2019 12 Внутренний аудитор 04 · 3 В НОМЕРЕ Внутренний аудитор № 4 (8), 2019 О номере «Внутренний аудитор» №

Внутренний аудитор

Работа с данными во внутреннем аудите. От выборки до машинного обучения

«Наша профессия – это постоянный вызов себе, своим навыкам и работоспособности».Интервью cАртемом СокольскимИнтервью сАртемом Сокольским

Издание Ассоциации «Институт внутренних аудиторов»

№ 4 (8), 2019

Внутренний аудитор на страже средств акционера: аудит действий топ-менеджмента

НОВОСТИ …………………………………………………………………………………………………………….…………………………………………………………… 4

НАГРАЖДЕНИЕ ПО ИТОГАМ ГОДА …………………………………………………………………………...…………………………………………………. 11

СОБЫТИЕ.

Х Региональная конференция «Внутренний аудит в России: от вопросов к решениям» ...…………………………………………... 15

ПРАКТИКАРабота с данными во внутреннем аудите. От выборки до машинного обучения (авт. Виталий Подоспеев) ……………..... 31

Четкий план и никакого мошенничества (авт. Михаил Пятин, Марина Округина, Дмитрий Бочаров ) ………………….…... 37

Применение статистических методов для анализа случаев сбоя в работе систем спутникового контроля автотранспорта (авт. Станислав Люнченко) …………………………………………………………………………………………………………....…… 41

Внутренний аудитор на страже средств акционера: аудит действий топ-менеджмента (авт. Екатерина Лобова) ….... 46

Развитие сотрудников в условиях экономии бюджета (авт. Александр Московкин) ………………………………………..…...….... 53

Ключевые показатели эффективности подразделения и сотрудников службы внутреннего аудита: какие могут быть

и как их измерить (авт. Екатерина Баташева) ……………………………………………………………………………………………………………… 56

Внутренний аудит исполнения страховой компанией ФЗ от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Часть 2 (авт. Ника

Шамба)…………………………………………………………………………………………………………………………………………………………………………….. 63

Горячая линия – инструмент конфиденциального информирования совета директоров (авт. Леонид Душатин) .…… 66

ЛИЦА ПРОФЕССИИ.

Дмитрий Бочаров …………………………………………………………………………………………………………………………………………...…………..….. 74

ИНТЕРВЬЮ. Артем Сокольский, победитель Национальной премии «Внутренний аудитор года» 2018 г. ……………………………..…..….. 76

МНЕНИЕ.

Аджайл-аудит (авт. Алексей Коряков) …………………………………………...…...……………………………………………………………………..…. 82

ТЕОРИЯ

Кластерный анализ: способ формирования экспертной выборки из больших совокупностей учетной информации

(авт. Евгений Зверев, Андрей Никифоров) ………………………………………..………..…………………………………………………………...……. 86

Отдельные вопросы привлечения к дисциплинарной ответственности по результатам внутренних аудиторских проверок (авт. Андрей Васильев) ………………………………………………………………..………………..…..………………………………………….... 95

Коррупция во внутреннем аудите (авт. Сухроб Курбонов) ………………………………………………………………..……………..…..……. 100

CIAПодтверждение CPE-часов: пошаговая инструкция (авт. Артем Сокольский) …………………………………………..……………….. 106

2

В НОМЕРЕ

Внутренний аудитор № 4 (8), 2019

Содержание

3

В НОМЕРЕ


О номере

«Внутренний аудитор» № 4 (8), 2019

Издание Ассоциации «Институт внутренних аудиторов»

Выпускающий редактор: Елена Фролова-Иванова

Редактор-консультант: Денис Малыхин, CIA, член Совета Ассоциации «Институт

внутренних аудиторов», руководитель Программы сертификации Ассоциации

«ИВА»

