Отчет о VIII региональной конференция Института внутренних аудиторов "Внутренний аудит в России"
5-6 октября 2017 (Сочи). В Сочи состоялась 8-я региональная конференция Института внутренних аудиторов* "Внутренний аудит в России". Основными темами мероприятия стали: внутренний контроль, управление рисками, комплайенс - роль внутреннего аудита, передовые методы и подходы во внутреннем аудите, влияние информационных технологий на внутренний аудит, ключевые факторы повышения качества внутреннего аудита, компетенции и профессиональное развитие внутренних аудиторов. Компания "КонсультантПлюс" выступила информационным партнером.
Почетным гостем Конференции стал Сергей Анатольевич Швецов, первый заместитель Председателя ЦБ России, который рассказал о работе советов директоров, внутреннем и внешнем аудите.
Предлагаем вам ключевые тезисы других докладчиков - представителей крупнейших компаний российского бизнеса.
Артём Горлов, начальник управления внутреннего аудита ПАО "ФосАгро", рассказал об особенностях внутреннего аудита в динамичных компаниях и поделился практикой "ФосАгро", сделав упор на стадию предварительного исследования процесса: "Всё чаще одним из ключевых факторов успешности компаний, работающих в сильной конкурентной среде, называется навык быстро адаптироваться к внешним изменениям и умение эффективно внедрять новые технологии. Динамичность изменений в бизнес-процессах компаний требует того же от системы внутреннего контроля, а это уже напрямую затрагивает работу внутреннего аудита.
В компаниях, где постоянно происходят изменения бизнес-процессов и при этом низкий уровень формализации процедур, аудиторам становится сложнее в достаточной мере проанализировать процессы и контроли до этапа тестирования. Зачастую это приводит к следующим последствиям:
- Аудит не выявляет и не тестирует ключевые контроли
- Рекомендации по итогам аудита не актуальны и не раскрыты в должной мере
- Возрастают трудоемкость аудитов и риски срыва заявленных сроков аудита.
Для повышения эффективности аудитов и снижения вероятности наступления вышеперечисленных последствий в ПАО "ФосАгро" успешно применяется следующий подход.
По итогам предварительного исследования бизнес-процесса составляется ознакомительный отчет, который включает в себя:
- Информацию о материальности каждого изучаемого подпроцесса
- Ключевые тренды с учетом управленческих решений и сравнение с целями компании
- Краткое описание ключевых контролей
- Выводы касательно периметра аудита и возможных результатов.
Данный отчет презентуется заказчику аудита, а также объекту аудита, но только тогда, когда это не подвергает риску эффективность будущего тестирования контролей. Желательно презентовать такой отчет заказчику в формате презентации с упором на визуализацию данных, чтобы изучение материала было максимально комфортным. Основными целями обсуждения отчета являются составление матрицы рисков и контролей релевантной целям и задачам, стоящих перед компанией, уточнение периметра проекта и оценка необходимого уровня проработанности рекомендаций.
Помимо этого, менеджер проекта убеждается в достаточности компетенций команды для успешного выполнения аудита.
За два года работы внутреннего аудита по такой методологии в ПАО "ФосАгро" повысилась актуальность наблюдений в финальных отчетах и проработанность рекомендаций, улучшились коммуникации с менеджментом за счет роста знаний в аудируемых процессах и наблюдается рост доверия со стороны заказчика аудита за счет повышения прозрачности процесса аудита".
Как грамотно управлять рисками и выявлять хищения, слабые места, диагностировать ошибки и нарушения регламента, мошенничество в бизнес-процессах? Об этом рассказал Андрей Нифатов, руководитель центра экспертизы SAP GRC CIS. В качестве примера он привел использование решения SAP GRC, которое интегрируется и масштабируется под компании любого размера и содержит обширный функционал для обнаружения и управления рисками, непрерывного контроля и аудита бизнес-процессов.
