Новости и аналитика Информационное партнерство Мероприятия с участием ИА "ГАРАНТ" IX Региональная конференция Института внутренних аудиторов "Внутренний аудит в России: развитие в цифровую эру"

IX Региональная конференция Института внутренних аудиторов "Внутренний аудит в России: развитие в цифровую эру"

Дата проведения: 18-19 октября 2018 г.

Место проведения: Казань

IХ Региональная конференция Института внутренних аудиторов «Внутренний аудит в России: развитие в цифровую эру»

18-19 октября 2018 года в Казани состоялась 9-я Региональная конференция «Внутренний аудит в России: развитие в цифровую эру», организованная Институтом внутренних аудиторов совместно с Казанским инновационным университетом имени В.Г.Тимирясова (ИЭУП). Мероприятие, на котором представителей крупнейших компаний российского бизнеса поделились своим опытом и видением перспектив внутреннего аудита в эпоху развития ИТ, собрало около 200 представителей профессии.

Почетные гости Конференции – Ирина Антонова, д.э.н., профессор, проректор Казанского инновационного университета имени В.Г.Тимирясова, и Артур Николаев, первый заместитель Председателя Союза "Торгово-промышленная палата Республики Татарстан" – выступили с приветственными словами.

Лейтмотивом мероприятия стало влияние технологий на развитие внутреннего аудита. Все спикеры отметили, что цифровая трансформация бизнеса, скорость изменений, увеличение массивов данных и другие тенденции напрямую влияют на изменение работы внутреннего аудитора и используемых им инструментов.

Выступление Алексея Сонина, директора Института внутренних аудиторов, было посвящено трендам в развитии внутреннего аудита, которые продиктованы эпохой быстрых изменений. Сейчас внутреннему аудиту необходимо фокусироваться на вопросах изменений традиционных технологий, методов и подходов в бизнесе, поскольку бизнесу необходимы гибкость, быстрота и инновации. Во-вторых, финансовые риски уходят из группы лидеров, их сменяют риски, связанные с ИС/ИТ. Поэтому внутренним аудиторам необходимо пересмотреть свои приоритеты, выделяя больше времени и ресурсов областям ИС/ИТ, кибербезопасности.

Еще одной тенденцией во внутреннем аудите становится планирование в режиме реального времени, когда изменения в планы вносятся оперативно по мере проявления новых рисков. Четвертый тренд – это использование современных технологий. Технологиями сегодняшнего дня во внутреннем аудите являются специализированное программное обеспечение для целей управления деятельностью внутреннего аудита (IA management software), анализ больших массивов данных (data mining), непрерывный аудит (continuous auditing). Пятый тренд связан с навыками, необходимыми внутреннему аудитору. Снижается традиционный спрос на финансовые знания и быстро растет спрос на аналитическое/критическое мышление, навыки убеждения и разрешения конфликтов, работы с большими массивами данных, знания в области ИС/ИТ, кибербезопасности. При этом во внутреннем аудите остается стабильно высоким спрос на коммуникативные навыки, знание отрасли/бизнеса.

Александр Лейфрид, вице-президент – руководитель Службы внутреннего аудита ПАО «ЛУКОЙЛ», представил информационную стратегию компании, основными цифровыми программами которой являются цифровые двойники, роботизация, цифровой персонал и цифровая экосистема.

Реализация этих программ будет происходить посредством таких технологий, как промышленный интернет вещей, роботы и дроны, мобильные устройства, большие данные, технологии взаимодействия, искусственный интеллект и облачные технологии. В частности, цифровой двойник – это модель производственного или экономического объекта, которую можно использовать для прогнозирования его работы и поиска оптимальных решений. В качестве примера цифрового двойника докладчик привел интеллектуальное месторождение – систему оперативного управления нефтегазовым промыслом, которая включает в себя набор бизнес-процессов, направленных на оптимизацию добычи, сокращение финансовых потерь, и быстрое принятие решений на основе данных, полученных в режиме реального времени.

Александр Лейфрид отметил, что в компании уже реализован целый ряд интерфейсов взаимодействия с налоговыми органами, с органами технического надзора. В выступлении также были представлены цифровые инициативы внутреннего аудита: роботизация рутинных операций, разработка аналитического инструмента выявления аномалий в данных, федерализация данных, платформа текущего контроля и аналитический инструмент выявления аномалий в процессах (Process Mining).