Дизайн, верстка: Елена Фролова-Иванова

Над номером работали: Екатерина Баташева, Антон Бирюков, Дмитрий Бочаров,

Андрей Васильев, Ирина Волкова, Снежана Газиян, Леонид Душатин, Евгений

Зверев, Ольга Кожумяченко, Игорь Кожуров, Алексей Коряков, Сухроб Курбонов,

Максим Ларичев, Екатерина Лобова, Андрей Лукьянов, Станислав Люнченко,

Александр Московкин, Андрей Никифоров, Денис Овсянников, Марина

Округина, Виталий Подоспеев, Михаил Пятин, Анна Сергеева, Артем Сокольский,

Максим Сухарин, Елена Фролова-Иванова, Алексей Чепайкин, Ника Шамба

Адрес: Москва, Нарышкинская аллея, д. 5, строение 1

Телефон: +7 (495) 748-05-32

Выпуск: декабрь 2019 года.

Мнения, оценки и рекомендации в материалах, размещенных в издании,

отражают точку зрения их авторов и могут не совпадать с позицией Ассоциации

«ИВА». Ассоциация «ИВА» и авторы материалов не несут ответственности за

возможные последствия, которые могут наступить в результате использования

или невозможности использования данных материалов.

Читатель/пользователь самостоятельно оценивает риски совершения

юридически значимых действий на основе размещенной в журнале

информации и несет ответственность за возможные неблагоприятные

последствия.

4

НОВОСТИ


Изменения в Правилах осуществления внутреннего финансового аудита в организациях бюджетной сферы

В связи с вступлением в силу с 1 января 2020 года пункта 5 статьи 160.2-1 Бюджетного

кодекса Российской Федерации (в редакции Федерального закона № 199-ФЗ) действующие в

настоящее время Порядки осуществления внутреннего финансового контроля (ВФК) и

внутреннего финансового аудита (ВФА), принятые соответственно Правительством

Российской Федерации, высшими исполнительными органами государственной власти

субъектов Российской Федерации, местных администраций, должны быть признаны

утратившими силу к 1 января 2020 года.

В соответствии с постановлением Правительства РФ от 06.11.2019 N 1409 отменяются

«Правила осуществления главными распорядителями (распорядителями) средств

федерального бюджета (бюджета государственного внебюджетного фонда Российской

Федерации), главными администраторами (администраторами) доходов федерального

бюджета (бюджета государственного внебюджетного фонда Российской Федерации),

главными администраторами (администраторами) источников финансирования дефицита

федерального бюджета (бюджета государственного внебюджетного фонда Российской

Федерации) внутреннего финансового контроля и внутреннего финансового аудита»

(утв. постановлением Правительства Российской Федерации от 17.03.2014 N 193).

На смену Правилам с 2020 года приходят федеральные стандарты внутреннего финансового

аудита, разработка которых предусмотрена пунктом 5 статьи 160.2-1 и абзацем 45-м

статьи 165 Бюджетного кодекса Российской Федерации.

Целью «стандартизации» ВФА является формирование единых и обязательных для всех

уровней бюджетной системы Российской Федерации подходов к осуществлению

внутреннего финансового аудита.

Представители российского Института внутренних аудиторов принимают участие в

разработке федеральных стандартов внутреннего финансового аудита, входя в «Совет по

вопросам внутреннего финансового контроля, внутреннего аудита и финансового

менеджмента организаций государственного сектора» в качестве экспертов (приказ

Минфина РФ от 27.12.2018 №3257), а также в рамках сотрудничества с Сообществом по

Внутреннему Аудиту (СВА) сети PEMPAL (Public expenditure management – Peer assisted

learning).

Первые два стандарта прошли профессионально-общественное обсуждение и находятся на

государственной регистрации в Минюсте РФ:

• «Определения, принципы и задачи внутреннего финансового аудита»• «Права и обязанности должностных лиц (работников) при осуществлении внутреннего финансового аудита»

https://iia-ru.ru/upload/inner-auditor/Определения, принципы и задачи внутреннего финансового аудита.pdf

https://iia-ru.ru/upload/inner-auditor/Права и обязанности должностных лиц (работников) при осуществлении внутреннего финансового аудита.pdf

5

НОВОСТИ


Новое Заявление позиции (Position Paper) «Роль внутреннего аудита в органах управления и рабочих комиссиях организации»

Международный Институт внутренних аудиторов (IIA) выпустил новое Заявление позиции

(Position Paper) «Роль внутреннего аудита в органах управления и рабочих комиссиях

организации», в котором излагается, когда и как участие внутреннего аудита в руководящих

органах и исполнительных комитетах может принести дополнительную пользу.

