Внутренний аудит – поддержка в преобразованиях

О том, как организации адаптируют свой подход к обеспечению устойчивости, читайте в статье «Рецепты новых реалий».

В разных отраслях промышленности и географических точках противодействие современным вызовам потребовало быстрой адаптации и инновационных решений. Будущие кризисы потребуют таких же усилий. Чтобы  предоставлять гарантии  в части устойчивости, внутреннему аудиту необходимо понимать влияние кризисов на бизнес-операции и всю совокупность рисков организации. 

Александр Московкин, директор по внутреннему аудиту АО «Элемент», уверен, что изменения такого масштаба являются «черными лебедями» для экономики, и отвлечение финансов под резервы на их возможное наступление может быть не лучшей идеей. Другое дело – оперативная мобилизация ресурсов и готовность к изменениям.

С этим согласен и Анатолий Дороничев, эксперт в области внутреннего аудита и управления рисками: «Для того чтобы своевременно увидеть тренды, потенциальные риски, успеть о них сообщить и подготовиться к ним, необходимо определить потенциальные источники информации. Часть из них может быть платной, следовательно, потребуется обоснование на финансирование без зримого краткосрочного эффекта. Часть информации может быть получена при участии в форумах, конференциях, встречах различных сообществ; этот источник может потребовать, помимо финансовых ресурсов, временного ресурса сотрудников в рабочее время. Насколько руководство готово выделить данные ресурсы – зависит от многих факторов, в т.ч. места и задач  СВА . Если в поле деятельности внутреннего аудита не входит стратегическое управление и нет планов развития в этом направлении, то тратить ресурсы на анализ и мониторинг глобальных рисков неэффективно (как бы печально это ни звучало)».

Ольга Баранова, начальник управления методологии внутреннего аудита ООО «Локомотивные Технологии», рассказывает о практике компании: «Все чаще акционеры и руководство привлекают внутренних аудиторов к оценке рациональности прогнозных эффектов от различных инвестиционных и бизнес-проектов. 

Уникальная экспертиза СВА ООО «ЛокоТех» заключается в комбинации финансовых и технических аудиторов, что позволяет не только проводить оценку традиционных  показателей экономической эффективности , но и проанализировать жизнеспособность предложенного проекта, выявить в текущих быстро изменяющихся условиях потенциальные риски и оценить их влияние на весь проект. Внутренние аудиторы обладают знаниями и навыками предиктивного анализа, поэтому результаты их работы повышают надежность принятых руководителями и акционерами управленческих решений уже на этапе идеи инвестиционного или бизнес-проекта». 

Одним из способов помочь руководителям в создании устойчивости является непрерывный аудит. Людмила Диордиева (ООО «Интер РАО – Управление электрогенерацией»), говорит: «Служба внутреннего аудита по ряду важных процессов перешла в формат непрерывного аудита, в рамках которого осуществляет процедуру по выявлению и оценке внутренних и внешних рисков в разрезе направлений деятельности, процессов, компаний, проектов, ресурсов и ИТ на регулярной основе. По результатам непрерывного аудита осуществляется анализ выявленных рисковых зон в целях их дальнейшего мониторинга или проведения аудиторских процедур». 

Для многих СВА устойчивость теперь может быть заложена в каждое аудиторское задание с самого начала. Такую практику подтверждает Ольга Баранова (ООО «ЛокоТех»): «Каждое аудиторское доказательство рассматривается в части влияния полученной информации на непрерывность деятельности компании, и даже если оно «вписывается» в общую картину, внутренние аудиторы дают оценку аномальности и шанса оказать негативное влияние на возможность компании далее осуществлять свой бизнес. Такая оценка требует от внутренних аудиторов не только знаний в своей профессиональной области, но и развития навыков комплексного анализа и получения компетенций в области управления непрерывностью деятельности. В компании ООО «ЛокоТех» в период пандемии в 2021 году все сотрудники прошли обучение по теме «Обеспечение непрерывности деятельности». 

