прочитано
#качество управления #инструменты менеджмента #эффективность бизнеса #внутренний аудит

В конце ноября на ХII осенней конференции «Внутренний аудит в России», организованной Ассоциацией «Институт внутренних аудиторов», выступили руководители внутреннего аудита ведущих компаний.  Они обсудили инновационные методы аудита, управление рисками, внутренний контроль, границы внутреннего аудита, аудиты информационных технологий, разработку ключевых индикаторов риска, непрерывный аудит, повышение ценности внутреннего аудита и трансформацию внутреннего аудита. Портал ProКачество выступил информационным партнером мероприятия.

0 1

Одной из наиболее актуальных оказалась тема трансформации. Директор по внутреннему аудиту Sitronics Group Александр Московкин рассказал, что  трансформация  компании может быть одним из способов совершенствования ее деятельности. С внешними факторами, толкающими к трансформации, компании столкнулись в 2020 и 2022 годах. Александр Московкин перечислил здесь три направления изменений для внутреннего аудита:

  1. Изменение природы проектов  СВА . Снижается количество плановых аудитов и их регулярный пересмотр советом директоров, быстро растут внеплановые аудиты;

  2. Изменение тематики проектов и заказчиков. Новые процессы и повышенная скорость реагирования бизнеса вносят новые задачи и заказчиков; 

  3. Сложность соблюдения стандартов аудита. Грань между консультационным проектом и участием в операционной деятельности компании становится очень тонкой.

Если в деятельности СВА не наблюдается изменений в 2022 году, а компания в целом ощутила на себе перемены, стоит задуматься о наличии реальной ценности СВА для компании.

Есть также внутренние факторы, ведущие к трансформации. Они генерируются по причине реализации новых стратегий, задач от акционеров, видения топ-менеджмента. У  ВА  появляется ряд ограничений:

  • трансформация СВА невозможна до формирования целевой модели компании. Нельзя внедрять  новые подходы , если в организации нет информационной системы, позволяющей это сделать;

  • ресурсы ограничены. Если компания инвестирует в новое направление, то расходы на внутренний аудит не будут на первом месте;

  • имеется неопределенность. Трансформация компании не всегда документируется. Это вызывает «информационный голод» у тех, кто не относится к держателям процесса.

Реагировать на внутренние факторы можно так: 

  • собирайте больше разнообразной информации. Посещайте все релевантные совещания и заседания коллегиальных органов, не ждите, что с вами поделятся, берите информацию сами; 

  • развивайтесь и обучайтесь. Погружайте в процесс получения информации свою команду; если совещания касаются темы текущего аудита, то делегируйте их посещение занятым на проекте членам команды. Не избегайте саморазвития, не ждите, что информацию вам принесут на блюдечке; 

  • меняйте методологию работы. Переходите на короткие актуальные проекты аудита. Не стоит тратить время на проект, по итогам которого информация в отчете уже устареет; 

  • ищите резервы. Скорее всего, вы найдете в вашей работе неактуальные или непрофильные задачи. Их можно предать во «вторую линию», автоматизировать или прекратить.

Директор внутреннего аудита ПАО «ВымпелКом» («Билайн») Айк Карамян продолжил тему. Он подчеркнул, что в рамках трансформации СВА в компании  сфокусировались на качественных КПЭ . Например: развитие команды и индивидуальное развитие аудиторов; качество аудиторских проверок и отчетов; оценка менеджментом работы  внутреннего аудита  и вовлеченность в трансформационные проекты.

Докладчик перечислил несколько успешно реализованных проектов:

  1. Страница на внутреннем ресурсе, посвященная адаптации новых сотрудников. Ее подготовила команда новых сотрудников, которые на практике почувствовали, что требуется новичкам. А именно ответы на вопросы: как открыть доступы в системе, куда обращаться по разным вопросам и т.д.;

  2. Раздел на внутреннем ресурсе компании, где каждый член команды выложил информацию о своих интересах и о том, чем он может помочь коллегам;

  3. Видеоролик с ответами на самые частые вопросы о внутреннем аудите. Это видео стало хорошей помощью во взаимодействии с менеджментом;  

  4. Приобретение эффективного инструмента по обработке и анализу большого массива данных из разных баз данных компании. Он позволяет сотрудникам без знания языков программирования быстро выгружать и сравнивать данные;

  5. Участие в профессиональных аудиторских сообществах в России и за рубежом.  Руководство поощряет членство и участие сотрудников в инициативах Института внутренних аудиторов. 

Директор по внутреннему контролю и аудиту – главный контролер госкорпорации «Росатом» Александр Локтев рассказал о наработанных практиках в организации, проведении стратегического аудита, особенностях системы внутреннего контроля компании и этапах выстраивания вертикали  специализированных органов внутреннего контроля , позволяющей помогать менеджменту в поддержании устойчивости бизнеса в рамках стратегических целей. 