В системе содержатся различные компоненты для диагностики несанкционированного доступа и распределения должностных обязанностей, управления процессами соответствия требованиям регуляторов, налоговых органов и достоверности финансовой отчетности. Кроме этого, решение может использоваться для функций внутреннего аудита и управления корпоративными рисками. Например, проверка отклонения цены в счете-фактуре по сравнению с заказом на закупку, расхождения в дате поставки, динамика изменения цен за последние три месяца и закупка без контракта. При этом, информация об отклонениях бизнес-процесса может накапливаться в базе знаний и затем использоваться для самообучения. Этот процесс строится на классификации отклонений по результатам регрессионного анализа и обучения нейронной сети (ridge regression).
SAP помогает компаниям выработать индивидуальный подход к процессу внутреннего контроля, а организация и исполнение этого процесса становится обязанностью руководителя, участвующего в операционной деятельности. При этом за эффективностью контроля следит подразделение внутреннего аудита.
На этапе подготовки компании оценивают риски, выявляют узкие места бизнес-процессов и рассчитывают количественный эффект от автоматизации системы. По опыту компании Exxaro, ожидаемый экономический эффект от проекта управления рисками и внутреннего контроля оценили в 800 000$.
Работа с SAP GRC не всегда требует входа в систему. Задачи, связанные с оценкой рисков, проверками, оценкой эффективности контроля аудита могут выполняться через электронную почту. Сотруднику высылается интерактивный pdf-файл для регистрации в системе SAP, а результат проверки или опроса направляется обратно в систему по электронной почте.
выступление Сергея Швецова, первого заместителя Председателя ЦБ России,
посвященное работе советов директоров, внутреннему и внешнему аудиту
Сегодня одной из актуальных задач для GRC является новая форма налогового контроля - налоговый мониторинг. При помощи гибких сценариев проверки данных налогового учета за любой период и с любой глубиной детализации возможно снизить налоговые риски при подготовке отчетности и устранить ошибки, связанные с человеческим фактором.
В качестве еще одного примера можно привести проект в ПАО "Аэрофлот", о котором рассказала Татьяна Кутакова, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО "Аэрофлот". В целях оптимизации процесса проведения аудита и мониторинга исполнения рекомендаций, а также соблюдения требований Международных стандартов внутреннего аудита в 2015 году в ПАО "Аэрофлот" была автоматизирована функция внутреннего аудита. Выбранное решение SAP Audit Management до этого еще не внедрялось на российском рынке. Была проделана большая работа по расширению функциональности системы, которую группа разработчиков SAP и проектная команда "Аэрофлота" осуществляли в тесном сотрудничестве. Итоги проекта полностью оправдали ожидания. В настоящее время все элементы внутреннего аудита автоматизированы на основе единой системы. База рисков и контролей ведется в привязке к бизнес-процессам и автоматически актуализируется по результатам проведенных аудитов. При этом обеспечивается соблюдение международных стандартов внутреннего аудита и концептуальных основ управления рисками и контролями организаций. По результатам внедрения продукта процесс аудита не изменился, но существенно ускорился и стал более прозрачным. Снизились операционные затраты на обеспечение качества внутреннего аудита.
Денис Мушинский, финансовый директор ООО "Экватор", продемонстрировал 4 шага проверки ценообразования в учетных системах: "Фактор цены оказывает наибольшее влияние на размер чистой прибыли бизнеса. Исследование McKinsey & Co. Global 1200 (2002г.) выявило закономерность: +1% к цене дает +11% к чистой прибыли. Эта формула работает и в обратном направлении, достаточно снизить цены на 1% и бизнес потеряет 11% чистой прибыли. Как показал мой опыт (на примере автохолдинга): наибольшие резервы для повышения эффективности ценообразования находятся на стыке пользователи - учетная система.
За любой учетной системой прямо или косвенно стоят люди, а значит, есть человеческий фактор. Необходимо снизить его влияние на цены, в результате чего прибыль компании вырастет. Итак, 4 шага проверки:
1. Проверка прав пользователей. Надо найти ответы на следующие вопросы:
- Кто из пользователей устанавливает цены? Был опыт, когда цены устанавливали программисты, маркетологи и даже бухгалтера. Такой хаос приводит к ценовым потерям.
