Практические аспекты внутреннего аудита

Александр Локтев, главный контролер госкорпорации «Росатом», уверен, что, чтобы оставаться востребованным, внутреннему аудиту необходимо увеличивать скорость реагирования на риски и совершенствовать модель предоставления услуг для поддержки и развития бизнеса, обеспечения его общественной приемлемости, клиентоцентричности. Кроме того, внутренний аудит может стать связующим звеном и лидирующей функцией при разработке новых управленческих технологий в режиме открытых инноваций, выступая в роли высококлассного экспертного аналитика и советника. 

Уже не первый год аудиторы делятся своими наработанными практиками гибкого планирования. Гибкое планирование – это возможность оперативно адаптировать аудиторский план в течение года как реакция на изменения внутри компании и во внешней среде – на новые риски, изменившиеся приоритеты, стратегические вызовы или неожиданные события. По словам Анны Кузнецовой, директора по внутреннему контролю, аудиту и управлению рисками, Lamoda, основой гибкого планирования в компании является риск-ориентированный подход. Он позволяет направлять ресурсы туда, где потенциально находятся реальные угрозы, а не равномерно распределять усилия по всем направлениям. В классическом подходе внутренние аудиторы проверяли заранее определенные области независимо от их актуальности и уровня риска. В риск-ориентированном подходе они фокусируются на тех зонах, где риск действительно высок, и могут, наоборот, отказаться от глубокого анализа там, где годами не возникает отклонений или нарушений. Анна также отметила важный элемент успеха – согласование приоритетов аудита с приоритетами бизнеса: «Ранее мы проводили ежегодные опросы, обсуждая с управляющими директорами их стратегические цели. Сейчас этот процесс стал более оперативным и адаптивным: после каждого квартала мы уточняем вектор движения, а также приоритеты и «болевые точки». Это не значит, что аудит превращается в работу «по запросу». Это значит, что мы учитываем бизнес-контекст и интегрируем реальные потребности стейкхолдеров в процесс риск-оценки и планирования».

Тема мониторинга исполнения рекомендаций внутреннего аудита для устранения недостатков во внутреннем контроле никогда не потеряет своей актуальности. Лидия Федюрко, начальник управления дирекции по внутреннему аудиту, Х5 Group, поделилась своим опытом: «Успешный мониторинг начинается задолго до формирования отчета. На этапе аудита происходит несколько соприкосновений с бизнесом, где обсуждаются выявленные недостатки и предварительные рекомендации. Таким образом, еще до момента ознакомления с отчетом ответственные по бизнес-процессам видят все выводы аудиторов и заранее знакомятся с недостатками и рекомендациями. В момент обсуждения отчета рекомендации финализируются с учетом мнения бизнеса. В результате в среднем 24% недостатков закрываются в течение первого месяца после выхода отчета, потому что корректирующие действия начинают внедряться еще до формального согласования планов. Еще 64% планов действий внедряются в течение года. Оставшиеся 12% связаны с долгосрочными проектами, требующими значительных ресурсов и времени».

Сергей Петров, заместитель начальника управления внутреннего аудита ПАО «Юнипро», рассказал о необычной программе «Гостевой аудитор», которая предполагает участие сотрудников других подразделений в аудиторских проверках. По словам докладчика, программа позволяет в том числе:

• усиливать коллективные компетенции, поскольку «гостевой аудитор» может добавить ту самую ценную и недостающую часть компетенций, которая необходима для глубокого анализа бизнес-процесса и убедительной защиты сделанных наблюдений;

• получить свежий взгляд со стороны на «внутреннюю кухню» аудиторов;

• улучшить взаимодействие с бизнесом, стратегически выстраивать отношения и общение с руководством на долгосрочную перспективу;

• продвигать инновационные решения / лучшие практики в ходе выполнения аудитов.

Большим блоком обсуждения стали вопросы информационной безопасности (ИБ) и автоматизации.

Риски в области кибербезопасности представляют собой серьезную угрозу для организаций любого размера. Кибератаки не только имеют очевидные последствия, но и приводят к финансовым потерям, когда нарушается функционирование бизнеса или когда клиенты или деловые партнеры теряют доверие к организации. Более того, после обнаружения киберинцидента организации вынуждены тратить время и деньги на проведение расследований, чтобы понять, что и когда произошло, а также для того, чтобы принять меры по исправлению ситуации, устранению ущерба и определению, являются ли последствия таких атак существенными в финансовой и операционной части. ИБ требует инвестиций, и бизнес традиционно хочет оценить эффективность своих вложений.

