Трансформация внутреннего аудита 2022-2023

Одной из наиболее актуальных оказалась тема трансформации. Директор по внутреннему аудиту Sitronics Group Александр Московкин рассказал, что  трансформация  компании может быть одним из способов совершенствования ее деятельности. С внешними факторами, толкающими к трансформации, компании столкнулись в 2020 и 2022 годах. Александр Московкин перечислил здесь три направления изменений для внутреннего аудита:

1. Изменение природы проектов  СВА . Снижается количество плановых аудитов и их регулярный пересмотр советом директоров, быстро растут внеплановые аудиты;

2. Изменение тематики проектов и заказчиков. Новые процессы и повышенная скорость реагирования бизнеса вносят новые задачи и заказчиков; 

3. Сложность соблюдения стандартов аудита. Грань между консультационным проектом и участием в операционной деятельности компании становится очень тонкой.

Если в деятельности СВА не наблюдается изменений в 2022 году, а компания в целом ощутила на себе перемены, стоит задуматься о наличии реальной ценности СВА для компании.

Есть также внутренние факторы, ведущие к трансформации. Они генерируются по причине реализации новых стратегий, задач от акционеров, видения топ-менеджмента. У  ВА  появляется ряд ограничений:

• трансформация СВА невозможна до формирования целевой модели компании. Нельзя внедрять  новые подходы , если в организации нет информационной системы, позволяющей это сделать;

• ресурсы ограничены. Если компания инвестирует в новое направление, то расходы на внутренний аудит не будут на первом месте;

• имеется неопределенность. Трансформация компании не всегда документируется. Это вызывает «информационный голод» у тех, кто не относится к держателям процесса.

Реагировать на внутренние факторы можно так: 

• собирайте больше разнообразной информации. Посещайте все релевантные совещания и заседания коллегиальных органов, не ждите, что с вами поделятся, берите информацию сами; 

• развивайтесь и обучайтесь. Погружайте в процесс получения информации свою команду; если совещания касаются темы текущего аудита, то делегируйте их посещение занятым на проекте членам команды. Не избегайте саморазвития, не ждите, что информацию вам принесут на блюдечке; 

• меняйте методологию работы. Переходите на короткие актуальные проекты аудита. Не стоит тратить время на проект, по итогам которого информация в отчете уже устареет; 

• ищите резервы. Скорее всего, вы найдете в вашей работе неактуальные или непрофильные задачи. Их можно предать во «вторую линию», автоматизировать или прекратить.

Директор внутреннего аудита ПАО «ВымпелКом» («Билайн») Айк Карамян продолжил тему. Он подчеркнул, что в рамках трансформации СВА в компании  сфокусировались на качественных КПЭ . Например: развитие команды и индивидуальное развитие аудиторов; качество аудиторских проверок и отчетов; оценка менеджментом работы  внутреннего аудита  и вовлеченность в трансформационные проекты.

Докладчик перечислил несколько успешно реализованных проектов:

1. Страница на внутреннем ресурсе, посвященная адаптации новых сотрудников. Ее подготовила команда новых сотрудников, которые на практике почувствовали, что требуется новичкам. А именно ответы на вопросы: как открыть доступы в системе, куда обращаться по разным вопросам и т.д.;

2. Раздел на внутреннем ресурсе компании, где каждый член команды выложил информацию о своих интересах и о том, чем он может помочь коллегам;

3. Видеоролик с ответами на самые частые вопросы о внутреннем аудите. Это видео стало хорошей помощью во взаимодействии с менеджментом;  

4. Приобретение эффективного инструмента по обработке и анализу большого массива данных из разных баз данных компании. Он позволяет сотрудникам без знания языков программирования быстро выгружать и сравнивать данные;

5. Участие в профессиональных аудиторских сообществах в России и за рубежом.  Руководство поощряет членство и участие сотрудников в инициативах Института внутренних аудиторов. 

Директор по внутреннему контролю и аудиту – главный контролер госкорпорации «Росатом» Александр Локтев рассказал о наработанных практиках в организации, проведении стратегического аудита, особенностях системы внутреннего контроля компании и этапах выстраивания вертикали  специализированных органов внутреннего контроля , позволяющей помогать менеджменту в поддержании устойчивости бизнеса в рамках стратегических целей. 

Стратегический аудит позволяет оценить ресурсную обеспеченность и реализуемость заявленных планов. Он включает в себя сбор, проверку и анализ достоверности стратегической информации, в том числе формируемой информационными системами. Основная его задача – сформировать независимое, объективное и своевременное мнение о проблемах и перспективах реализации стратегии.