- Как он это должен делать? В каком направлении идет ценообразование, добавляется наценка к базовой закупочной цене или скидка идет от базовой розничной цены. К одной и той же номенклатурной позиции разные пользователи применяли разный подход, на больших объемах реализации потери были солидными.
- Кто и какие скидки может предоставлять? Большинство компаний в своих учетных системах настраивают контроль прав, и обычный менеджер по продажам не может раздавать скидки, исходя из своего собственного понимания рынка. Но, например, максимальную скидку мог давать только коммерческий директор, и в выходные, когда он не работал, чтобы не доставлять дискомфорт покупателям, он оставлял пароль от своей учетной записи доверенному лицу; со временем пароль вышел из-под контроля, и как следствие - средний размер скидки увеличился.
2. Проверка уязвимых мест учетной системы. Чем лучше настроены права пользователей, тем неудобнее самим пользователям. Пользователи с этим не согласны и начинают искать обходные пути для достижения желаемого результата. Одни грубой силой стараются затолкать в учетную систему свое решение (например, ходят от отдела к отделу, чтобы добиться своего), другие будут искать слабые места программы.
3. Проверка правильность переноса цен в учетную систему, а фактически - правильности коммуникации. Здесь в наиболее полной мере раскрывается человеческий фактор: одно и то же указание каждый может понять по-своему. Например, в ходе проверки были выявлены заказ-наряды, по которым в рамках маркетинговой акции клиентам выдавалась скидка 30% от итоговой суммы, что приводило к убытку. Идея была в том, чтобы давать скидку только на работы, а исполнители поняли, что скидку надо давать на весь заказ-наряд. Подобная путаница часто касается и НДС: "с учетом НДС" или "НДС сверху".
4. Аудит маркетинговых активностей. Сильнее всего на конечную цену влияет скидка, которая является одним из орудием маркетологов. Что важно проверить в маркетинге? Чтобы не выдавалась скидка на скидку, если это не маркетинговый ход. Пробел может возникнуть из-за одновременного запуска нескольких маркетинговых активностей, у которых нет одного хозяина. Программу могут инициировать: руководители подразделений, отделы продаж, маркетологи, управляющая компания, компания-производитель. Программы могут конфликтовать между собой или дублироваться. Чтобы этого не происходило, надо закрепить центр ответственности за маркетинг, а также внедрить "бета-тестирование", чтобы заранее выявить все ошибки.
Также надо проверить, чтобы у программ были установлены даты их окончания. Иногда про программу просто забывают, и она действует, например, 3 года вместо 2-х месяцев. Чтобы защититься от ошибки, рекомендую внедрить постмаркетинговый аудит. Получим 3 приятных бонуса:
- если инициатор будет знать, что в конце программы надо будет писать отчет с результатами, то вероятность успешности повысится, маркетинговая программа не будет просто для "галочки";
- поймем, какие маркетинговые активности приносят реальный результат, и есть смысл вкладывать в них средства;
- застрахуем компанию от забытых программ".
Технологии machine learning (ML) все глубже проникают в жизнь современного бизнеса. Не отстает от данного тренда и внутренний аудит. На Конференции своим опытом изучения и внедрения инструментов ML поделились аудиторы УВА по Юго-Западному банку ПАО Сбербанк: Андрей Золотарёв, управляющий директор УВА, и Игорь Каширин, менеджер направления УВА: "Уже сегодня инновационные подходы апробируются ими в таких областях аудита, как разведывание неизученных данных и выделение новых кейсов в бизнес-процессах, построение адаптивных систем мониторинга, анализ информационных потоков организации, выявление социальных связей между сотрудниками и клиентами.
Примечательно, что наряду с коммерческими продуктами ИТ-индустрия предоставляет огромное количество open-source инструментов интеллектуального анализа данных, которые уже сейчас можно использовать в аудиторских проектах.
