Внутренний аудит в изменившихся условиях

Внутренний аудит по-новому

Внутренний аудит сталкивается с новыми вызовами и тенденциями. К тенденциям развития современного внутреннего аудита можно отнести реинжиниринг процессов внутреннего аудита, развитие новых подходов, применение новых технологий, а также построение модели управления персоналом, отвечающей современным потребностям. Об этом на конференции  Ассоциации «Институт внутренних аудиторов»  рассказал Геннадий Букаев, вице-президент – руководитель службы внутреннего аудита ПАО «НК «Роснефть». В планировании деятельности внутреннего аудита основными трендами являются сокращение горизонтов планирования до 3-6 месяцев, развитие системы риск-индикаторов, внедрение непрерывного анализа данных. При проведении проверок все большее значение приобретают переход на непрерывный аудит и камеральный формат проверок. При формировании отчетности внутреннего аудита важными являются актуальность информации, гибкость предоставляемых данных.

Продолжила тему Наталия Плотникова, заместитель директора по внутреннему контролю и аудиту – директор департамента внутреннего аудита госкорпорации «Росатом». По ее мнению, сегодня внутреннему аудиту особенно важно прислушиваться к ожиданиям заинтересованных сторон и быстро реагировать на них, координировать деятельность с другими бизнес-процессами, действовать на опережение, ставить под сомнение существующие практики. 

Главное – сфокусироваться на целеполагании. Внутренний аудит должен обеспечить охват гарантиями областей риска, влияющих на достижение целей. То есть при выборе аудиторских мероприятий ориентироваться нужно не на цели процесса, а на его роли в достижении общего результата. 

Спикер отметила, что важными темами для аудита сейчас являются вопросы импортозамещения, отказ от исполнения действующих контрактов со стороны поставщиков, сбои в существующих логистических цепочках, волатильность валют и ограниченность финансирования. 

Другим важным фокусом становится внутренний консалтинг, поскольку он обеспечивает быстрые, качественные и независимые оценки для менеджмента при принятии решений в различных областях. Это формирует потребность в наличии эффективной системы непрерывного повышения уровня профессионально-технических навыков команды аудиторов.

Подробнее о консалтинговой работе внутреннего аудита читайте в статье «Внутренний аудит во времена нестабильности: акцент на консалтинг»

Участники конференции также обсудили, как внутреннему аудиту оставаться эффективным в условиях ограниченности ресурсов. Одно из решений – это скользящее планирование и использование внешних экспертов. Об этом рассказал Владимир Кременицкий, директор по внутреннему аудиту ООО «АИМ Холдинг». У внутреннего аудита  нет жесткой привязки  к целям и задачам бизнеса. Основная задача ВА – профессиональное и кропотливое диагностирование «бизнес-организма» для выявления «болевых точек» и их «лечения». Для решения этой задачи ВА должен быть гибким и быстро реагировать , перераспределяя свои фокусы на наиболее болевые точки и сбои в процессах.

Классические подходы к аудиторской деятельности в кризис могут не сработать, продолжил Дмитрий Бочаров, главный внутренний аудитор Askona Life Group. Внешняя среда меняется быстро, и внутренний аудит должен соответствовать этой динамике. Требуются гибкие форматы работы, новые подходы к формированию команд и проведению проверок. Стоит сфокусироваться на бизнес-задачах и новых рисках: чаще актуализировать годовой план, проводить быстрые аудиты, сконцентрироваться на решении проблем.

Непрерывный аудит в энергетическом секторе

В турбулентные времена решать актуальные задачи помогает непрерывный аудит. Людмила Диордиева, директор по внутреннему аудиту ООО «Интер РАО – Управление электрогенерацией», поделилась своим опытом. 

Служба внутреннего аудита с учетом новых реалий пересматривает приоритетность своих задач и в настоящее время смещает фокус на: 

• оценку рисков, в том числе при достижении целей компании, при принятии управленческих решений; 

• рациональное использование денежных средств компании; 

• сохранность активов; 

• консультационную деятельность, инициатором которой является менеджмент компании.

