Современные вызовы и возможности
На компании в целом сейчас достаточно сильно могут влиять геополитические перемены, новые технологии и цифровизация, киберугрозы и, конечно, продолжающаяся пандемия. Все эти вызовы привносят новые риски, меняют методы и инструменты ведения бизнеса и трудовые отношения. Все это влияет на внутренний аудит.
Алексей Сонин, директор Ассоциации «Институт внутренних аудиторов», призвал обратить внимание на такие серьезные риски для профессии внутреннего аудитора, как:
-
Отсутствие умения видеть новые риски;
-
Неумение привлекать и удерживать таланты;
-
Усталость заинтересованных сторон от внутреннего аудита.
По его словам, современного внутреннего аудитора характеризуют следующие качества:
-
Способность критически, но конструктивно мыслить;
-
Умение убеждать и побуждать действовать;
-
Роль неравнодушного «аудитора-инноватора»;
-
Умение анализировать и работать с большими массивами данных, использовать приложения искусственного интеллекта;
-
Наличие подготовки в области ИС/ИТ.
Галина Дельвиг, директор дирекции внутреннего аудита, контроля и управления рисками ПАО «Газпром нефть», объяснила, как сделать вторую линию помощниками внутреннего аудита. Модель «трех линий защиты» – это классика корпоративного управления. В 2020 году ее пересмотрели, фокус «трех линий» расширился. Теперь он направлен не только на защиту от рисков, но и на возможности для эффективного достижения целей компании. Модель стала более гибкой: роли всех линий распределяются с учетом зрелости компании и ее особенностей.
Справка
-
По классической модели первая линия защиты (бизнес-функции) обеспечивает оценку, регулирование и минимизацию рисков, а также эффективную систему внутреннего контроля.
-
Вторая линия защиты (функции мониторинга) отвечает за управление рисками, внутренний контроль, соблюдение внутренних корпоративных требований и требований законодательства.
-
Третья линия защиты (независимая функция) проводит оценку финансовых, операционных, ИТ и стратегических рисков, новых и появляющихся рисков, мониторинг функций первой и второй линий защиты, контроль выполнения корректирующих мероприятий.
К первой и второй линии защиты могут относиться представители руководства, правления, президент компании. К третьей – внутренний аудит.
Какое место в новой концепции занимает вторая линия? Какие-то ее задачи находятся ближе к бизнесу , а какие-то – к аудиту . Позиция второй линии зависит от множества факторов: уровня зрелости культуры, специфики управления и так далее. Определение второй линии становится более размытым, иногда одно и то же подразделение выполняет роли и первой, и второй линии.
Существует немало примеров успешных практик взаимодействия со второй линией. «Один из реализуемых проектов – это диагностика и «тиражирование» рисков в сопоставимых обществах группы компаний, – рассказала Галина Дельвиг. – Проведя оценку, внутренний аудит передает информацию о выявленных рисках второй линии, а та проводит диагностику на других объектах, изначально не охваченных аудитом. Другой пример – это контроль выполнения мероприятий менеджмента по результатам проверок. Аудит может делегировать эту функцию второй линии, перенаправляя освободившийся ресурс на иные задачи».
Автоматизация и цифровизация
Опытом автоматизации внутреннего аудита поделилась Светлана Тришина, заместитель директора по внутреннему аудиту ПАО «Россети». Она подчеркнула, что для снижения рисков двойного ввода данных и повышения безопасности использования и хранения информации компании используется комплексный подход к автоматизации. Он обеспечивается импортом информации из всех доступных источников с последующей консолидацией в единой системе, в рамках которой происходит хранение и анализ данных, результатов проверок и мониторинг рисков и планов корректирующих мероприятий. В системе владельцы бизнес-процессов, подразделения внутреннего аудита и внутреннего контроля могут взаимодействовать. Благодаря автоматизации повысилась эффективность деятельности внутреннего аудита, с данными стали меньше работать вручную.
Тему подхватила Анна Сергеева, директор по внутреннему аудиту и контролю ГК «Гранель». Она рассказала о непрерывном аудите . История создания этого инструмента выявления признаков рисков онлайн началась с системы ключевых индикаторов корпоративных злоупотреблений. Она менялась и сначала превратилась в систему непрерывного мониторинга , а потом уже в непрерывный аудит. Сейчас это комплексная аналитическая система, направленная на обнаружение признаков возникновения значимых для организации рисков в режиме реального времени. Ее используют внутренние аудиторы для непрерывного мониторинга состояния системы внутреннего контроля организации. Система постоянно трансформируется, адаптируясь под изменения – как внешние, так и внутренние.
Цифровая трансформация – ключевой фактор развития систем непрерывного аудита. Так, в некоторых строительных компаниях активно используют такие цифровые продукты, как искусственный интеллект, роботизированный инженер строительного контроля, «умные каски» на строительной площадке и так далее. Все это заставляет сильно меняться и систему непрерывного аудита, соответственно, меняются и требования к внутреннему аудиту. Знания в сфере управления цифровыми продуктами становятся необходимы.
