Аудит стратегических рисков: практические выводы руководителей внутреннего аудита

Источник: НП «Институт внутренних аудиторов»

Результаты исследования «Аудит стратегических рисков. Практический опыт» (Auditing Strategic Risks: Practical Insights from Internal Audit Leaders)».

В мае 2018 года исследовательское подразделение международного Института внутренних аудиторов (IIA) CBOK (Common Body of Knowledge) выпустило отчет о методах аудита стратегических рисков (текст исследования предоставлен Институтом внутренних аудиторов – профессиональной ассоциацией, объединяющей более 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций). Отчет был сделан по результатам опроса руководителей по внутреннему аудиту из 23 стран. Один из главных выводов заключается в том, что почти 2/3 (64%) заказчиков (стейкхолдеров) внутреннего аудита (далее – ВА) ожидают от внутренних аудиторов более активных действий в области стратегических рисков.

В отчете обсуждаются передовые подходы, позволяющие внутренним аудиторам ориентироваться в важных для ВА областях – кибербезопасности, ИТ и капитальных проектах (capital projects). Но, несмотря на широту консультативных услуг, которые могут предоставлять функции ВА, чтобы помочь организации решить стратегические риски, работа по предоставлению гарантий всегда будет на первом месте.

Руководители по внутреннему аудиту (CAE; от англ. Chief Audit Executive) указывают на ценность раннего участия ВА в стратегических инициативах; подхода, основанного на учете рисков; доверия к ВА в глазах в бизнес-партнеров и способности функции развиваться в сторону консультирования. Описывая, как они решают проблемы аудита стратегических рисков, руководители ВА подчеркивали, каким образом они укрепляют роль функции в качестве стратегического партнера бизнеса, не ставя под угрозу, в первую очередь, их ориентацию на соблюдение обязательств и обеспечение гарантий.

Комитеты по аудиту требуют регулярного обновления информации о способности организации решать проблемы кибербезопасности, представляющей собой огромный стратегический риск. Руководители ВА реагируют по нескольким направлениям, таким как:

• увеличение фокуса на кибербезопасность компании в формальных оценках рисков. Максим Козлов, начальник отдела ИТ аудитов Блока внутреннего контроля и аудита ПАО «МТС», отмечает, что менеджмент компании, также, как и комитет по аудиту, акцентирует свое внимание на тематике кибербезопасности, и, кроме того, данная проблематика относится и к дочерним организациям, которые имеют тесные взаимодействия с материнской компанией. А введение в действие 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет являться одним из драйверов при планировании аудитов кибербезопасности для служб ВА в России.

• непосредственное участие в руководящих комитетах и обучении по кибербезопасности;

• увеличение и расширение областей, связанных с кибербезопасностью, в планах аудита;

• согласование и приведение деятельности ВА по управлению рисками к единому знаменателю с деятельностью функций ИТ, ИБ и корпоративного управления рисками (ERM).

В целом, опрошенные руководители ВА чаще всего ссылались на следующие лучшие практики, которые позволяют им быть эффективными в аудите кибербезопасности:

• Взаимодействовать с теми, кто разрабатывает и определяет стратегию по кибербезопасности. Один из возможных вариантов: инициирование создания специального подкомитета по кибербезопасности, подотчетного комитету по аудиту и включающего внешних экспертов.

• Уточнение и координация с другими подразделениями в отношении ответственности за риски кибербезопасности. Руководители ВА тесно сотрудничают с другими подразделениями (ИТ, ИБ и ERM) для определения конкретных мероприятий по кибербезопасности, которые проводит каждая группа. Эта координация помогает синхронизировать все усилия в отношении кибербезопасности, одновременно усиливая роль ВА в обеспечении объективной, независимой гарантии оценки риска кибербезопасности. Например, в некоторых компаниях существует практика совместной (CAE и CIO) презентации рисков кибербезопасности в комитете по аудиту, чтобы продемонстрировать скоординированную работу, основанную на общем подходе к оценке рисков.