Заявление включает в себя пять вопросов, которые исполнительное руководство должно

задать, прежде чем предлагать внутреннему аудиту войти в комитет/ комиссию, а также

список потенциальных комитетов/ комиссий, в которых внутренний аудит может принести

дополнительную пользу.

В дополнение к обсуждению вопроса о том, когда и где может быть уместно участие

внутреннего аудита в работе руководящих органов/ рабочих комиссиях организации, в

документе перечисляются различные способы осуществления такого участия. Независимо от

того, какую роль играет внутренний аудит в комитете, в документе подчеркивается, что

крайне важно принимать меры предосторожности для обеспечения объективности этой

функции, и приводятся примеры наилучшей практики.

Документ пока доступен на английском языке.

Путь: Личный кабинет → Материалы и информация → Основы профессиональной практики

→ Заявления позиции (Position Papers).

6

НОВОСТИ


IIA выпустил новые Практические руководства

Практическое руководство по демонстрации основных принципов профессиональной практики внутреннего аудита

В новом Практическом руководстве разъясняются концепции, воплощенные в Основных

принципах, и описываются средства или конкретные способы, с помощью которых

внутренний аудит может их продемонстрировать, чтобы задать культурный тон в

организации. В Руководстве также определены поддающиеся измерению ключевые

показатели, которые позволяют внутреннему аудиту определять, измерять, оценивать и

контролировать демонстрацию каждого принципа.

Темы Практического руководства:

· Понимание того, как Основные принципы связаны с работой внутреннего аудита.

· Изучение поддающихся измерению критериев оценки достижения основных принципов

в контексте IPPF.

· Улучшение коммуникации с заинтересованными сторонами путем использования

практических и простых для понимания примеров.

· Потенциальные последствия неспособности достичь реализации Основных принципов.

Практическое руководство по специфическим аспектам внутреннего аудита в государственном секторе

Новое Руководство поможет ориентироваться в уникальных аспектах внутреннего аудита в

контексте государственного сектора.

Темы Практического руководства:

· Понимание определения государственного сектора и типов организаций

государственного сектора.

· Определение ролей государственного сектора в управлении и того, как они могут

влиять на принципы внутреннего аудита, такие как организационная независимость и

неограниченный доступ.

· Объединение любых дополнительных стандартов, специфичных для государственного

сектора.

· Оценка приверженности организации принципам этического управления.

· Определение видов аудиторских заданий, выполняемых в государственном секторе, и

способов их планирования.

Эти и другие Руководства доступны членам ИВА в качестве одного из преимуществ членства.

Новые Практические руководства доступны на сайте ИВА в области "Личный кабинет" пока

только на английском языке.

Путь: Личный кабинет → Материалы и информация → Основы профессиональной

практики→ Практические руководства (верхняя и нижняя таблицы).

https://global.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/Demonstrating-the-Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx

7

НОВОСТИ


Опубликованы переводы руководств по управлению непрерывностью бизнеса

На сайте Института внутренних аудиторов опубликованы переводы на русский язык

Дополнительного руководства «Управление непрерывностью бизнеса» (PG: Business

Continuity Management) от августа 2014 года и Дополнительного руководства по аудиту

применения информационных технологий (GTAG) 10 «Управление непрерывностью

бизнеса» (GTAG 10: Business Continuity Management) от июля 2008 года.

Управление непрерывностью бизнеса (УНБ) обеспечивает подготовку организации к

будущим инцидентам или кризисам, которые могут помешать достижению бизнес-целей.