С помощью непрерывного аудита бизнес-процессов компании можно повысить полезность функции внутреннего аудита для компании за счет: 

• выбора актуальных для бизнеса объектов проверок по результатам предварительного обследования и использования системы индикаторов внутреннего аудита;

• оптимального распределения ресурсов службы внутреннего аудита; 

• своевременного информирования менеджмента компании о рисках, недостатках, мошенничестве. 

По словам Людмилы Диордиевой, переход на такой вид проверок стал возможен благодаря автоматизации процессов в компании, накопленному опыту внутреннего аудита и доступу к информационным потокам.

подробнее

Внутренние аудиторы крупных компаний уделяют внимание и  ESG-повестке . Ей посвятил свое выступление Вадим Желтухин, начальник управления внутреннего аудита АК «АЛРОСА» (ПАО). ESG-повестку «АЛРОСА» формируют тенденции климатических и социальных изменений, рост внимания инвестиционного сообщества к нефинансовым рискам и отток капитала из загрязняющих секторов, а также распространение практики ответственного инвестирования.  УВА  компании проводит аудиты процессов по тематике ESG. Например: промышленная безопасность, охрана труда, кадровые вопросы, корпоративное управление, мероприятия по охране окружающей среды. Основные сложности для проведения аудита ESG-отчетности – это многообразие и разнородность подходов к ее подготовке: незрелые требования к отчетности, отсутствие единого подхода в российской практике, недостаточный опыт внедрения и отсутствие лучших практик в алмазодобывающем секторе.

Развитие компетенций команды внутреннего аудита

Важность профессионального развития сотрудников подчеркнули все спикеры конференции. Александр Московкин, директор департамента внутреннего аудита компании Sitronics Group, отметил, что руководителю внутреннего аудита для определения направления профессионального развития команды нужно учитывать общие аудиторские навыки, знание отрасли и бизнеса компании, специфичные для функции задачи. При этом развитие профессионализма должно быть направлено на команду в целом. Здесь следует руководствоваться принципами баланса между привлечением новых игроков, обладающих необходимыми знанием и опытом, и развитием имеющихся членов команды,  оценкой команды , составленными планами развития. Для обучения, требующего финансовых затрат, необходим «спонсор»: совет директоров или высший менеджер. Александр Московкин отметил, что степень формализации и детализации оценки команды зависит от ее численности и применяемой в СВА методологии: чем малочисленнее функция аудита, тем более многогранными знаниями и навыками должен обладать каждый из аудиторов и тем менее формальными будут оценка и планы развития. Для достаточно крупных функций аудита остро стоит вопрос индивидуализации планов развития каждого работника, чтобы не попасть в ситуацию наличия работников с единым профилем компетенции, которые взаимозаменяемы, но не синергичны. 

При необходимости поиска источника средств на обучение работников СВА внутри компании – поиске «спонсора» – руководитель ВА попадает в некий парадокс: чтобы обеспечить расходы компании на профессиональное развитие СВА, он уже должен иметь профессионально развитую команду. В противном случае получить средства на развитие и убедить в его необходимости не получится. Поэтому на ранних этапах жизненного цикла службы внутреннего аудита следует задуматься о профессиональном развитии, не требующем значительных расходов. Сюда можно отнести, например, самообразование аудиторов, участие в волонтерских программах Института внутренних аудиторов, развитие методологии функции. Также одним из способов повышения профессионализма служб, не требующим финансовых затрат, может являться наставничество.

В продолжение темы Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот», перечислил инструменты для постоянного развития компетенций команды внутреннего аудита компании: 

• карта компетенций, в которой установлены требования к уровню владения компетенциями в разрезе должностей: управленческие, профессиональные, корпоративные; 

• получение профессиональных сертификатов и прохождение программ обучения; 

• участие в профессиональных конкурсах, например, Национальной премии «Внутренний аудитор года»; 

• оценка по результатам каждого аудита, для которой используются опросные листы и анкеты; 

• институт наставничества (практика шефства над новыми сотрудниками), по результатам которого формируется отчет с дальнейшими рекомендациями по улучшению отдельных компетенций внутреннего аудитора; 

• составление индивидуальных планов развития, в которых устанавливаются цели на очередной год, планируются внутренние обучающие мероприятия и самостоятельная теоретическая подготовка для улучшения имеющихся компетенций и получения профессиональных сертификатов.