• Проведение формальной оценки риска внутренним аудитом или сторонними экспертами. Эти оценки выявляют пробелы, уточняют приоритеты в области совершенствования и исправления (например, решение проблемы значительного увеличения числа фишинговых е-мейлов), помогают определить аспекты кибербезопасности в плане аудита, влияют на консультативную работу по кибербезопасности и помогают компании согласовать свои риски кибербезопасности с целями по улучшению. Максим Козлов, ПАО «МТС», уточняет, что для проведения формальной оценки рисков может быть полезно изучение актуальной модели угроз ИБ компании, что помогает аудитору понимать угрозы, с которыми сталкивается бизнес, а также предпринятые меры по управлению данными угрозами.

• Консультирование по основам кибербезопасности, стандартам и руководству. Каждый CAE упомянул один или несколько наборов стандартов по кибербезопасности, которые использует их организация, чтобы помочь структурировать общую программу кибербезопасности и связанные с ней мероприятия по обеспечению безопасности. Эти стандарты включают NIST Cybersecurity Framework, ERM, HITRUST, COBIT, ISO, The IIA’s Global Technology Audit Guide (GTAG): Assessing Cybersecurity Risk: Roles of the Three Lines of Defense, CSC20, FFIEC и другие. Руководители ВА советуют принимать непосредственное участие в обсуждении и оценке каждой из потенциальных основ системы кибербезопасности, их преимуществ и недостатков.

• Оценка киберустойчивости. Принимая тот факт, что в современных условиях нарушение неизбежно, CAE должен оценивать способность организации реагировать, общаться и восстанавливаться при возникновении такого нарушения. Области, которые необходимо рассмотреть, включают не только процедуры обеспечения непрерывности деятельности, но также связь и планы кризисного управления. По мнению Максима Козлова, ПАО «МТС», в оценке киберустойчивости немаловажное значение играет тестирование реального уровня информационной безопасности компании: «Для данных задач на регулярной основе может производиться внешнее тестирование уровня ИБ компании-заказчика независимыми компаниями. Для выполнения данного мероприятия может привлекаться и подразделение ИБ самой компании. Также тестирование может происходить без первоначального оповещения функции ИБ с целью проверки возможностей компании противодействовать внешнему (в зависимости от сценария тестирования) атакующему».

• Постоянное обучение. Знания – о внешних угрозах, новых стандартах, новых требованиях к соответствию и даже о составлении «психологических портретов» – являются решающим фактором успеха аудита кибербезопасности. Команда ВА должна понимать мышление широкого круга заинтересованных сторон, которые могут сознательно или невольно подвергнуть свою компанию киберугрозе. ВА должен понимать мыслительный процесс и методологию хакера. Максим Козлов отмечает, что особенно важно в данном контексте наличия у ВА технических компетенций/знаний (например, по моделям управления доступом, организации сетевого взаимодействия, установки обновлений в информационных системах компании). Но также важно уметь мыслить как бухгалтер, инвестор, юрист, специалист по комплаенсу, продавец, руководитель отдела кадров – любой, кто может подвергнуть компанию киберриску. И часть работы функции по обеспечению безопасности связана с эффективностью обучения кибербезопасности, проводимого в рамках всей организации, и осведомленности сотрудников. Максим Козлов советует внедрить контроли по управлению доступами в наиболее критичные информационные системы (наладить регулярный аудит учетных записей, составить и применять при предоставлении доступов матрицу конфликтных ролей, использовать несколько уровней согласования в наиболее критичных бизнес-процессах компании).

• Владение навыками кибербезопасности и экспертными знаниями. Большинство CAE подтверждают, что наём и удержание внутренних аудиторов с ИТ-экспертизой и экспертизой в области кибербезопасности является проблемой. С этим помогают справиться стратегии и тактики управления талантами, включая инвестиции в обучение и развитие, использование внешних экспертов и тесное сотрудничество с коллегами по персоналу для разработки стимулов для найма, работы и удержания персонала. Опыт ПАО «МТС» показывает, что также необходимо наличие матрицы компетенций сотрудников и плана по развитию профессиональных компетенций, инвестирование во внешнее обучение сотрудников ВА (включая дорогостоящее).

По мере того, как все больше компаний начинают заниматься цифровой трансформацией и все больше ИТ-систем и приложений мигрируют в облако, все больше разновидностей ИТ-проектов разных размеров и масштабов квалифицируется как стратегический риск. В результате, гораздо более широкий спектр ИТ-проектов и мероприятий по разработке приложений требует аудита. Максим Козлов отмечает, что вместе с цифровой трансформацией компании также должна произойти и трансформация службы ВА, которая должна включать в себя развития новых компетенций по аналитике данных, ИТ (например, начальные навыки программирования для автоматизации рутинных операций).

