Тренды в развитии внутреннего аудита

Автор: Алексей Сонин, директор Института внутренних аудиторов
Дипломированный внутренний аудитор (CIA),
Дипломированный специалист по расследованию мошенничеств (CFE)

Мы все чувствуем, что наступила эпоха трансформации. Перемены стали нормой жизни. И сегодня службы внутреннего аудита переживают один из самых драматических моментов в своей истории. То, что раньше делало внутренний аудит успешным, больше работать не будет. Посмотрите, как вы меняетесь, как адаптируетесь? И адаптируетесь ли вообще? Что вы увидите? Вы выдерживаете этот бешеный темп изменений, вы двигаетесь в том же ритме или застыли в изумлении от происходящего? Насколько СВА готова? Есть ли области (риски), для работы с которыми у СВА недостаточны знания/опыт/ресурсы? Что делает СВА, чтобы внутренние аудиторы лучше разбирались в происходящем? Что делает СВА, чтобы внутренние аудиторы взяли на вооружение цифровые технологии сегодняшнего дня? Задайте себе все эти вопросы и ответьте на них откровенно. И вам сразу станет понятно, что нужно менять.

Риски меняются с калейдоскопической быстротой – знай уворачивайся. Регулирование, геополитические перемены, торговые войны, киберугрозы, новые технологии. Но, как часто бывает, риски связаны с благоприятными возможностями. И здесь уже возникает риск не воспользоваться этими возможностями. Протекционистские барьеры – новые продукты, новые рынки, новые партнеры. Новые технологии – беспилотные автомобили, но в то же время возможность человеческих жертв и потеря репутации как следствие, доставка товаров дронами – огромный потенциал, но и риски (упадет кому-нибудь на голову). 

В любом случае, бизнесу необходимо реагировать, необходимо быть гибким, действовать быстро и становиться инновационным, то есть делать по-новому очень многие вещи. Вопрос правильного баланса между «объемом контроля» и необходимостью внедрять быстрые и иногда резкие перемены в бизнесе, остается открытым. Иногда существующие требованиям в вопросах внутреннего контроля входят в противоречие с требованиями жизни (быстрого развития).  Внутренний аудит является неотъемлемым компонентом системы внутреннего контроля. Но мы помним, что хорош только тот внутренний контроль, который не является неоправданным тормозом для бизнеса.  

Чтобы в нынешнюю эпоху быстрых изменений внутренний аудит не стали воспринимать как препятствие на пути прогресса, он просто обязан трансформироваться. Готов ли внутренний аудит к трансформации, готов ли настраиваться на меняющуюся действительность? (Например, готов ли внутренний аудит цифровизировать себя и помочь цифровизировать компанию?) И внутренним аудиторам нужно ответить на вопросы: что мы делаем? Как мы делаем? Кто мы есть?

Ответы на эти вопросы и определяют тренды в развитии внутреннего аудита. Остановимся на 5 трендах.

Внутренний аудит предоставляет гарантии и консультации … чтобы собственники/ акционеры были уверены, что системы и процессы эффективны, активы сохранны, законодательство, внутренние политики и процедуры соблюдаются, отчетность достоверна, цели определены и достигаются, задачи и планы выполняются в установленные сроки. И эта уверенность позволяет собственникам/акционерам "спасть спокойно". Но внутренний аудит, чтобы оставаться востребованным, может и должен помогать компании меняться - быть Инициатором, Генератором и Катализатором, т.е. стать драйвером перемен. 

Чтобы совершить переход от оберега к драйверу, внутреннему аудиту надо от констатации фактов, сфокусированности на вопросах обеспечения соответствия регламентам и процедурам, взгляда в прошлое и размышлений о настоящем переходить на рельсы нестандартного мышления, размышлять о будущем и фокусироваться на вопросах изменений традиционных технологий, методов и подходов в бизнесе. То есть говорить не только о том, как компания справляется с рисками, но и в не меньшей степени – о возможностях роста и развития, которые компания могла бы использовать.

В соответствии с недавним опросом, проведенном Institute of Internal Auditors среди руководителей служб внутреннего аудита, соотношение времени, уделяемого внутренним аудитом различным категориям рисков таково: операционные риски – 30%, комплайенс – 30%, финансовые – 20%, ИС/ИТ – 20%. Но в самом ближайшем будущем картина, по мнению респондентов, изменится, и распределение будет выглядеть так: операционные риски – 25%, комплайенс – 30%, ИС/ИТ – 30%, стратегические – 15%. Финансовые риски уходят из «группы лидеров», а на лидирующие позиции выходят риски, связанные с ИС/ИТ. 

Что неудивительно, принимая во внимание появление большого класса «цифровых» товаров и услуг и всё более широкое использование цифровых методов продвижения товаров и услуг (диджитал маркетинг), а также возрастающие возможности искусственного интеллекта и ширящиеся киберугрозы. Примеры: доставка с помощью дронов, дистанционное управление активами посредством гаджетов с биометрической идентификацией пользователя, анализ предпочтений и пристрастий потребителей (с последующими рассылками информации). Широкая автоматизация приводит к наличию уязвимостей систем, которые могут быть использованы во вред.