Отдельно необходимо выделить такое новое направление аудита, как аудит моделей машинного обучения, эксплуатируемых в организациях. Повсеместное внедрение ML в процессы управления и принятия решений делает данное направление наиболее перспективным в digital-аудите будущего.
Сергей Мартынов, президент российского отделения ACFE, посвятил свое выступление будущему внутреннего контроля - технологии IoT, BigData и интеллидженс: "Внутренний контроль (ВК) - это про то, как заставить сотрудников делать то, что нужно компании, и не делать то, что компании не нужно. Для этого существует два способа: научить их и убедить делать всё правильно; контролировать их действия со стороны. Первый способ - это тема формирования корпоративной культуры и её оценки (аудита). Второй способ - это контроль действий сотрудников. Например, можно заставить заполнять определённые формы отчетности и периодически присылать аудитора проверять, всё ли делается правильно. Со временем стали появляться технологии, которые делают процесс контроля более-менее автоматизированным. Например, система распознавания автомобильных номеров позволяет автоматически регистрировать все въезжающие и выезжающие автомашины, а пропуск с RFID меткой - регистрировать перемещения сотрудников по зданию компании.
В последние 5 лет произошла технологическая революция, которая оказывает огромное влияние на организацию и принципы ВК. ВК - это действия, целью которых является выявление заранее оговоренных отклонений параметров процесса (хода процесса или его результата) от ожидаемых значений. Задача контрольной процедуры - выявлять отклонения параметров процесса от нормальных и, если такое отклонение выявлено, выдать сигнал тревоги. Таким образом, есть измеряемые параметры процесса; есть некие эталонные значения или условия, которые должны соблюдаться; есть некий алгоритм сравнения фактических значений контролируемого параметра с эталонными и определения, является ли отклонение критическим для выдачи сигнала тревоги.
Нужно ли включать действия, которые предпринимаются в случае получения сигнала тревоги, для нормализации процесса, в состав контрольной процедуры? Думаю, что если эти действия автоматизированы, и предопределены заранее, то можно. Если действия по приведению процесса в норму требуют нестандартных действий, или принятия решений людьми, то рассматривать их как часть контрольной процедуры не следует.
Независимо от того, что контролируется - работа оборудования или людей - используется одна и та же самая схема ВК. Когда контролируется работа оборудования, то по традиции это называется словом АСУТП (SCADA), а когда - действия людей, используется термин "внутренний контроль". Принципиальных различий между ними нет.
Системы контроля постоянно эволюционируют и сейчас в большинстве своём представляют собой распределённые сетевые контролирующие устройства. Имеется много центров принятия решений, в каждом центре находится маленький компьютер. Он получает информацию со своей группы датчиков и отправляет информацию по беспроводной сети другим компьютерам. Обработка информации в такой системе распределена, каждый микроконтроллер сам принимает решение о наличии отклонений в контролируемых параметрах. Такие системы способны контролировать не только работу оборудования, но и действия людей.
Системы последнего поколения имеют специфические особенности, которые фундаментально преображают ВК, его принципы и методы: Технологии интернета вещей (IoT), Big Data и Интеллидженс.
Все современные системы контроля строятся с использованием технологий интернета вещей. Это микроконтроллер, подключенные к нему датчики и передающие устройства - например, WiFi или радиочастотные передатчики-приёмники.
Есть любые датчики - расстояния, скорости, температуры, освещённости и т.д., а процесс разработки и создания любого устройства контроля стал очень простым.
Раньше нужно было написать регламент, заставить сотрудников заполнять формы отчётности, и потом периодически присылать аудитора проверять документы. Теперь можно контролировать действия сотрудников автоматически.
Но не всё так гладко с использованием технологий IoT в системах ВК. Одна из проблем - это проблема больших данных (Big Data). Возьмем предприятие, на котором работают несколько сотен сотрудников и несколько производственных линий. В такой системе будут работать несколько тысяч датчиков и сотни микроконтроллеров, постоянно собирающих и передающих информацию. Они генерируют огромные объёмы информации, которые циркулируют в системе. Это называется "большие данные" (Big Data).