В банковском секторе цифровизация имеет особое значение. Причем каждый владелец процесса заинтересован в получении результатов аудита всего бизнес-процесса, а не отдельных частей. По словам Андрея Золотарева, управляющего директора, и Степана Михалева, главного аудитора УВА по Юго-Западному банку ПАО Сбербанк, для решения этой задачи подразделение компании использует process mining . Метод строится на изучении системных данных о выполненных операциях и позволяет создавать граф процесса, сравнивать его с нормативным и определять «узкие места».
Подробнее о методе читайте в статье Process Mining на нашем портале.
Важный фактор здесь – это визуализация результатов аудита. Тут применяется graph mining – набор методов, которые ориентированы на анализ структуры связей между сущностями. Graph mining эффективен для обнаружения групп лиц, событий, фактов и прочего, которые связаны определенными признаками. Как отметила Марина Ломсадзе, руководитель направления управления внутреннего аудита центрального аппарата ПАО Сбербанк, внутренним аудиторам не всегда приходится работать со структурированными данными . Обширные возможности в проверках дает анализ неструктурированной информации – текстов, изображений, звука, например, text mining . С помощью метода можно анализировать большое количество неструктурированной информации.
Сomputer vision – еще один важный инструмент для анализа неструктурированных данных. Сomputer vision включает в себя набор методов, которые позволяют извлекать информацию из сканов, фотографий, видео. Марина Ломсадзе уточняет, что таким образом, например, обрабатываются сканированные документы.
Стратегия внутреннего аудита
Стратегия внутреннего аудита – отправная точка для его эффективной работы, и строится она исходя из целей и миссии подразделения.
По словам Айка Карамяна, директора внутреннего аудита ПАО «ВымпелКом» («Билайн»), цель внутреннего аудита для их компании – это усиление бизнес-контролей, с тем чтобы обеспечить защиту репутации, сотрудников и активов и поддержать организацию в достижении стратегических целей. Обсуждение и понимание стратегии со стороны всех заинтересованных лиц – это очень важный процесс, предшествующий ее разработке и реализации. Важно и выделение необходимых бюджетных средств.
На основе SWOT-анализа и бенчмаркинга подразделение внутреннего аудита «ВымпелКома» разработало три основных направления стратегии:
-
развитие профессиональной команды;
-
качество процессов и инструментов внутреннего аудита ;
-
ориентир на клиента .
По словам Карамяна, реализация стратегии всегда сопровождается разными вызовами. В случае «ВымпелКома» таким вызовом стало недостаточное предложение на рынке специалистов: ИТ-аудиторов, дата-инженеров и сертифицированных аудиторов.
Олег Ажимов, руководитель Службы внутреннего аудита ПАО «РусГидро» (СВА), также поделился опытом разработки стратегии внутреннего аудита. Стратегию развития компании утвердили в 2021 году на период до 2025 года. Она направлена на обеспечение надежного энергоснабжения и безопасного функционирования энергообъектов, устойчивое развитие производства электроэнергии с фокусом на чистую энергию, развитие энергетики Дальнего Востока и рост ценности компании. Также определили и миссию службы внутреннего аудита: сохранение и повышение стоимости группы «РусГидро», содействие выполнению миссии группы. Функциональная стратегия внутреннего аудита компании представляет собой документ стратегического планирования, который определяет целевые ориентиры, приоритетные направления и основные мероприятия развития службы внутреннего аудита, соответствующие миссии внутреннего аудита, направленные на реализацию общей стратегии организации.
Развитие подходов и инструментов внутреннего аудита – ключевой фактор исполнения стратегии департамента внутреннего аудита. Как рассказала Татьяна Кутакова, заместитель директора департамента внутреннего аудита ПАО «Аэрофлот», с начала 2015 года департамент внутреннего аудита компании развивал функции внутреннего аудита в соответствии с передовыми стандартами и лучшими практиками.
Результаты проделанной работы наглядны:
-
появился ряд методологических документов, регламентирующих подход к риск-ориентированному планированию и проведению аудиторских проверок, а также программы обеспечения и повышения качества внутреннего аудита;
-
разработана и внедрена карта профессиональных компетенций внутреннего аудита, в соответствии с которой будет развиваться и выполняться оценка работников департамента внутреннего аудита;
-
также разработаны и внедрены системы КПЭ для оценки эффективности деятельности департамента и программы оценки и повышения качества функции внутреннего аудита;
-
автоматизируются процессы внутреннего аудита.
Среди направлений развития внутреннего аудита в группе «Аэрофлот» на ближайшие годы:
-
использование методов визуализации данных в ходе коммуникации с проверяемыми подразделениями, комитетом по аудиту и другими заинтересованными сторонами;
-
формирование навыков работы с инструментами сбора и обработки данных, применения методов анализа и визуализации данных, а также интерпретации полученных результатов;
-
вовлечение департамента внутреннего аудита в проведение ключевых мероприятий стратегии группы для обеспечения надлежащего анализа рисков и контролей, связанных с мероприятиями;
-
анализ целевых процессов в рамках реализации стратегии повышения уровня цифровизации.