Исследование состояния и тенденций развития внутреннего аудита в России, проведенное Институтом внутренних аудиторов совместно с компанией КПМГ в 2017 году, показало, что оценка качества управления стратегическими рисками действительно является областью, к которой интерес внутреннего аудита растет за последние годы с наибольшей быстротой. 

Внутренним аудиторам, таким образом, необходимо пересмотреть свои приоритеты касательно различных категорий рисков, выделяя больше времени и ресурсов областям ИС/ИТ, кибербезопасности, а также браться за аудиты управления стратегическими рисками. При этом действовать сфокусированно и не распылять ресурсы, поскольку "нельзя объять необъятное".

Как показало вышеупомянутое Исследование состояния и тенденций развития внутреннего аудита 2017 года, около 30% СВА российских компаний корректируют план работы многократно в течение года в соответствии с изменяющимися рисками. Но, что удивительно, – в трети компаний план не пересматривается вовсе или меняется один раз в год. В эпоху быстрых и резких перемен это может стать непростительной роскошью. Лет 10 назад мы переходили от традиционных циклических аудитов к риск-ориентированному планированию, и я помню, на тренингах рассказывал, что риск-ориентированное планирование не может быть на три года вперед, его надо делать каждый год. Сейчас трендом во внутреннем аудите становится планирование в режиме реального времени, когда изменения в планы вносятся оперативно, по мере проявления новых рисков. 

Внутренним аудиторам необходимо при планировании смотреть вперед, а не в зеркало заднего вида, регулярно актуализировать планы (один раз в полгода – уже недостаточно), оставлять в календарном плане резерв времени на выполнение труднопредсказуемых заданий, которые неминуемо возникнут в течение года.

Внутренние аудиторы должны, с одной стороны, оценивать перспективы и риски, связанные с внедрением новых технологий, прежде всего, цифровых, а с другой стороны – внедрять эти технологии в свою повседневную работу.  Технологиями сегодняшнего дня во внутреннем аудите являются: программное обеспечение для целей управления внутренним аудитом  (IA management software), анализ больших массивов данных (data mining), непрерывный аудит (continuous auditing). 

Они внедрены еще не во всех подразделениях внутреннего аудита, а на смену уже идут технологии ближайшего будущего – роботизация рутинных операций во внутреннем аудите (например, проверка договоров, тестирование автоматических контролей ИС, контроль выполнения планов корректирующих мероприятий и др.), искусственный интеллект (анализ информации и формулирование выводов), что также относится к одним из трендов развития внутреннего аудита.

Меняются функции внутреннего аудита, меняются технологии, используемые во внутреннем аудите. И соответствующим образом меняется спрос на знания/навыки внутренних аудиторов. Быстро растет спрос на аналитическое/критическое мышление, навыки убеждения и разрешения конфликтов, навыки работы с большими массивами данных, использования приложений искусственного интеллекта, знания в области ИС/ИТ, кибербезопасности.  При этом во внутреннем аудите остается стабильно высоким спрос на коммуникативные навыки, знание отрасли/бизнеса. 

Сейчас мы должны критически посмотреть на свой нынешний арсенал и прикинуть, не устарел ли он и не устареет ли в самое ближайшее время.  Используем ли мы ту мощь, которую дает применение новых подходов и технологий во внутреннем аудите?  Мы должны понимать, как большие данные (big data), интернет вещей (IOT), искусственный интеллект фундаментально меняют и уже изменили мир и как мы можем и должны это использовать в своей работе.

Для служб внутреннего аудита очень важно растить (или найти и привлечь в команду) неравнодушных и критически мыслящих инноваторов, обучить или нанять специалистов, умеющих работать с большими массивами данных, имеющих подготовку в области ИС/ИТ, кибербезопасности. Обладание перечисленными знаниями/навыками позволит внутренним аудиторам, с одной стороны, стать драйверами перемен в компании, способствуя использованию возможностей, которые дают цифровые технологии, а с другой стороны, помогать компаниям управлять рисками, связанными с использованием новейших технологий.

Люди – самый большой актив. Нужны инвестиции в знания, что не всегда стоит огромных денег. Главное – поискать возможности. В этом помогут профессиональные ассоциации, получение профессиональных квалификаций, самообразование.

Мы поговорили о наметившихся трендах развития внутреннего аудита. У нас еще есть время учесть их в своем развитии. Но мы немного запаздываем на старте. Поэтому нам следует очень быстро учиться и очень быстро меняться. Покажите, что вы умеете мыслить нестандартно, покажите, что вы меняетесь даже чуть быстрее, чем меняется компания, и у вас есть чему поучиться другим – готовности к переменам и желанию использовать открывающиеся возможности. И тогда внутренний аудит будет стратегическим активом компании, вносящим достойный вклад в ее развитие и процветание.