Управление кризисными ситуациями (УКС) является ключевым компонентом УНБ и

включает в себя передачу существенной информации о кризисе заинтересованным сторонам

организации. Широта и глубина навыков и квалификаций внутреннего аудита, его

положение в организации и углубленное знание всей ее деятельности дают ему возможность

вносить значимый вклад в разработку, реализацию и оценку инициатив организации в

области УНБ и УКС. Внутренний аудит может выполнять различные ключевые и

вспомогательные роли, в зависимости от наличия и/или зрелости инициатив по УНБ и УКС, а

также серьезности и обстоятельств кризиса.

Переводы Руководств по управлению непрерывностью бизнеса можно найти в области

«Личный кабинет» сайта Института внутренних аудиторов:


→ Практические руководства (Practice Guides), верхняя таблица.


→ Практические руководства (Practice Guides) (Дополнительные руководства по аудиту

применения информационных технологий (GTAG) - нижняя таблица).

Перевод на русский язык Руководств по управлению непрерывностью бизнеса осуществлен

при содействии Академии «Делойта».

Эти и другие Руководства доступны членам ИВА в качестве одного из преимуществ членства.

8

НОВОСТИ


Опубликован перевод Дополнительного руководства «Внутренний аудит и мошенничество»

На сайте Института внутренних аудиторов опубликован перевод на русский язык

Дополнительного руководства «Внутренний аудит и мошенничество» от декабря 2009 года.

Перевод осуществлен при содействии Академии «Делойта».

Цель этого Практического руководства состоит в повышении осведомленности внутреннего

аудитора о мошенничестве и предоставлении указаний о принятии мер в отношении рисков

мошенничества при выполнении заданий по внутреннему аудиту.

Дополнительное руководство «Внутренний аудит и мошенничество» можно найти в области

«Личный кабинет» сайта Института внутренних аудиторов.


→ Практические руководства (Practice Guides), верхняя таблица.

Опубликован перевод рекомендаций по подготовке Положения о внутреннем аудите

На сайте Института внутренних аудиторов опубликован перевод на русский язык Заявления

позиции IIA по подготовке Положения о внутреннем аудите (Устав внутреннего аудита/

Положение о внутреннем аудите) от января 2019 года.

Заявление позиции IIA по подготовке Положения о внутреннем аудите можно найти в

области «Личный кабинет» сайта Института внутренних аудиторов.


→ Заявления позиции (Position Papers).

Эти и другие материалы доступны членам ИВА в качестве одного из преимуществ членства.

Если вы хотите стать переводчиком-волонтером и внести свой вклад в развитие профессии,

обращайтесь в Институт внутренних аудиторов к Елене Фроловой-Ивановой ([email protected]).

Участие в переводах дает СРЕ-часы.

mailto:[email protected]

9

НОВОСТИ


«Интеграция дата-ориентированного подхода» на русском языке

На сайте Института внутренних аудиторов опубликован перевод на русский язык материала

из серии GLOBAL KNOWLEDGE BRIEF «Интеграция дата-ориентированного подхода. Основы

встраивания анализа данных в методологию внутреннего аудита» (Integrating a Data-Driven

Approach: learning the basics. Fundamentals of building data analytics into the internal audit

methodology), выпущенного Международным Институтом внутренних аудиторов в 2018 году.

Объем данных, который производят и накапливают организации, растет с каждым годом, а

инструменты и технологии, позволяющие получить из этого объема полезную информацию,

продолжают развиваться. Эффективные подразделения внутреннего аудита должны

расширять свои возможности по использованию этих инструментов и технологий и,

пользуясь всем объемом данных своих организаций, обеспечивать предоставление более

высокого уровня аудита, одновременно повышая эффективность своей работы.

Институт внутренних аудиторов благодарит волонтеров из числа членов Института –

Сергея Григоряна, Татьяну Еринскую и Александра Московкина – за перевод на русский язык

материала «Интеграция дата-ориентированного подхода. Основы встраивания анализа

данных в методологию внутреннего аудита».

Членам Института внутренних аудиторов перевод исследования доступен на сайте в разделе

Личный кабинет.

Путь: Личный кабинет → Материалы и информация → Прикладные материалы →

Внутренний аудит.