Детальное изучение и опора на факты – движущая сила эффективности аудита ИТ-проектов:

• Разработка структурированного, многоэтапного процесса оценки. Руководители ВА подчеркивают ценность разработки и совершенствования структурированных оценок для каждого этапа ИТ-проекта. Учитывая растущий объем, ценность и важность данных, участвующих в новых реализациях и преобразованиях системы, безопасность часто определяется в качестве отправной точки для оценки проекта.

• Устранение поведенческих барьеров. Иногда ИТ-аудиторы обнаруживают, что команды ИТ-проектов преуменьшают или полностью скрывают возникшие проблемы, и такое повторяется из раза в раз. В этом случае ВА стоит приглядеться к коммуникационной составляющей. Как только ВА видит, что ИТ-команда не желает поднимать важные вопросы, нужно работать над тем, чтобы у нее была комфортная возможность их озвучивать. ВА должен делать четкий акцент на преимуществах максимально раннего выявления и исправления проблем в жизненном цикле проекта, а не позднего, когда воздействие и затраты на решение небольших вопросов могут существенно возрасти.

• Создание консультативных предложений для дополнения работы по обеспечению. Например, группа ИТ-аудита может разработать консультативное предложение, состоящее из критериев более высокого уровня, которые ИТ-аудиторы оценивают при проведении официального аудита ИТ-проекта (например: Есть ли у нас стратегия реализации? Кто наш спонсор? Утверждено ли финансирование? Каковы риски проекта? Какое планирование необходимо?). После того, как ИТ-аудиторы и группы ИТ-проектов совместно работают над перечнем таких вопросов, ИТ-аудиторы смогут предоставить по-настоящему стоящие рекомендации, а не формальные планы действий. Одна из компаний, которая ввела подобную практику, отмечает, что теперь команды ИТ-проектов почти не прибегают к такой услуге ВА, поскольку все делают самостоятельно через шаги, которые для них ранее разработал и задокументировал ВА.

• Признание необходимости использования Agile-разработки. Многие руководители ВА в настоящее время определяют, как устранять риски, связанные с методологиями Agile-разработки, которые охватывают все больше ИТ-функций. Хотя такой подход к разработке программного обеспечения, основанный на сотрудничестве, итерации и оптимизации, значительно сокращает время, необходимое для создания новых приложений, и косвенно повышает организационную гибкость и скорость вывода на рынок, гибкая методология создает проблемы, связанные с риском.

Руководители ВА, чьи функции проводят аудиты и оценки крупных капитальных проектов, как правило, подчеркивают важность двух различий. Во-первых, важно дифференцировать мониторинг состояния/ жизнеспособности и прогресса каждого капитального проекта, который является ответственностью руководства, и гарантии, которые предоставляет ВА. Во-вторых, ведущие CAE проводят различие между своей работой по отдельным капитальным проектам и необходимостью оценки общего потенциала управления капитальными проектами своей организации. Последнее может сильно помочь первому.

Руководители ВА назвали следующие виды деятельности и передовой опыт особенно полезными в повышении эффективности своей работы по обеспечению и консультированию капитальных проектов:

• Участие в планировании на раннем этапе. Участие ВА на раннем этапе любой стратегической инициативы является преимуществом для организации, но особенно это касается, скажем, многолетнего проекта строительства на 500 млн. долларов США на другом конце мира. Такое участие часто приводит к ранним оценкам рисков, которые в значительной степени сосредоточены на структуре управления проектами. Одна такая оценка риска, например, привела к фундаментальным изменениям, в т.ч. роли инженерного департамента, департамента закупок и строительных подрядчиков, что в корне изменило траекторию работы.

Своевременность выявления рисков в ходе реализации проектов по капитальному строительству существенно повышает эффективность аудита и пользу от него в глазах менеджмента. Артём Горлов, директор департамента внутреннего контроля и аудита АО «РТИ», отмечает, что хорошая практика, – когда компании, которые часто выполняют аудит капительного строительства, разрабатывают и внедряют систему индикаторов рисков на основе данных в информационных системах. Это позволяет аудиту на постоянной основе отслеживать ключевые изменения в проектах и при необходимости незамедлительно реагировать, что повышает шансы успешно минимизировать риски.