Основное свойство больших данных - не их количество, а качество. Большие данные отличаются от просто данных тем, что по своей природе они всегда содержат ошибки. Представьте себе распределённую по огромной территории сеть датчиков и обрабатывающих центров. Или сеть из сотен контролирующих узлов, работающих в производственной линии. В любой конкретный момент времени часть датчиков будет сломана, и не будет выдавать информацию вообще. Часть датчиков будет давать неправильную информацию и т.д. Датчики могут выводиться из строя умышленно, с целью отключить контроль и совершить хищение.
Ошибки отказов и сбоев оборудования мы пытаемся исключить несколькими способами. Например, используется резервирование - когда вместо одного датчика используются два или три. Но если вы используете технологии интернета вещей, у вас есть и другие, более серьёзные причины низкого качества данных. Это, прежде всего, ошибки в программах, которые работают в микроконтроллерах. Программы пишутся людьми, и любая программа может содержать ошибки. Но когда мы говорим об использовании технологий интернета вещей в ВК, для контроля поведения людей, у нас появляется дополнительный источник ошибок. Люди имеют очень много разнообразных моделей поведения и могут их менять, чтобы приспособиться к ситуации. Никакая программа не может предусмотреть такое разнообразие ситуаций, которые могут сложиться.
Важным при контроле людей является то, что мы можем судить об их поведении и об их намерениях только по косвенным признакам. Мы можем поставить инфракрасный датчик, реагирующий на тепло, чтобы определить, находится ли человек на рабочем месте. Но это косвенный признак, который не даёт 100% уверенности. Вместо человека под столом может оказаться кошка или горячий чайник. И наш вывод о присутствии сотрудника может оказаться неверным. В каком-то проценте случаев.
Мы можем усовершенствовать систему, подключив к ней дополнительно ультразвуковый датчик, который измеряет расстояние и реагирует на приближение/ удаление. Теперь у нас два датчика - тепла и движения. Но возможность ошибки сохраняется, хотя и стала меньше. Важно то, что принципиально избавиться от ошибок невозможно. Особенно с учётом того, что человек - существо разумное и всё время изобретает способы, как избавиться от навязчивого контроля.
Таким образом, при использовании технологий интернета вещей для ВК мы имеем проблему некачественных данных: нам доступно некоторое количество косвенных признаков контролируемого явления, к тому же значения этих признаков могут содержать ошибку - и нам надо получить максимально правильную оценку контролируемого параметра на основе косвенной и ненадёжной информации.
Как на основе косвенных и содержащих ошибки данных получить правильный вывод о наличии отклонения процесса от заданных параметров? Задачу в такой постановке решает интеллидженс. Интеллидженс - это область знаний, которая занимается тем, как получить достаточно обоснованный вывод, которому можно доверять в некоторой степени, на основе косвенных признаков интересующего явления и некачественной информации.
Если мы создаём систему ВК на основе технологий IoT и Big Data, то для надёжной работы такой системы третьим компонентом будут методики интеллидженс. Мы должны выбрать косвенные признаки контролируемого явления, которые достаточно устойчиво сопутствуют этому явлению; оценивать качество информации, поставляемой каждым источником, и возможные искажения данной информации, и на основании всех собранных, очищенных и оцененных данных, уметь сделать наиболее вероятный вывод о наличии или отсутствии повода включить сигнал тревоги".
Алексей Чепайкин, директор по внутреннему контролю и аудиту АО "Концерн Росэнергоатом", выступил с докладом "Повышение качества: фактор t": "Понятие качества характеризуется вопросом "в какой мере?", т.е. в какой мере совокупность характеристик объекта соответствует обязательным требованиям.
Для внутреннего аудита требования сформированы в международных стандартах внутреннего аудита. Дополнительно у ним есть требования, установленные организацией, в структуре управления которой находится внутренний аудит (ВА). Работа по повышению качества ВА - это не достижение баланса, а актуальная комбинация для бизнеса.