Анна Лернер, главный аудитор ПАО «Ростелеком», рассказала об опыте внедрения непрерывного аудита в компании в тесном взаимодействии с риск-менеджером. Спикер отметила, что в настоящее время владение актуальной информацией является ключевым аспектом в работе внутренних аудиторов. Повышение скорости анализа и обработки информации в условиях цифровизации экономики – необходимые аспекты успешной деятельности. Основными инструментами для непрерывного повышения качества рекомендаций являются:

• Повышение качества и своевременности выводов аудиторов за счет превентивного контроля и фокусировки на ключевых проектах и областях бизнес-процессов с учетом стратегических рисков;

• Повышение скорости анализа и обработки данных за счет получения информации о ключевых показателях бизнес-процессов и ключевых проектов в режиме online и использования единых стратегических и операционных индикаторов для всех бизнес-единиц и дочерних и зависимых обществ (далее – ДЗО);

• Расширение зоны контроля путем интеграции ДЗО в контур мониторинга и увеличения покрытия высокорисковых областей за счет цифровизации этапа предварительного аудита.

Внедрение вышеупомянутых инструментов создает экосистему внутреннего аудита, контролей и рисков в компании, которая обеспечивает взаимодействие участников всех трех линий защиты и отсутствие дублирования функций. Так, риск-менеджеры разрабатывают стратегические индикаторы рисков, которые отражают стратегические цели ключевых бизнес-процессов, а внутренние аудиторы на основании опыта проведения аудитов – операционные индикаторы, которые отражают причины недостижения стратегических целей.

Юлия Грачева, старший менеджер отдела по предоставлению услуг в области бизнес-рисков EY, в своем выступлении затронула эффективность и актуальность использования аналитики данных во внутреннем аудите и возможность применения и интеграции технологий роботизации при помощи аналитики.

Спикер привела различные варианты применения аналитики в деятельности внутреннего аудита, в т.ч. для целей приоритизации рисков, проведения бенчмаркинга, выявления индикаторов рисков мошенничества, визуализация данных, реализации инструментов непрерывного мониторинга и проч. В качестве системы, позволяющей осуществлять аналитику данных и визуализировать итоговые результаты, была представлена новая аналитическая платформа компании EY – EY Optix, которая способна в кратчайшие сроки обрабатывать различные массивы данных на основе предустановленных тестов по различным бизнес-процессам (например, осуществлять сложные математические расчеты, выявлять повторяющиеся параметры в мастер-данных поставщиков, осуществлять проверку своевременности оплаты счетов, отслеживать неучтенные отпуска сотрудников и многое другое). Система позволяет обрабатывать и визуализировать информацию на основе полных популяций данных, что предоставляет возможность получать четкие, корректные и простые результаты.

Сергей Бурков, председатель Совета Института внутренних аудиторов, посвятил свое выступление эффективному внутреннему аудиту. Докладчик подчеркнул, что ограничение вклада внутреннего аудита в повышение эффективности и ценности бизнеса компании связаны с пробелами в организации бизнес-процессов, недостаточной интегрированностью управления рисками и систем внутреннего контроля во все бизнес-процессы компании, неразвитостью корпоративной культуры «извлечения уроков», в том числе по причине недостаточности внимания директоров к этой проблематике корпоративного управления.

В результате внутренний аудит нередко по-прежнему сохраняет существенные элементы ревизорской направленности своей работы, когда фиксируются только отклонениях и нарушениях без анализа существенности их влияния на достижение целей компании и, главное, без идентификации коренных причин нарушений. На основании чего и возможно предложить компании действия по устранению корневых причин недостатков и не оптимальностей бизнес-процессов в целях повышения стоимости компании. В противном случае возникает риск имитационной модели внутреннего аудита только лишь по форме (названию функции), соответствующей Кодексу корпоративного управления, однако не обеспечивающей выполнение своей основной миссии по вкладу в эффективность компании. Лекарством от этой «болезни корпоративного роста» может быть разработка национальных стандартов Систем управления рисками и внутреннего контроля, а также внутреннего аудита в совокупности с нахождением оптимальных регуляторных механизмов их внедрения и функционирования в целях повышения эффективности компаний.

Алексей Чепайкин, директор по внутреннему контролю и аудиту АО «Концерн Росэнергоатом», в своем выступлении сформулировал определение бережливого внутреннего аудита, как концепцию организации внутреннего аудита, основанную на подходе постоянного совершенствования процедур и устранения потерь в процессе предоставления независимых оценок и внутренних консультаций, рассматриваемых как поток создания ценностей для потребителя. Принципы бережливого внутреннего аудита идентичны принципам бережливого производства. Алексей Чепайкин обозначил, что истинной ценностью для потребителей внутреннего аудита, в конечном итоге, является устраненное отклонение (далее по тексту – отклонение) или минимизированный риск. Служба внутреннего аудита, работающая в данной концепции, строит свой процесс как поток формирования ценности, который позволяет организовать процесс последовательно, понять какие операции добавляют ценность, какие – нет, но являются обязательными, а какие – просто потерями.