Опубликован перевод материала «Разработка программы

оценки и повышения качества внутреннего аудита»

На сайте Института внутренних аудиторов опубликован перевод на русский язык Главы 2 из

Quality Assessment Manual – «Разработка программы оценки и повышения качества

внутреннего аудита».

Путь: Личный кабинет → Материалы и информация → Прикладные материалы → Контроль

качества и оценка эффективности внутреннего аудита, таблица.

ИВА благодарит за подготовленный перевод волонтера из числа членов ИВА - Наталью

Севальневу, CIA!

Эти и другие переводы материалов доступны членам ИВА в качестве одного из преимуществ

членства.

10

НОВОСТИ


Обновления в программе CRMA и IAPНовые экзамены призваны обеспечить актуальность и обоснованность получения профессиональных статусов

Международный Институт внутренних аудиторов (IIA), лидер в области методической

поддержки и в программах обучения внутренних аудиторов, объявил об изменениях в

программах сертификации в области обеспечения управления рисками (CRMA) и Internal

Audit Practitioner (часть 1 CIA) на 2020 год для удовлетворения меняющихся требований к

профессиональной практике внутреннего аудита.

Чтобы идти в ногу с динамичными глобальными рисками, IIA перезапустит экзамен CRMA в

октябре 2020 года, отразив в нем глубокие организационные знания и передовые наборы

навыков, которые необходимы для успешного обеспечения управления рисками.

CRMA будет включать в себя новый экзамен на английском языке, а также обновленные

предварительные условия и требования к опыту. CRMA, единственная сертификация

системы управления рисками для внутренних аудиторов во всем мире, будет

позиционироваться как дальнейшее развитие внутренних аудиторов, уже получивших

сертификацию CIA. Действующие требования CRMA останутся в силе до даты вступления

нововведений в силу.

Изменения в программе Internal Audit Practitioner (часть 1 CIA), которые должны вступить в

силу 1 марта 2020 года, включают отмену требования об образовании как для новых

кандидатов, так и для тех, кто уже получил статус IAP. Кроме того, был снижен

регистрационный взнос при подаче заявок на сдачу Internal Audit Practitioner.

Для получения дополнительной информации, в т.ч. обо всех изменениях, вступающих в силу

в 2020 году, посетите страницу CRMA или страницу Internal Audit Practitioner на сайте IIA.

https://global.theiia.org/certification/crma-certification/Pages/CRMA-Exam-Why-and-How-its-Changing.aspx

https://global.theiia.org/certification/cia-certification/Pages/Internal-Audit-Practitioner.aspx

11

НАГРАЖДЕНИЕ ПО ИТОГАМ ГОДА


Награждение по итогам 2019 года

В декабре, по традиции, Институт внутренних аудиторов вручает грамоты и

благодарственные письма по итогам 2019 года.

За активное участие в деятельности Института внутренних аудиторов в 2019 году

почетными грамотами были награждены:

а также подразделения ПАО Сбербанк:

Управлению внутреннего аудита по Байкальскому банку, Управлению внутреннего аудита по

Волго-Вятскому банку, Управлению внутреннего аудита по Дальневосточному банку,

Управлению внутреннего аудита по Московскому банку, Управлению внутреннего аудита по

Поволжскому банку, Управлению внутреннего аудита по Сибирскому банку, Управлению

внутреннего аудита по Среднерусскому банку, Управлению внутреннего аудита по

Уральскому банку.

За многолетний вклад в развитие профессии внутреннего аудитора почетной грамотой

был награжден Леонид Душатин.

За многолетний вклад в деятельность регионального центра Института внутренних

аудиторов в г. Краснодаре почетными грамотами были награждены Федор Гладкий и

Елена Колонтаевская.

Благодарственные письма за участие в развитии профессии в 2019 году были вручены

компаниям: Deloitte, Digital Design, HOCK Training, KPMG, PwC, Академия Бизнеса EY,

Госкорпорация "Росатом", Концерн "Росэнергоатом«, ФБК Grant Thornton.