Условная "мощность", т.е. способность проделать определенную работу за конкретный отрезок времени, может рассматриваться как ключевая характеристика ВА.
Сокращение времени процессов ВА (от момента выявления до принятия решений и корректировки) востребовано бизнесом и, как следствие, приводит к увеличению "мощности" ВА. Главная идея/философия: выявляй, принимай решение, корректируй как можно быстрее.
Способствует сокращению времени ускорение перевода клиентов ВА от стадий "отрицания" и "понимания" результатов ВА к стадии "вовлечения".
Самый простой и дешевый способ сократить время процессов ВА - это использование концепции "бережливый внутренний аудит". Концепция основана на принципах Кайдзен/ "бережливого производства" и направлена на поиск и сокращению потерь (нерациональной работы)".
Доказательства эффективности применения концепции были представлены в докладе кейсами из практики ВА АО "Концерн Росэнергоатом".
Ирина Балабанова, руководитель направления бизнес-приложений "Диджитал Дизайн" (Digital Design), представила построение "Карты гарантий" в "один клик" как новый взгляд на автоматизацию служб внутреннего аудита (ВА), внутреннего контроля, комплаенс-контроля и управления рисками: "Именно взаимодействие всех служб корпоративного контроля позволяет сформировать единый взгляд на бизнес и, как результат, получить "карту гарантий", предоставив требуемые гарантии бизнесу.
Одним из самых эффективных способов организовать взаимодействие всех служб контроля является создание единой автоматизированной информационной системы корпоративного контроля.
Принимая во внимание рекомендации международных стандартов (2050) по ВА о необходимости координации с другими службами корпоративного контроля и использовании результатов других сторон в своей работе, именно с автоматизации процессов ВА можно начать первые шаги по пути создания единой информационной системы.
И как итог, в качестве практического решение для создания единого информационного пространства для служб корпоративного контроля и формирования "Карты гарантий" в "один клик" было рассмотрено платформенное решение "АВАКОР", разработанное компанией "Диджитал Дизайн", которое входит в реестр российского ПО.
Решение позволяет автоматизировать процессы корпоративного контроля с целью повышения эффективности деятельности ВА, создания единой базы данных знаний/статистики всех подразделений ВА, внутреннего контроля, управления рисками и комплаенс-контроля, обеспечивая процессный подход, где результаты аудита, оценки эффективности управления рисками и мониторинга постконтрольных мероприятий являются исходной информацией для дальнейшего планирования аудиторских мероприятий любого типа.
Платформенное решение дает возможность максимально эффективно и оперативно контролировать все виды деятельности компании, обеспечивая руководство информацией для своевременного принятия необходимых управляющих решений".
В повестке всех конференций ИВА в России обязательно выделяется время для работы секции "Компетенции и профессиональное развитие внутренних аудиторов". Не стала исключением и недавно прошедшая, VIII региональная конференция в Сочи. Одной из тем секции стала "Модель компетенций внутреннего аудитора", изложенная на примере СВА ПАО Сбербанк. Евгения Скрябина, эксперт управления внутреннего аудита по Сибирскому банку ПАО Сбербанк, представила как саму модель компетенций, так и выжимку тех методов и инструментов развития компетенций, которые используются службой на протяжении более пяти лет. Было интересно узнать, какой путь проходила СВА одного из крупнейших банков страны и как сейчас выстроена система корпоративного обучения и развития внутренних аудиторов Сбербанка.
В докладе прозвучали две основные идеи. Первая - это всем известный клиентоцентричный подход. Все СВА так или иначе его практикуют, когда опираются на пожелания внутренних клиентов при формировании планов работы или для изменения собственных рабочих процессов. Вторая идея заключается в том, чтобы выстраивать систему обучения и развития сотрудников с учетом особенностей обучения взрослых людей. Научно доказано, что взрослый человек учится новому, только если он окончательно осознал свою несостоятельность в каком-то вопросе и свою потребность в приобретении нового навыка в связи с этим. Еще одним немаловажным фактором является то, что перед человеком должна стоять какая-то очень четкая и конкретная задача, которую ему нужно решить с помощью этого нового знания или навыка.