Применение инструментов обработки и анализа цифровых данных

О Data-driven-подходе в аудите рассказали представители Сбербанка России – Людмила Ильина, управляющий директор – заместитель директора управления внутреннего аудита центрального аппарата Сбербанка России, и Михаил Савчук, начальник отдела информационных технологий управления внутреннего аудита по Среднерусскому банку Сбербанка России. С его помощью внутренние аудиторы банка: 

• увеличили охват проверок и за 2021 год проверили 810 процессов банка (это 39% от всех процессов банка); 

• используют 100% объема данных (а не их выборку) во всех аудитах; 

• снизили нагрузку на проверяемые подразделения и обсуждают с ними только результаты проверки и план мероприятий. 

Продвинутые методики обработки данных позволяют не ограничиваться классическими источниками. По словам спикеров, для проверок внутренние аудиторы берут журналы автоматизированных систем, тексты, сканы документов, видео- и аудиозаписи. Большой объем и разнообразие данных позволяют не опираться на опыт отдельно взятого аудитора, а использовать аналитические инструменты для формирования гипотез и их проверки. 

Примеры из практики: 

• при оценке качества учета и эффективности разработки трех тысяч команд СБЕРа внутренние аудиторы обогатили данные по командам, затратам, релизам и задачам разработки в JIRA, построили воронку разработки и выявили области для улучшения процесса; 

• при анализе клиентского опыта на примере 518 тыс. клиентов, которые заказывали карту на сайте банка, был использован process mining по журналам автоматизированных систем, это позволило выявить отклонения в клиентском пути и дать рекомендации по их устранению; 

• для выявления жалоб пользователей мобильных приложений по 258 тыс. отзывов в Google Play и AppStore был создан инструмент автоматизированной классификации отзывов методами text mining и machine learning, который применили для анализа клиентского опыта сервисов СБЕРа и сравнения с конкурентами.

Вероника Семенова, глава внутреннего аудита энергетической компании «Юнипро», также поделилась опытом внедрения инструмента цифровой аналитики. Подобные инструменты позволяют автоматизировать  многочисленные процедуры, которые ранее делались вручную , и дают возможность проводить непрерывный аудит. Таким образом, в любой момент можно увидеть необходимую информацию, не собирая огромный массив бумажных документов и не анализируя их вручную. Целью команды внутреннего аудита было создать универсальный инструмент цифровой аналитики, который позволял бы в режиме реального времени подсвечивать так называемые «красные флаги» и указывать на потенциальные риски мошенничества и сговора. Отправной точкой был выбран процесс закупок как наиболее сложный и интересный в части массива данных. Есть тесты на выявление поставщиков со значительным объемом контрактов или тендерных предложений по нетипично большому перечню номенклатур, на успешность участия поставщиков в тендерах, на выявление дополнительных соглашений, увеличивающих стоимость первоначально заключенного контракта и подписанных вскоре после его заключения. Тесты позволяют сопоставить информацию об участниках закупочной процедуры с исторической информацией о подобных закупках или с историей взаимодействия с конкретным контрагентом. Благодаря тестам можно понять, насколько успешно на протяжении времени выигрывает в тендерах один и тот же контрагент, всегда ли его сопровождает один и тот же закупщик компании. Возможно, наоборот, контрагент регулярно проигрывает, и это наводит на мысль о его фиктивном участии и др. Докладчик подчеркнула, что во главе процесса всегда был и остается человек. Выводы искусственного интеллекта – не основание для окончательного вывода: система просто оперативно и качественно выявляет «симптомы». Руководствуясь красными флагами, специалист более детально разбирается в ситуации. 

Выступление Алексея Алексеева, руководителя департамента ИТ- и технических аудитов дирекции внутреннего аудита ПАО «Вымпелком», было посвящено аудиту процессов оценки и управления рисками информационной безопасности. Докладчик отметил важность ИБ в системе координат вселенной ИТ-аудитов современных компаний и устойчивую тенденцию к росту критичности данного направления. «Среди ключевых рисков ИБ, на которые должен быть направлен аудит, можно назвать следующие: риск неполного выявления информационных активов, подлежащих защите; риск некорректного определения ценности информационных активов; риск неполного/некорректного выявления угроз и уязвимостей, которым подвержены активы, подлежащие защите; риск некорректного расчета вероятности реализации угроз и их влияния на бизнес; риск выбора методов реагирования на риски ИБ, которые неадекватны выявленным угрозам (в т.ч. необоснованное принятие менеджментом рисков)», – отметил он.