Подход к каждому аудиту с учетом гибкости региона и его способности функционировать в неблагоприятных условиях может быть естественным следствием пандемии для некоторых, и чем-то, что следует учитывать другим. Можно пойти на шаг дальше, проведя отдельный аудит устойчивости.

Артем Горлов, исполнительный директор службы внутреннего аудита ПАО АФК «Система»: «Я все больше замечаю, что самые полезные команды внутренних аудиторов в активах АФК «Система» чаще не только тестируют контроли на основании ретроспективных данных, но еще и моделируют возможные сценарии и оценивают, как поведут себя в них ключевые контроли. Такой подход позволяет оценить устойчивость бизнеса к реализации рисков, что повышает полезность работы внутреннего аудитора». 

По мнению Николая Шумилова, начальника управления внутреннего аудита ГК «Мангазея», главная и основная задача внутреннего аудита сейчас состоит в том, чтобы дать собственникам и руководству своей организации толику спокойствия, приняв на себя вопрос гарантий того, что в тяжело поддающемся контролю состоянии полухаоса никто из сотрудников компании не воспользуется состоянием «мутной воды» для обхода и избегания контролей и попыток совершения мошеннических действий и прямых хищений. Также Николай советует, что, возможно, от плановых долгосрочных проектов следует перейти к более коротким, сфокусировавшись на актуальных направлениях и бизнес-процессах, а риски и «узкие места» стоит рассматривать как минимум по двум линиям развития событий: продолжение существующей ситуации и ее ухудшение.

Технологические аудиты

Пандемия сделала большинство организаций более зависимыми от технологий, что может увеличить как операционные риски, так и риски безопасности; и это может вызвать необходимость проведения дополнительных технологических аудитов. Их цель – ответить на ряд вопросов:

• какова надежность платформ удаленной работы организации? 

• как насчет безопасности и надежности облачного хранилища? 

• как организация управляет рисками, связанными с разрешением удаленным работникам использовать свои собственные технологии в сети?

Анатолий Дороничев, эксперт в области внутреннего аудита и управления рисками, отмечает, что данные вопросы находятся больше в зоне действия ИТ-служб и требуют весьма специфических навыков, которые редко у каких организаций есть вообще. По мнению Анатолия, такие оценки лучше проводить с привлечением специализированных компаний, тестирующих безопасность и надежность ИТ-решений.

Дмитрий Жаворонков, руководитель департамента внутреннего аудита ООО «Компания БКС», предлагает внутренним аудиторам обратить внимание и добавить в рабочую программу оценку того, как организация реагирует на изменения, в том числе неотложные: «Так, например, необходимо определить на временной шкале все события операционного риска в процессах, связанных с обеспечением непрерывности деятельности организации, реализованных в вашей выборке. И оценить, как владельцы процесса реагировали на данные случаи. Это будет схоже со сценарием пандемии, только локального масштаба. Таким образом, внутренний аудитор сможет локально оценить гибкость владельца процесса к изменениям. Например, при наступлении события операционного риска – сгорел сервер, обеспечивающий удаленный доступ сотрудникам, – смогла ли организация без ущерба непрерывности деятельности обеспечить новый сервер в сжатые сроки, сохранить все данные, была ли настроена система бэкапа, предусмотрены ли в бюджете такие случаи и прочее. Да, это точечно, но, проверяя каждый процесс на такие события, мы сможем понять, какие звенья в организации менее мобильны и тяжело реагируют на изменения, вызванные внешними факторами».

Обзор изменений в политиках, сделанных во время форс-мажорных событий

Одним из неотложных приоритетов для аудиторов является проверка изменений в действующих политиках, которые были внесены во время пандемии или в другой момент турбулентности, чтобы убедиться, что эти изменения сами по себе не представляют риска. Для организаций, которые сократили или просто не соблюдали ранее внедренные политики в качестве способа справиться с кризисом, некоторые из таких изменений могут работать и дальше, и, возможно, их стоит оставить в таком виде. Но «короткие пути» могут быть опасны, особенно в области технологий и найма на работу. 