• Сосредоточить внимание на обосновании инвестиций. Для завершения многих инвестиционных проектов требуются годы, и предположения, лежащие в основе решения об инвестировании, могут меняться с течением времени. В рамках аудита капитальных проектов, например, можно определять, какие источники данных используются для проверки допущений принятия решений. В этом помогают такие вопросы как: На какие факты вы опираетесь? Если вы проводили моделирование, как вы определяете, что модели точны? Как вы узнаете, что формулы надежны? Подтверждена ли прогнозируемая рентабельность инвестиций?

Опираясь на многолетний опыт в проведении аудитов крупных инвестиционных проектов, Анна Сергеева, директор по внутреннему аудиту АО «Стройтрансгаз», подчеркивает важность анализа первого этапа инвестиционного проекта – этапа проведения предварительного исследования и оценки инвестиционных возможностей. Именно на данном этапе собирается и анализируется информация, которая станет основой для расчета всех показателей инвестиционного проекта, и при проведении аудита данного этапа нередко выявляются существенные нарушения и риски, которые в дальнейшем существенно влияют на результаты и экономику проекта.

• Развернуть специализированную экспертизу. Например, один CAE нанял внешнего строительного аудитора для проведения детального анализа счетов генерального подрядчика на тип здания, которое компания никогда ранее не строила. Это позволило задать технические вопросы, которые мог бы задать только тот, кто имел опыт работы с этим типом строительного проекта. Другие руководители ВА нанимают и удерживают внутренних аудиторов с обширным опытом работы в инвестиционных проектах и капитальном строительстве. По мнению Анны Сергеевой, альтернативной практикой в вопросе «выращивания» внутри подразделения ВА экспертизы в области аудита крупных строительных проектов является обучение и переквалификация специалистов строительной области (сметчиков, специалистов отдела строительного контроля) во внутренних аудиторов. В практике работы департаментов внутреннего аудита крупных строительных компаний такой опыт используется и достаточно успешно.

• Проводить строгие, ориентированные на процесс обзоры проектов. В большинстве случаев аудиты капитальных проектов являются всеобъемлющими и подразумевают много «ручного» труда. Оценки процессов управления определяют, фокусируются ли руководящие группы проекта на соответствующих рисках и получают ли они правильную, полную и своевременную информацию. Оценки хода выполнения работ и бюджетов требуют рассмотрения большого объема информационно-подтверждающей документации, сопровождающей заявку генерального подрядчика на оплату, как правило, особенно объемной.

В то время как строгий подход абсолютно необходим, руководители ВА последовательно подчеркивают необходимость дать понять руководителям проектов, что аудит сосредоточен на процессах, а не на отдельных лицах. Достижение этого баланса требует, чтобы аудиторы переводили такие понятия как «риск», «внутренний контроль» и другие аудиторские термины, на язык более понятный для менеджеров проектов, всегда испытывающих нехватку времени и не готовых вникать в непонятную им терминологию.

• Консультирование по вопросам совершенствования управления капитальными проектами. Например, ВА может разработать консультативное предложение/ курс, которое могут использовать группы по капитальным проектам уже в начале запуска новой инициативы. Такой сервис предоставляет руководство по ключевым операционным контролям, финансовым контролям и рискам проекта, которое коллектив должен учитывать, наряду с профилактическими тренингами (в т.ч. по распознаванию мошенничества), связанных с выставлением счетов от подрядчика. В этом случае роль ВА состоит в том, чтобы быть консультантом по рискам и стратегическим партнером, не мешая успешной реализации проекта. Также можно делать акцент на том, как измеряется и контролируется рентабельность инвестиций. Здесь роль ВА заключается в обеспечении того, чтобы соответствующие элементы управления были встроены в новые процессы, разрабатываемые группой. Анна Сергеева добавляет, что успешной практикой также является создание совместно с заинтересованными подразделениями системы ключевых индикаторов отклонений и злоупотреблений в области капитального строительства. Данная система создается на основании данных информационных систем, данных отчетности и проектных показателей, и позволяет в режиме реального времени выявлять признаки злоупотреблений, в том числе приписок со стороны строительных подрядчиков.