Абрамова Алевтина

Андреева Ирина

Аносов Виктор

Берков Андрей

Бехтерев Олег

Бигижанова Надежда

Бондаренко Денис

Бородина Любовь

Бочаров Дмитрий

Васильев Андрей

Газиян Снежана

Городилов Михаил

Григорян Сергей

Гудовских Николай

Додонов Андрей

Егорова Лариса

Еринская Татьяна

Зверьков Дмитрий

Золотарев Андрей

Иванова Елена

Кедрова Мария

Колесников Александр

Коряков Алексей

Краснопольский Антон

Кудисова Ирина

Кулагина Анастасия

Курбонов Сухроб

Лазебных Светлана

Лобова Екатерина

Максимова Виктория

Медников Алексей

Мельникова Елена

Менщиков Александр

Микрюков Тимофей

Морозова Елена

Московкин Александр

Нагорнов Павел

Нисивкин Илья

Новикова Анна

Овсянников Денис

Охонин Павел Подоспеев Виталий

Полякова Алена

Починок Дмитрий

Ревина Вера

Рыбальченко Сергей

Рыжков Виталий

Сазонова Наталья

Салко Яна

Селезнева Наталья

Семенова Вероника

Сергеева Анна

Соболева Юлия

Сокольский Артем

Творогова Галина

Уставщиков Александр

Феофилова Татьяна

Хоменко Андрей

Чалабян Ара

Шадиян Макар

Шамба Ника

Юровских Алексей

12



Леонид Душатин Андрей Васильев Снежана Газиян

Сергей Григорян Татьяна Еринская Елена Иванова

Мария Кедрова Александр Колесников Алексей Коряков

Александр Московкин Павел Нагорнов Виталий Подоспеев

В Москве вручение почетных грамот и благодарственных писем состоялось на встрече

Института внутренних аудиторов 17 декабря в офисе компании Deloitte,

13



Татьяна Васильева (Академия Бизнеса EY)

Людмила Истомина (KPMG) Роман Кенигсберг (ФБК Grant Thornton)

Ника Шамба Сергей Кудряшов (Deloitte) Валерий Коновалов (Госкорпорация «Росатом»)

Дмитрий Починок Вероника Семенова Артем Сокольский

Анна Славиковская (HOCK Training) Андрей Берков (Краснодар) Федор Гладкий (Краснодар)

Центр оценки квалификаций Института внутренних аудиторов (ЦОК ИВА) проводит независимую оценку квалификации на соответствие профессиональным стандартам:

«Внутренний аудитор»утвержден приказом Министерства труда и социальной защиты Российской Федерации от «24» июня 2015 г. № 398н;

«Специалист по внутреннему контролю (внутренний контролер)» утвержден приказом Министерства труда и социальной защиты Российской

Федерации от «22» апреля 2015 г. № 236н.

ПОДТВЕРЖДЕНИЕ КВАЛИФИКАЦИИ – ЭТО ВОЗМОЖНОСТЬ ПОДНЯТЬ ВАШ ПРОФЕССИОНАЛЬНЫЙ СТАТУС И ОТКРЫТЬ НОВЫЕ КАРЬЕРНЫЕ ПЕРСПЕКТИВЫ!

ЦЕНТР ОЦЕНКИ КВАЛИФИКАЦИЙ ИНСТИТУТА ВНУТРЕННИХ АУДИТОРОВ

Адрес:125167, Москва,Нарышкинская аллея, дом 5, строения 1, 2

Телефоны:+7 (495) 748-05-22+7 (495) 748-05-32

Сайт:http://cok.iia-ru.ru/

http://cok.iia-ru.ru/

15

Х Региональная конференция Института внутренних аудиторов


3-4 октября 2019 года в Самаре состоялась Х Региональная конференция «Внутренний аудит в России: от вопросов к решениям», организованная Институтом внутренних аудиторов. Партнером конференции выступил Сбербанк. Мероприятие собрало около 150 гостей и представителей профессии.