Поэтому в Сбербанке такие классические инструменты обучения, как лекции и обучающие презентации, дополняются постановкой практических задач, решение которых невозможно без освоения навыка. Например, конкурсы BigDataChallenge, когда все территориальные подразделения службы получают один кейс из практики службы, который они должны решить инструментами Machine Learning или Big Data. По итогам одного такого конкурса лучшие представители команд из всех регионов были приглашены на очное обучение в Москву за счет компании. По итогам других конкурсов победители и авторы самых интересных решений получают поощрение от руководства. А полученные решения внедряются в повседневную работу службы. Такой подход, безусловно, помогает и развитию сотрудников, и развитию службы, а значит идет на пользу Банку.
Выступление получилось живым и интересным, с множеством примеров и ссылок. И если участники конференции смогли выбрать для себя хотя бы по одному новому инструменту и внедрить их в практику, то для нас это самое лучшее признание. Ведь именно для этого ИВА и проводит конференции. Чтобы дать коллегам из разных отраслей и компаний возможность обменяться опытом и понять, как приносить еще больше пользы своим компаниям, а значит и конечным потребителям их продуктов или услуг.
Елена Ковалёва, начальник отдела внутреннего аудита ПАО "Магнит", рассказала о методологии разработки программы гарантии и повышении качества внутреннего аудита (внутренней оценке): "Совершенствованию деятельности подразделения внутреннего аудита нет предела. Однако стандарты разделяют уровни зрелости внутреннего аудита на соответствующий и не соответствующий Международным профессиональным стандартам внутреннего аудита. Такое соответствие должно подтверждаться результатами внутренней оценки CAE и независимой внешней оценкой в рамках программы обеспечения и повышения качества внутреннего аудита.
Внутренняя оценка включает текущий мониторинг и периодическую самооценку; оба указанных элемента являются цикличными и непрерывными: планируем, делаем, анализируем, разрабатываем и внедряем улучшающие мероприятия, затем снова планируем и т.д. Текущий мониторинг позволяет ежедневно выявлять возможности для улучшения практики выполнения аудиторского задания. Периодическая самооценка позволяет оценить соответствие всех аспектов внутреннего аудита (IAGovernance, IAStaff, IAManagement, IAProcess) Международным профессиональным стандартам внутреннего аудита.
Качественно построенная программа внутренней оценки, объективно подтверждающая эффективную и результативную работу внутреннего аудита, а также соблюдение стандартов и кодекса этики, может являться основой успешной внешней оценки".
приветственное слово Алексея Сонина, директора Института внутренних аудиторов
Выступление Алексея Сонина, директора Некоммерческого партнерства "Институт внутренних аудиторов", было посвящено стратегическому внутреннему аудиту, который складывается из нескольких компонентов - стратегическое мышление, стратегическое видение, стратегические риски, стратегический аудит (аудит стратегии), стратегический арсенал и, немаловажно, стратегические мантры: "Внутренний аудитор должен мыслить стратегически. Можно выиграть сражение, но проиграть войну. Не надо идти напролом только потому, что вы, как внутренний аудитор, осознаете свою правоту. Надо быть готовым на какое-то время отпускать (не опускать!) те или иные вопросы, чтобы вернуться к ним позже, быть готовым идти на разумные компромиссы. Необходимо быть профессионалами, но при этом важно быть немного политиками, просчитывать ситуацию, действовать тоньше. В идеальном мире менеджмент и внутренний аудит стоят плечо к плечу в едином порыве достичь цели компании наиболее эффективным образом, создать эффективные системы управления рисками и внутреннего контроля. В реальном мире дела не всегда обстоят именно так. Но всё же менеджмент и внутренний аудитор плывут в одной лодке. Поэтому необходимо помогать менеджменту достигать его целей.