Внутренний аудитор в рамках проверок может задействовать одновременно несколько распространенных в мире методик по управлению рисками ИБ: например, NIST Management Framework, ISO/IEC 27005, FRAP, OCTAVE, FAIR и др. Как показал опыт, для проведения эффективного аудита стоит придерживаться следующих основных этапов: 

1. Проверка порядка формирования информационных активов, имеющих ценность для компании; 

2. Проверка порядка выявления угроз (в т.ч. векторов и площадей атак), которым подвержены информационные активы; 

3. Проверка порядка выявления уязвимостей в составе информационных активов (в т.ч. с помощью методов программно-аппаратного, инструментального анализа); 

4. Проверка порядка формулирования сценариев риска, подходов к количественной оценке их вероятности и ущерба; 

5. Проверка рисков ИБ, исходящих из взаимодействия с третьими сторонами (поставщиками, подрядчиками, бизнес-партнерами и пр.); 

6. Оценка применения страхования от киберрисков; 

7. Интеграция мероприятий по управлению рисками ИБ в процессы обеспечения реагирования на инциденты, аварийного восстановления и непрерывности деятельности (в т.ч. кризисного управления).  

Данный подход является достаточно гибким и может быть реализован в форме как самостоятельной проверки, так и комплексного аудита ИБ (в т.ч. с участием сторонних специалистов по тестированию безопасности).   

Выбирая из многообразных публичных инцидентов информационной безопасности, Наиль Айнетдинов, руководитель направления по аудиту информационной безопасности Tele2, сделал акцент на двух наиболее тревожных для бизнеса случаях: 

1. утечка данных клиентов со всеми сопутствующими последствиями;

2. кибератака с нарушением непрерывности бизнес-процессов и приостановкой услуг.

Утечки данных необязательно появляются вследствие кибератак, а от угрозы со стороны инсайдера, тем более обладающего техническими навыками обхода средств защиты, защититься крайне сложно. Учитывая, что штрафы за утечки для бизнеса пока невысокие, основным последствием такого инцидента является репутационный ущерб. Во втором случае, который чаще проявляется как атаки групп шифровальщиков-вымогателей, основным последствием является финансовый ущерб – от простоя бизнес-операций, от затрат на восстановление, иногда прямые затраты на выкуп вымогателям. Следует обращать внимание и на такие явления, как хактивизм, а для особо интересных бизнесов – на атакующих, спонсируемых государствами.

Внутренний аудит способен помочь бизнесу справиться с этими вызовами, если сумеет проявлять гибкость и делать акценты на действительно важных угрозах и рисках. Как отметил спикер, проверки соответствия стандартам или отраслевым требованиям – дело нужное, но их результаты могут не приводить к снижению рисков и практическим улучшениям по защищенности бизнеса, если подходить к этому формально. С другой стороны, исключительно технические проверки практического состояния безопасности, не наполненные бизнес-контекстом, также могут отвлекать ресурсы на устранение уязвимостей, которые в реальности вряд ли бы использовались атакующими. Аудит может сочетать эти подходы, дополняющие друг друга, в рамках риск-ориентированного подхода внутреннего аудита. Этот подход помогает бизнесу разобраться, какие проблемы ИБ сейчас действительно важны и приоритетны.

Участники конференции сошлись во мнении, что в условиях новых вызовов и возможностей внутренний аудит должен работать совместно с бизнесом, быть гибким и оперативным, точно реагировать на внешние изменения и потребности руководства компании. Таким образом, скорость, гибкость, качество и технологичность – вот актуальные характеристики службы внутреннего аудита для успешного преодоления вызовов сегодняшнего дня.

В октябре этого года в Сочи состоится Региональная конференция Института внутренних аудиторов. А следующая Национальная конференция Института внутренних аудиторов состоится весной 2023 года.