Денис Леншин, руководитель службы ИТ-аудита, «МТС-Банк», отмечает, что масштаб организации и уровень зрелости процессов ИБ – это аспекты, от которых также сильно зависит применение практики по измерению процессов. В малом и среднем бизнесе при необходимости внедрять первоочередные меры защиты может быть нецелесообразным тратить время и ресурсы на расчет доходности инвестиций в ИБ, что могут себе позволить крупные организации. Размер бизнеса при этом не является определяющим фактором: и в крупных бизнесах как в России, так и за ее пределами порой необходимо сначала «потушить пожар» в части технической защищенности организации, а потом уже внедрять практики, направленные на повышение эффективности процессов, к которым в том числе относится и измерение процессов ИБ.

Исходя из данных различных исследований и личной экспертизы, Александр Румянцев, руководитель отдела ИТ-аудита, VK, делает вывод, что основной причиной инцидентов в области ИБ до сих пор является человеческий фактор, поэтому он хотел бы обратить особое внимание на такое понятие, как «киберкультура»: «Киберкультура – это система ценностей, отношений, убеждений и моделей поведения в организации, которые определяют, как сотрудники на всех уровнях понимают, относятся и действуют в области ИБ. Это не просто «прошли тренинг», а «как мы здесь поступаем с паролями, ссылками в письмах и инцидентами». Мы, как внутренние аудиторы, имеем доступ к очень чувствительной информации, и я призываю каждого из вас проявлять профессиональный скептицизм не только в проведении аудиторским процедур, но и когда дело касается лично вас. Ведь как бы хорошо ни была организована ИБ в компании, какие бы самые современные инструменты ни использовались, самое слабое звено в цепочке безопасности – это человек». 

Ответом на сегодняшние вызовы и запросы Денис Беляев, генеральный директор компании «Технологии и Бизнес», видит использование отечественного решения «ТАБ GRC» на платформе «1С:Предприятие», которое объединяет в едином информационном пространстве ключевые функции: управление рисками, внутренний контроль, аудит, ИТ- и киберриски, непрерывность бизнеса и управление доступом. Это позволяет перейти от разрозненных отчетов к риск-ориентированному управлению. Решение уже имеет ИИ-модули, такие как «Цифровой ассистент». Они производят революцию в автоматизации: например, «ИИ Бухгалтер» распознает первичные документы и создает проводки, а система поиска аномалий выявляет скрытые риски с помощью кластеризации данных. 

Геннадий Бережной, управляющий партнер компании «Квадриум», рассказывая о системе Quadrium ActiveGRC, отметил, что она реализует современную концепцию интегрированного управления рисками, преодолевая ограничения разрозненных систем. Система позволяет объединять управление комплаенс, операционными, финансовыми, стратегическими, ИТ-рисками и рисками третьих сторон в единую среду. Решение позволяет реализовать полный цикл управления рисками: от автоматизированной идентификации и оценки до непрерывного мониторинга и контроля.

Варвара Солодилова, руководитель продуктового развития «Оазис», «НОТА» (ИТ-холдинг «Т1»), также уверена, что автоматизация поможет «не сбиться с пути»: «Позвольте информационной системе посчитать выводы за вас, опираясь на заданные правила, получите подкрепленные данными отчеты и предложения по процессу формирования рекомендаций и их мониторинга. Российская платформа «ОАЗИС» позволяет гибко настраивать правила выявления нарушений, определения их критичности, маршруты согласования и коммуникаций. При наличии единой базы данных о процессах, рисках, контрольных процедурах и мероприятиях поддерживать прозрачность информации гораздо проще». 

В заключительном выступлении Алексей Сонин, директор Ассоциации «Институт внутренних аудиторов», рассказал о разработке национального стандарта «Руководящие указания по организации внутреннего аудита». Флагманом в работе над этим важнейшим для профессионального сообщества документом выступила Ассоциация «ИВА». Результатом деятельности подкомитета «Внутренний аудит» в составе Росстандарта стал предварительный национальный стандарт (ПНСТ), который должен быть утвержден до конца 2025 года. ПНСТ будет апробирован в период от одного до трех лет, после чего станет ГОСТом. Стандарт охватывает в том числе такие аспекты, как организация внутреннего аудита, разработка методики внутреннего аудита, осуществление коммуникации, планирование деятельности, аудиторские задания, обеспечение качества деятельности, осуществление надзора.

Следующая конференция Института внутренних аудиторов состоится 22-23 апреля 2026 года в Москве.