Кутакова Татьяна, начальник отдела методологии, финансового и операционного аудита Департамента внутреннего аудита ПАО «Аэрофлот», советует уделить особое внимание обоснованности выбора подрядчика, поскольку этому этапу присущи высокие риски, в том числе и риски мошенничества, которые могут оказать негативное влияние на реализацию всего проекта.

• Проведение пост-проверок. Результаты этих мероприятий могут обеспечить ценную обратную связь относительно обоснованности первоначальных допущений, используемых для обоснования проекта капитального строительства, и усовершенствовать подходы к будущим проектам, включая возможное привлечение ВА на более раннем этапе проекта. Как отмечает Анна Сергеева, на практике «посмертный» аудит и его результаты никогда не бывают столь же полезными, как аудиты, сопровождающие запуск или реализацию проекта в области капитального строительства. При этом, такие аудиты могут помочь отстроить систему внутреннего контроля в области капитального строительства при реализации следующих проектов. Но также стоит отметить, что на практике немало выявляемых отклонений являются следствием особенностей конкретного проекта, и не всегда рекомендации аудиторов смогут максимально снизить риски последующего проекта.

Помимо конкретных пунктов, изложенных выше, были выявлен ряд факторов, которые являются ключевыми для успеха стратегического аудита. Все они присутствуют в каждой из функций ВА, которыми руководят опрошенные CAE:

1. Постоянные демонстрации ценности. Большинство руководителей ВА при описании истории начала принятия их подразделения ВА в качестве стратегического обеспечения и консультационного партнера для бизнеса, говорят об определенных обстоятельствах, некой поворотной точке, когда действия внутреннего аудита изменили взгляд высшего руководства, членов совета директоров и владельцев процессов на функцию ВА. Руководители ВА подчеркивают, что такая, с трудом заработанная, репутация должна поддерживаться посредством постоянных демонстраций ценности. Ведь к организации постоянно присоединяются новые руководители и владельцы процессов, и рано или поздно им понадобятся доказательства того, что доверие к ВА оправдано.

Для Артёма Горлова, АО «РТИ», очевидна прямая связь репутации функции аудита и умения отслеживать эффект от внедрения предложенных аудиторами рекомендаций: «Если внутренний аудит или независимая служба периодически проводит расчет эффекта от внедрения рекомендаций внутренних аудиторов и докладывает об этом комитету по аудиту и менеджменту, то это позволяет не только справедливо оценить свой вклад в деятельность компании, но и продемонстрировать ценность того, чем занимаются внутренние аудиторы».

2. Доступ. Демонстрация ценности функции ВА наряду с приверженностью CAE к постоянному построению отношений предоставляют этим лидерам важный доступ к членам совета директоров, высшему руководству и владельцам процессов по всему предприятию. Такой доступ позволяет получить ценную информацию о том, что происходит в организации и какие стратегические сдвиги и инициативы могут появиться на горизонте.

3. Общий язык. Поразительно, как много руководителей ВА упомянули важность перевода термина "внутренние контроли" в терминологию, которая будет понятна функциям ИТ, ИБ, капитальных проектов и другим владельцам процессов именно в их контексте. CAE подчеркивают необходимость перевода всей работы функции ВА в практические, хорошо понятные термины, которые имеют значение для заинтересованных сторон именно в их среде.

4. Участие. Ведущие подразделения ВА, как правило, весьма активны и широко во всем участвуют. Они присоединяются к «кабинетным учениям» по реагированию на инциденты, предназначенным для выявления ошибок кибербезопасности (например, проведение тестирования на проникновение в сеть в рамках плана ВА), проводят значительное время в цехах и на строительных площадках.

Информация об исследовании:

• Количество участников – 1124 (член совета директоров 34%, СЕО 15%, СFO 18%, Другие руководящие должности 33%)

• Количество участников интервью - 112

• Страны-участницы - 23 (Австралия, Бразилия, Великобритания, Германия, Гонк-Конг, Индия, Испания, Италия, Канада, Китай, Малайзия, Мексика, Нидерланды, ОАЭ, Польша, Россия, Сингапур, США, Тайвань, Турция, Франция, Южная Африка, Япония)