Концепция предполагает, что поток формирования ценности организуется как поток единичных изделий. Изделия обрабатываются и передаются по одному по порядку по мере поступления, не допуская формирования запасов, простоев и перепроизводства. Подход также помогает оперативно выявлять проблемы и брак. В концепции бережливого внутреннего аудита единичное изделие – это отклонение, и важно организовать поток создания ценности так, чтобы он не прерывался. Акт/ отчет аудитора, в котором информация долго накапливается и ждет доклада –это условный склад, формирующий потери времени для устранения. При реализации проекта в рамках производственной системы «Росатома» подразделениями внутреннего аудита и контроля Концерна «Росэнергоатом» были выявлены потери – отклонения дожидались решения по устранению после выявления от 30 до 70 дней. Теперь, после двух аудиторских проектов-экспериментов, средний срок принятия решения в отношение выявленного отклонения составляет 10 дней.

Коллеги из Управления внутреннего аудита двух территориальных банков ПАО Сбербанк – Олег Неелов, начальник отдела Среднерусского банка, и Максим Романов, главный аудитор Волго-Вятского банка, – поделились опытом трансформации процесса проведения аудита в банке. Основное внимание было уделено решению проблемы доведения результатов проверок до руководства банка, учитывая сложную организационную структуру и широкую сеть филиалов по всей России. Действовавший ранее подход в проведении проверок по большому спектру направлений бизнеса на одной территории показал ряд недостатков, в их числе: сложность восприятия руководством большого количества одновременно обозначенных проблем, принятие решений локально на своей территории, выбор различных алгоритмов и методов в формировании фактуры. Выходом из сложившейся ситуации стал переход к проведению спринт-проверок, для которых выбирался один вопрос, проверяемый в течение короткого промежутка времени по всей территории банка. Важным шагом для реализации данного подхода стали реорганизация командного взаимодействия и трансформация ИТ-ресурсов. Отныне каждая команда, участвующая в спринте, в обязательном порядке содержала не менее трех участников: product owner (знает процесс, формирует гипотезы проблем), data engineer (знает, в каких системах находятся данные) и ИТ-специалист (знает, какую технологию применить для обработки данных). Вместе с тем службой внутреннего аудита было принято решение о централизации всех серверов территориальных банков на одном центральном сервере и создание единой базы данных, содержащие «срезы» автоматизированных систем по всем территориям. Результатом данной трансформации стали выявленные проблемы в важных для клиента процессах и реализованные предложения по их устранению.

Выступление Максима Мамонова, директора по внутреннему контролю и аудиту ПАО «МТС», было посвящено проведению аудита ИТ-функции в компании. Также, как и в традиционном аудите, ИТ-аудит проходит все этапы проведения проверки: уведомление о начале, исследование имеющейся информации, составление опросников для встреч, запрос всей необходимой информации, проведение запланированных аудиторских процедур, формирование аудиторского отчёта, обсуждение результатов аудита с топ-менеджментом, проработка рекомендаций по устранению недостатков. При этом срок выполнения ИТ-аудита не превышает 40 рабочих дней.

Отличительной особенностью ИТ-аудита является проведение встреч по схеме «сверху-вниз». Это имеет особое значение, так как позволяет обнаружить потенциальные файндинги на этапе обследования и сконцентрировать силы аудиторов на исследовании потенциальных файндингов. Процесс ИТ в любой компании будет похож на айсберг: есть верхушка, видимая всем, и «подводная часть», которую аудиторы могут изучить только, погрузившись в процесс. Максим Мамонов подчеркнул, что внутренние аудиторы достаточно хорошо знают ИТ-процессы головной компании, и при проведении внутренних проверок в крупных холдинговых структурах стоит обращать особое внимание на ИТ-функции дочерних компаний, где, зачастую, контроль технических аспектов деятельности выполняется с использованием формального подхода. Также опыт показывает, что на этапе обследования ИТ-функции самую ценную информацию удается получить при встрече с ключевыми специалистами и с людьми «на местах».

Во второй день конференции, в рамках секции Международной ассоциации ISACA, посвященной методологиям и подходам внедрения и управления цифровизацией, Алексей Шиндин, CISA, CISM, CGEIT, президент Московского отделения ISACA, рассказал об определении наиболее приоритетных областей и направлений развития ИТ для достижения целей и задач предприятия. В основе идеи лежит Принцип №1 «Бизнес-модели руководства и управления ИТ на предприятии» методологии COBIT 5, который описывает взаимосвязь целей и задач бизнеса с целями ИТ и процессами руководства и управления ИТ на предприятии. Задача ИТ обеспечивать результат, необходимый для достижения целей и задач бизнеса при оптимуме затрат и ресурсов и минимуме рисков для бизнеса. Методология COBIT 5 предлагает прозрачный способ приоритизации процессов руководства и управления ИТ на базе приоритизации целей и задач бизнеса предприятия.

Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА»), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.