Стратегический аудит позволяет оценить ресурсную обеспеченность и реализуемость заявленных планов. Он включает в себя сбор, проверку и анализ достоверности стратегической информации, в том числе формируемой информационными системами. Основная его задача – сформировать независимое, объективное и своевременное мнение о проблемах и перспективах реализации стратегии.

Для реализации задач стратегического аудита в госкорпорации:

  • перестроили порядок подготовки к проведению аудитов. То есть вопросы технического задания, направленные на контроль реализации стратегических целей, теперь спускаются по вертикали;

  • дополнили систему отчетности в единой информационной системе поддержки деятельности СОВК на базе 1С показателями, видами рисков и т.п. с указанием степени влияния выявляемых отклонений на достижение стратегических целей;

  • существенно переработали систему мотивации работников СОВК:  материальной  и нематериальной;

  • усовершенствовали систему обучения работников СОВК: сформировали полноценный обучающий блок, систему развития компетенций и многое другое.

Директор дирекции внутреннего аудита, контроля и управления рисками ПАО «Газпром нефть» Галина Дельвиг рассказала о новом видении классической Модели  трех линий защиты . Концепция несколько раз пересматривалась, к сегодняшнему дню стала более гибкой и предусматривает определение ролей каждой линии в зависимости от специфики, целей и задач конкретной организации. 

Каждая организация самостоятельно решает, какой баланс ролей применить, учитывая свою сферу деятельности, размер и организационную структуру, стратегию, а также подходы к управлению рисками и внутреннему контролю. Роли первой и третьей линий в целом можно понять интуитивно: первая непосредственно взаимодействует с рисками и управляет ими, а третья дает объективные и независимые гарантии, направленные на достижение целей компании. При этом границы второй линии становятся все более размытыми, а конкретные роли второй линии распределяются с учетом особенностей каждой организации.

Если, например, функции внутреннего аудита, контроля и управления рисками объединены в одном лице с соответствующими полномочиями, значит ли это, что лицо (руководитель, в подчинении которого находятся три функции) управляет рисками и осуществляет внутренний контроль в компании? Такой руководитель может осуществлять контроль, если это, например, касается исполнения мероприятий по итогам проведения внутренних аудиторских проверок. По международным стандартам и требованиям национальных регуляторов – это прямая задача внутреннего аудита. Что касается непосредственного управления рисками и осуществления внутреннего контроля – это ответственность бизнеса (задача первой и второй линии).

Внутренний аудит – это третья линия, независимая функция. В функционал руководителя, в подчинении которого находятся соответствующие функции (аудит, риски, контроль), входит выстраивание концепции, совершенствование и развитие системы управления рисками и внутреннего контроля, обучение бизнеса с учетом передовых практик и подходов (например, в части того, как сделать оценку рисков). 

С учетом постоянно изменяющейся среды необходимо определить, насколько целесообразно проводить четкое распределение бизнес-функции/подразделений между первой и второй линиями. При этом важно разграничить понятия «роль/функции» и «структурное подразделение». Возникают случаи, когда одно и то же «структурное подразделение» выполняет «роль/функции» первой и второй линий. 

Например, Модель трех линий не учитывает сложность/«многоэтажность» структур в холдинговых корпорациях, предполагающих контроль дочернего общества со стороны корпоративного центра, и связанный с этим непростой вопрос, где первая линия, а где вторая. С учетом этого первую и вторую линию можно рассматривать как универсальных гибких игроков в одной команде с общей целью.

Исходя из вышеизложенного, важно отметить, что независимость внутреннего аудита также не подразумевает полную обособленность от первой и второй линий. Аудит должен адаптироваться и более активно включаться во взаимодействие с другими линиями, приобретая большую гибкость, легкость и дальновидность. Также, учитывая непростую ситуацию на сегодняшний день, в ходе аудитов важно обращать внимание на индикаторы мошенничества и внедрять соответствующие контроли.

Директор по внутреннему аудиту ООО «Интер РАО – Управление электрогенерацией» Людмила Диордиева рассмотрела разработку ключевых индикаторов риска как инструмент проведения непрерывного аудита в основных бизнес-процессах компании.

Во времена неопределенности аудиторы вынуждены искать новые направления и подходы в своей деятельности, позволяющие сокращать время получения сигналов о проблемах в компании.

В 2022 году  основной объем деятельности  СВА компании связан с непрерывным аудитом, проведение которого базируется на следующих процедурах: 

  1. выявление и оценка рисков и их факторов;

  2. определение и мониторинг  ключевых индикаторов риска

  3. проведение аудиторских процедур на основании выборки, сформированной в ходе мониторинга КИР; 

  4. формирование заключения и рекомендаций для заинтересованных лиц.

