неопределенности и связанных с ней рисков, необходимы точные аналитические инструменты и консолидация данных в единой информационной интегрированной среде. Один из ключевых прикладных инструментов менеджмента компании, который решает данные управленческие задачи, – это система класса IRM (интегрированная система управления рисками). В частности, российский программный продукт Quadrium ActiveGRC включает модуль «Управление внутренним аудитом». В данной IRM-системе агрегируется информация из разных систем-источников и от разных подразделений и имеется возможность интегрированного взаимодействия СВА со службой управления рисками, СВК и представителями 1-й линии на различных этапах аудиторской деятельности. 

Варвара Солодилова, руководитель продуктового развития «ОАЗИС», «Т1 Иннотех», и Иван Ворона, директор по внутреннему аудиту компании Х5 Group, поделились нюансами проекта внедрения единой информационной системы «Аудит управления рисками и контрольными процедурами» (ЕИС АУРКП) в Х5 Group. Внедрение российского интегрированного ПО «ОАЗИС», объединяющего GRC и автоматизацию внутреннего аудита, способствует повышению прозрачности процессов мониторинга и контроля, позволяет осуществлять долгосрочное планирование и отслеживание истории покрытия проектами департамента внутреннего аудита с учетом сложных правил и большого разнообразия видов проверок, а также годовое и ресурсное планирование и многое другое.

Аудит охраны труда и безопасности производства

Работа на предприятиях, в т.ч. топливно-энергетического комплекса (ТЭК), связана с повышенной опасностью для жизни и здоровья работников. Организация эффективной системы охраны труда и безопасности производства становится критически важным элементом для сохранения здоровья и жизни работников. 

По словам Сергея Петрова, заместителя начальника управления внутреннего аудита ПАО «Юнипро», компания обеспечивает приоритет жизни и здоровья собственных работников и подрядчиков, находящихся на объектах компании, а также использует риск-ориентированный подход при проведении проверок охраны труда и безопасности производства. Как отметил С. Петров, управление рисками в области охраны труда осуществляется эффективно и в полной мере, если:

• безопасность труда и охрана здоровья воспринимаются в компании как безусловный приоритет. Правила и требования неукоснительно соблюдаются;

• обеспечивается непрерывный цикл функционирования системы менеджмента охраны труда и безопасности производства. Подтверждается соответствие стандарту качества ИСО-45001;

• происходит планомерное совершенствование культуры в области охраны труда посредством различных мероприятий. Работники осознанно соблюдают правила и требования в области охраны труда, не проходят мимо (проявляют проактивную позицию) при обнаружении опасности жизни или здоровью и предлагают меры для минимизации риска;

• на регулярной основе планируются и проводятся аудиты в области охраны труда и безопасности производства. Рекомендации аудиторов оцениваются руководством как практичные и полезные;

• выстраиваются продуктивные и доверительные взаимоотношения между службой охраны труда и внутренними аудиторами.

Золотыми спонсорами конференции стали компании «Квадриум» и «Технологии. Автоматизация. Бизнес.», серебряным – компания «Т1 Иннотех», партнером – компания Digital Design.

Информационными партнерами конференции выступили: ГАРАНТ, PROКачество, ПравоТЭК.

Следующая конференция Института внутренних аудиторов состоится в марте 2025 года в Москве.