Для реализации задач стратегического аудита в госкорпорации:

• перестроили порядок подготовки к проведению аудитов. То есть вопросы технического задания, направленные на контроль реализации стратегических целей, теперь спускаются по вертикали;

• дополнили систему отчетности в единой информационной системе поддержки деятельности СОВК на базе 1С показателями, видами рисков и т.п. с указанием степени влияния выявляемых отклонений на достижение стратегических целей;

• существенно переработали систему мотивации работников СОВК:  материальной  и нематериальной;

• усовершенствовали систему обучения работников СОВК: сформировали полноценный обучающий блок, систему развития компетенций и многое другое.

Директор дирекции внутреннего аудита, контроля и управления рисками ПАО «Газпром нефть» Галина Дельвиг рассказала о новом видении классической Модели  трех линий защиты . Концепция несколько раз пересматривалась, к сегодняшнему дню стала более гибкой и предусматривает определение ролей каждой линии в зависимости от специфики, целей и задач конкретной организации. 

Каждая организация самостоятельно решает, какой баланс ролей применить, учитывая свою сферу деятельности, размер и организационную структуру, стратегию, а также подходы к управлению рисками и внутреннему контролю. Роли первой и третьей линий в целом можно понять интуитивно: первая непосредственно взаимодействует с рисками и управляет ими, а третья дает объективные и независимые гарантии, направленные на достижение целей компании. При этом границы второй линии становятся все более размытыми, а конкретные роли второй линии распределяются с учетом особенностей каждой организации.

Если, например, функции внутреннего аудита, контроля и управления рисками объединены в одном лице с соответствующими полномочиями, значит ли это, что лицо (руководитель, в подчинении которого находятся три функции) управляет рисками и осуществляет внутренний контроль в компании? Такой руководитель может осуществлять контроль, если это, например, касается исполнения мероприятий по итогам проведения внутренних аудиторских проверок. По международным стандартам и требованиям национальных регуляторов – это прямая задача внутреннего аудита. Что касается непосредственного управления рисками и осуществления внутреннего контроля – это ответственность бизнеса (задача первой и второй линии).

Внутренний аудит – это третья линия, независимая функция. В функционал руководителя, в подчинении которого находятся соответствующие функции (аудит, риски, контроль), входит выстраивание концепции, совершенствование и развитие системы управления рисками и внутреннего контроля, обучение бизнеса с учетом передовых практик и подходов (например, в части того, как сделать оценку рисков). 

С учетом постоянно изменяющейся среды необходимо определить, насколько целесообразно проводить четкое распределение бизнес-функции/подразделений между первой и второй линиями. При этом важно разграничить понятия «роль/функции» и «структурное подразделение». Возникают случаи, когда одно и то же «структурное подразделение» выполняет «роль/функции» первой и второй линий. 

Например, Модель трех линий не учитывает сложность/«многоэтажность» структур в холдинговых корпорациях, предполагающих контроль дочернего общества со стороны корпоративного центра, и связанный с этим непростой вопрос, где первая линия, а где вторая. С учетом этого первую и вторую линию можно рассматривать как универсальных гибких игроков в одной команде с общей целью.

Исходя из вышеизложенного, важно отметить, что независимость внутреннего аудита также не подразумевает полную обособленность от первой и второй линий. Аудит должен адаптироваться и более активно включаться во взаимодействие с другими линиями, приобретая большую гибкость, легкость и дальновидность. Также, учитывая непростую ситуацию на сегодняшний день, в ходе аудитов важно обращать внимание на индикаторы мошенничества и внедрять соответствующие контроли.

Директор по внутреннему аудиту ООО «Интер РАО – Управление электрогенерацией» Людмила Диордиева рассмотрела разработку ключевых индикаторов риска как инструмент проведения непрерывного аудита в основных бизнес-процессах компании.

Во времена неопределенности аудиторы вынуждены искать новые направления и подходы в своей деятельности, позволяющие сокращать время получения сигналов о проблемах в компании.

В 2022 году  основной объем деятельности  СВА компании связан с непрерывным аудитом, проведение которого базируется на следующих процедурах: 

1. выявление и оценка рисков и их факторов;

2. определение и мониторинг  ключевых индикаторов риска ; 

3. проведение аудиторских процедур на основании выборки, сформированной в ходе мониторинга КИР; 

4. формирование заключения и рекомендаций для заинтересованных лиц.