Как и у компании, у службы внутреннего аудита должно быть стратегическое видение, должна быть своя стратегия. Что покупает акционер? Он покупает текущее состояние компании и ее стратегию. Заказчики внутреннего аудита тоже будет рад купить стратегию СВА. Безусловно, функциональная стратегия внутреннего аудита должна органично вытекать из стратегии компании. И, так же как и компания, служба внутреннего аудита должна рисковать, чтобы преуспеть. Необходимо браться за новые, порой неизведанные области - делать внутренние аудиты ИТ, корпоративной культуры, процесса стратегического планирования, внедрять методологию непрерывного аудита, использовать средства интеллидженс. Одним словом, становится инновационной службой внутреннего аудита. Что, в свою очередь, приблизит СВА к статусу стратегического актива компании.
Какова бы ни была стратегия компании - модернизация, инновации, цифровизация, трансформация, экспансия на новые рынки, слияния и поглощения - внутренний аудит должен оценивать процесс стратегического планирования. Именно процесс, а не содержание стратегии. Как стратегия вырабатывается, утверждается, актуализируется и исполняется. И как компания управляет стратегическими рисками. Из всех типов рисков (стратегические, операционные, финансовые, комплайенс) именно в результате реализации стратегических рисков компании несут наибольшие потери. Исходя из этого, именно на стратегических рисках и следует фокусироваться внутреннему аудиту. В то же время, стратегические риски - это та область, где у внутренних аудиторов не всегда хватает знаний и опыта. И руководителям служб внутреннего аудита нужно задуматься о том, как получить недостающие знания.
Внутренним аудиторам необходимо критически на себя посмотреть и оценить свой арсенал. Как мы адаптируемся? И адаптируемся ли вообще? Каких знаний и навыков нам не хватает, чтобы выдержать бешеный темп изменений? Двигаемся ли мы в том же ритме или застыли в изумлении от происходящего? Что мы делаем, чтобы лучше понимать бизнес компании? Задав себе все эти вопросы и ответив на них откровенно, сразу станет понятно, чего не хватает и что нужно менять.
И, конечно же, в вопросе построения стратегического внутреннего аудита помогут стратегические мантры, в которых, безусловно, нужно убедить бизнес, но, прежде всего, самих себя: Мы видим большую картину (понимаем бизнес), Мы плывем в одной лодке, Мы действуем как партнёры для бизнеса, Мы используем силу аргументов, а не аргумент силы, Мы мыслим нестандартно, Мы будем реагировать на происходящие изменения, двигаться быстрее, действовать техничнее.
Внутренним аудиторам не надо жаловаться, что менеджмент или совет директоров нагружает их несвойственными задачами, например, проверять за менеджментом правильность цифр и расчетов, писать контрольные процедуры, делать инвентаризации, контролировать бюджеты и т.д. Внутренним аудиторам следует показать, что они умеют делать гораздо более полезные вещи, продемонстрировать, что они меняются даже чуть быстрее, чем меняется компания и что у них есть чему поучиться другим - нестандартному мышлению и готовности к переменам. И тогда уже компания будет учиться у службы внутреннего аудита находить эффективные решения, рисковать и меняться".
В конце первого дня Конференции состоялся фуршет с лотереей, в которой были разыграны призы от спонсоров мероприятия - винодельни "Кубань-Вино" ("Шато-Тамань") и издательства "Манн, Иванов и Фербер". Два участника лотереи получили в подарок особые призы от Института внутренних аудиторов - бесплатное годовое членство и последний экземпляр перевода на русский язык книги "Внутренний контроль. Интегрированная модель" (COSO 2013) с памятной надписью Алексея Сонина.
Золотым спонсором Конференции выступила компания SAP, Серебряным - Digital Design, партнером - Ваш СоветникЪ.
Следующая конференция Института внутренних аудиторов - Ежегодная Национальная Конференция - состоится в марте 2018 года.
*Некоммерческое партнерство "Институт внутренних аудиторов" (НП "ИВА"), зарегистрированное в 2000 г., является профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
Дата публикации на сайте: 05.10.2017