Первая и вторая процедуры стали частью регулярной деятельности внутреннего аудита.

Применение непрерывного аудита в деятельности СВА стало возможным благодаря автоматизации бизнес-процессов в компании и профессиональным компетенциям работников СВА. КИР формируются на основании экспертной оценки, обсуждения (мозгового штурма) работников СВА для каждого существенного риска в разрезе факторов риска и отвечают следующим критериям:  

  • полнота ;

  • проверяемость ;

  • своевременность

  • достаточность

  • автоматизированность

  • простота мониторинга; 

  • измеримость; 

  • релевантность

Для каждого КИР определяется вес и допустимый диапазон значений, превышение которого сигнализирует о проблеме в процессе, проекте или возможном сбое автоматизированных информационных систем.

Система КИР должна быть связана со стратегией компании, проста для понимания и использования, сбалансирована. Ее нужно регулярно пересматривать.

Управляющий партнер компании «Квадриум», разработчик отечественного программного продукта Quadrium ActiveGRC Геннадий Бережной продолжил тему инструментов непрерывного аудита и оценки рисков. Он рассказал о концепции интегрированного управления рисками и о переходе от  концепции GRC  к  IRM . IRM – новая ступень развития GRC-решений. Она включает все практики управления рисками, которые есть в GRC, но предоставляет их конечным пользователям в рамках единой интегрированной системы. Благодаря отсутствию барьеров между разными сегментами и видами рисков высшее руководство может получить объединенную картину в онлайн-режиме. Не надо ждать отчеты из ответственных подразделений и объединять данные этих отчетов для получения консолидированных оценок по рискам. 

Проведение риск-ориентированных аудитов в формате непрерывного аудита – отличительная черта IRM. Не надо ждать предоставления данных об оценках рисков, связанных с предметом аудита, при его проведении. Эти оценки всегда доступны аудиторам, они могут их посмотреть в любой момент. 

В рамках концепции СВА может параллельно самостоятельно оценить риски. Благодаря этому риски, оценки по которым получили существенные расхождения между внутренним аудитом и службой рисков, могут быть легко идентифицированы, интерпретированы и необходимые из них выгружены в отчет о проведенном аудите. Далее по этим расхождениям можно спланировать мероприятия по минимизации. Их выполнение служба внутреннего аудита может отслеживать онлайн.

В IRM-системе работают практически все подразделения и все сотрудники организации. В ней агрегируется информация из разных  источников . Благодаря этому достигается всестороннее представление о рисках организации.

Один из важнейших аспектов эффективной работы любой организации – это отлаженные процессы непрерывности и доступности ИТ-сервисов. Руководитель проектов отдела ИТ-аудита ПАО «МТС» Иван Ширяев отметил, что ключевым отличием понятий доступности и непрерывности является фокус этих процессов:  удовлетворенность пользователей  и  устойчивость к аварийным ситуациям . И в том, и в другом случае необходимо понимать критические бизнес-функции и анализировать влияние отказов услуг и систем на бизнес-процессы. Оба процесса решают задачу обеспечения устойчивости организации к отказам.

Непрерывность – это не про мелкие сбои, не влияющие на бизнес в целом. Она подразумевает значительные риски, даже если вероятность их реализации очень низкая

Например, различного рода чрезвычайные ситуации и катастрофы – пожары, метеориты, недоступность ЦОД целиком и тому подобное. Резервные площадки, переход на альтернативные способы предоставления услуги, процедуры восстановления – все это позволяет снизить ущерб, но никак не влияет на вероятность происшествия.

Доступность, в свою очередь, фокусируется на соответствии  SLA /SLO/OLA и недопущении отклонений при сохранении размера бюджета. В компании «МТС» ищут и устраняют единые точки отказа. Предпринимаемые меры, как правило, носят проактивный характер и снижают вероятность наступления нежелательных событий.

Напротив, управление непрерывностью почти всегда создает  избыточность . С инженерной точки зрения процессы доступности и непрерывности довольно понятны: необходимо обеспечить резервное копирование, георезервирование и отказоустойчивые кластеры, планы восстановления и аварийные планы. Другой вопрос – как оценить эффективность принятых решений. При их аудите, помимо технического вопроса, нужно обратить внимание на зоны ответственности департаментов, соблюдение уровня коммуникаций, результаты тестового восстановления, политику по закупке и резервированию мощностей. А в организационном плане эти процессы следует рассматривать как часть стратегии по обеспечению непрерывности всего бизнеса.

Следующая конференция  Института внутренних аудиторов  состоится весной 2023 года в Москве