Первая и вторая процедуры стали частью регулярной деятельности внутреннего аудита.

Применение непрерывного аудита в деятельности СВА стало возможным благодаря автоматизации бизнес-процессов в компании и профессиональным компетенциям работников СВА. КИР формируются на основании экспертной оценки, обсуждения (мозгового штурма) работников СВА для каждого существенного риска в разрезе факторов риска и отвечают следующим критериям:  

• полнота ;

• проверяемость ;

• своевременность ; 

• достаточность ; 

• автоматизированность ; 

• простота мониторинга; 

• измеримость; 

• релевантность . 

Для каждого КИР определяется вес и допустимый диапазон значений, превышение которого сигнализирует о проблеме в процессе, проекте или возможном сбое автоматизированных информационных систем.

Система КИР должна быть связана со стратегией компании, проста для понимания и использования, сбалансирована. Ее нужно регулярно пересматривать.

Управляющий партнер компании «Квадриум», разработчик отечественного программного продукта Quadrium ActiveGRC Геннадий Бережной продолжил тему инструментов непрерывного аудита и оценки рисков. Он рассказал о концепции интегрированного управления рисками и о переходе от  концепции GRC  к  IRM . IRM – новая ступень развития GRC-решений. Она включает все практики управления рисками, которые есть в GRC, но предоставляет их конечным пользователям в рамках единой интегрированной системы. Благодаря отсутствию барьеров между разными сегментами и видами рисков высшее руководство может получить объединенную картину в онлайн-режиме. Не надо ждать отчеты из ответственных подразделений и объединять данные этих отчетов для получения консолидированных оценок по рискам. 

Проведение риск-ориентированных аудитов в формате непрерывного аудита – отличительная черта IRM. Не надо ждать предоставления данных об оценках рисков, связанных с предметом аудита, при его проведении. Эти оценки всегда доступны аудиторам, они могут их посмотреть в любой момент. 

В рамках концепции СВА может параллельно самостоятельно оценить риски. Благодаря этому риски, оценки по которым получили существенные расхождения между внутренним аудитом и службой рисков, могут быть легко идентифицированы, интерпретированы и необходимые из них выгружены в отчет о проведенном аудите. Далее по этим расхождениям можно спланировать мероприятия по минимизации. Их выполнение служба внутреннего аудита может отслеживать онлайн.

В IRM-системе работают практически все подразделения и все сотрудники организации. В ней агрегируется информация из разных  источников . Благодаря этому достигается всестороннее представление о рисках организации.

Один из важнейших аспектов эффективной работы любой организации – это отлаженные процессы непрерывности и доступности ИТ-сервисов. Руководитель проектов отдела ИТ-аудита ПАО «МТС» Иван Ширяев отметил, что ключевым отличием понятий доступности и непрерывности является фокус этих процессов:  удовлетворенность пользователей  и  устойчивость к аварийным ситуациям . И в том, и в другом случае необходимо понимать критические бизнес-функции и анализировать влияние отказов услуг и систем на бизнес-процессы. Оба процесса решают задачу обеспечения устойчивости организации к отказам.

Например, различного рода чрезвычайные ситуации и катастрофы – пожары, метеориты, недоступность ЦОД целиком и тому подобное. Резервные площадки, переход на альтернативные способы предоставления услуги, процедуры восстановления – все это позволяет снизить ущерб, но никак не влияет на вероятность происшествия.

Доступность, в свою очередь, фокусируется на соответствии  SLA /SLO/OLA и недопущении отклонений при сохранении размера бюджета. В компании «МТС» ищут и устраняют единые точки отказа. Предпринимаемые меры, как правило, носят проактивный характер и снижают вероятность наступления нежелательных событий.

Напротив, управление непрерывностью почти всегда создает  избыточность . С инженерной точки зрения процессы доступности и непрерывности довольно понятны: необходимо обеспечить резервное копирование, георезервирование и отказоустойчивые кластеры, планы восстановления и аварийные планы. Другой вопрос – как оценить эффективность принятых решений. При их аудите, помимо технического вопроса, нужно обратить внимание на зоны ответственности департаментов, соблюдение уровня коммуникаций, результаты тестового восстановления, политику по закупке и резервированию мощностей. А в организационном плане эти процессы следует рассматривать как часть стратегии по обеспечению непрерывности всего бизнеса.