Однако Артем Горлов, исполнительный директор службы внутреннего аудита ПАО АФК «Система», уверен, что российские компании более устойчивы в соблюдении установленных правил и политик: «Я не заметил, чтобы компании в России сильно изменили свои политики после кризиса COVID-19. В российской реальности кризисы и турбулентность для бизнеса – это обычная ситуация. В связи с этим я вообще не рекомендую внутренним аудиторам тратить много времени на изучение политик и комплаенс-процедур. Понимание аудитором связи рисков, целей компании и задач ответственных определяет присущие процессу контроли и их параметры. Если аудитор выстроил такую взаимосвязь и использует ее при оценке эффективности контролей, то это позволяет ему принести больше пользы компании, нежели просто рассказ о несоответствии текущих контролей политикам». 

Повторная калибровка оценки рисков

Риски, которые, возможно, не вызывали серьезных опасений до пандемии, теперь могут требовать большего внимания. Как объясняет Хассан Хайал (ОАЭ), пандемия изменила взгляд его СВА на риск, что привело к изменениям в том, как он оценивается: «Что сделало нас более устойчивыми, так это уменьшение нашего риск-аппетита. Внутренние аудиторы скорректировали то, как мы оцениваем риск. То, что было бы низким или средним, теперь оценивается как высокое или катастрофическое». 

Анатолий Дороничев, эксперт в области внутреннего аудита и управления рисками, отмечает, что особенно важна трансляция риск-аппетита на более низкие уровни: «Установление общекорпоративного риск-аппетита в какой-то области, например, в размере 1 млрд руб. не дает понимания, как его применять конкретному подразделению. Важно, чтобы была понятная трансляция риск-аппетита, в каком случае решение может приниматься на уровне среднего менеджмента, а в каком – должно быть передано выше. При этом кто-то должен мониторить суммарный потенциальный объем риска, генерируемый различными подразделениями по одному риску. В противном случае это значит, что мы никак не управляем риск-аппетитом».

Кроме того, теперь, когда организации увидели разрушительные последствия сбоев во всем мире, менеджмент и советы директоров гораздо больше заботятся об управлении рисками – и это привело к усилению внимания к важности анализа возможных рисков. Риск теперь – это что-то гораздо более конкретное, а не просто теория, поэтому оценка рисков становится намного важнее.

Дмитрий Жаворонков, руководитель департамента внутреннего аудита ООО «Компания БКС», уверен, что пересмотр уровня оценки рисков в данном случае – это временное явление, поскольку пройдет один-два года, и снова все, что было высоким после пандемии, станет низким. Дмитрий дополняет: «Если говорить про перманентную систему оценки риска со стороны топ-менеджмента, то важна прозрачность методики оценки. При оценке уровня риска важно учитывать частоту совершения событий операционного, финансового и/или иных рисков, а также уровень возможных потерь при их реализации. Так, например, риск объявления локдауна и уменьшения на фоне него спроса на услуги организации будет оценен как «очень редкий», но в то же время будет обладать критическими последствиями в случае реализации. Таким образом, СВА и менеджмент организации не могут оценить его как низкий».

По мнению Николая Шумилова, начальника управления внутреннего аудита ГК «Мангазея», участие внутреннего аудита в пересмотре реестра рисков в части ранжирования и переоценки – благоразумная идея: «Если реестра нет, то внутренний аудит может предложить помощь в его создании. И разрабатывать его стоит с акцентом на наиболее приоритетные риски, поинтересовавшись или даже предложив разумные изменения в существующие риск-аппетиты. Как минимум следует пересмотреть собственную вселенную аудита и карту гарантий. Она, кстати, на первое время может стать вполне рабочей заменой отсутствующей карты рисков. Своевременна будет и работа по анализу существующих контролей на предмет их актуальности и избыточности, особенно при сокращении штата компании».

Действуй заранее, а не реагируй

Пандемия заставила многие организации задуматься о последствиях того, что они были застигнуты врасплох в начале кризиса. Некоторые начали по-новому понимать ценность подготовки с опережением событий и постоянной готовности – не только при столкновении со сложными обстоятельствами.