Х Региональная конференция «Внутренний аудит в России:

от вопросов к решениям»

Информационными партнерами конференции стали:

ГАРАНТ, GAAP.ru, журнал "Аудит", Российское

отделение ACFE, Банковское обозрение (Б.О.) и

Консультант Плюс.

Открыло Конференцию приветственное выступление

Дмитрия Гурулёва, заместителя председателя

Поволжского банка ПАО Сбербанк, в котором он

рассказал о том, как бизнес смотрит на внутренний

аудит и чего от него ждет.

И уже по сложившейся традиции предлагаем вам ключевые тезисы докладчиков –

представителей крупнейших компаний российского бизнеса, которые поделились своим

опытом и видением задач и позиционирования внутреннего аудита в современных

условиях.

16



В своем выступлении Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту

«Сегежа Групп», провел параллель между концепцией Human Resources Business Partner (HR BP) и

партнерством бизнеса с внутренним аудитом, поскольку у функции внутреннего аудита есть все

необходимые компетенции и навыки, чтобы стать партнером для бизнеса. Концепция HR BP была

разработана в 1996 году как модель взаимодействия бизнеса и HR-функции, и лучшим образом

описывает непрерывные изменения в сфере управления персоналом. Предпосылками становления

новой концепции стали НR-зрелость, отсутствие шаблонов, диджитализация функции HR и рост

профессионализма заказчиков. В «Сегежа Групп» похожие предпосылки появились в 2018 году:

бизнес ожидал от внутреннего аудита новых идей и прорывов, которые могут помочь в

выполнении стратегических и тактических задач компании в перспективе 1-3 лет.

Работа в этом направлении вышла далеко за границы обычного консультирования, которое

является стандартной ролью внутреннего аудита, и появилась новая роль – агент изменений. Это

потребовало порядка 70% ресурса службы внутреннего контроля и аудита (СВКиА) в течение года.

Ключевыми направлениями деятельности внутреннего аудита в рамках новой роли стали:

непрерывный поиск способов достижения КПЭ компании, разработка предложений по внедрению

новых технологий и инноваций, участие в качестве медиатора в корпоративных конфликтах.

Положительный отклик со стороны бизнеса не заставил себя ждать. Внутренний аудит,

безусловно, остается контрольной функцией в компании, однако уровень коммуникации и

скорость взаимодействия с менеджментом качественно изменились. Коллеги понимают, что

СВКиА не только проводит проверку их деятельности, но и помогает в улучшении бизнеса

реальными делами, а не формальными рекомендациями.

17

Алексей Чепайкин, директор по внутреннему контролю и аудиту АО «Концерн Росэнергоатом», электроэнергетического дивизиона Госкорпорации «Росатом», рассказал о лидерстве как о «мягкой силе» внутреннего аудита. Концепция развития внутреннего аудита, в основу которой положен принцип партнерства с менеджментом, является привлекательной и логичной. Командная работа, базирующаяся на добросовестном и разумном управлении, представляется более продуктивной, в отличие от отношений, основанных на административном принуждении. При этом, понимание партнерства, как «совместной деятельности, основанной на равных правах и обязанностях, направленной на достижение общей цели», вряд ли встречается в практике внутреннего аудита в чистом виде. По мнению докладчика, основная причина этого – слишком несопоставимые ресурсы и задачи у бизнес-направлений и внутреннего аудита. Возможно, именно потому ряд экспертов корректирует терминологию и вводит термин «кооперация».

Осмысление возможных путей повышения эффективности внутреннего аудита в атомной отрасли привело к выводу, что перспективным направлением является взращивание компетенций командного лидерства. Алексей Чепайкин подчёркивает, что лидерство для внутреннего аудита – это возможность мягкого влияния в механизмах партнерства. Под лидерством понимается процесс социального влияния, благодаря которому лидер получает поддержку со стороны других членов сообщества для достижения цели. Для внутреннего аудита – это и цели, определенные Международными основами профессиональной практики (МОПП), такие как повышение стоимости организации и совершенствование деятельности.

Принимая цели лидерства, важно понять, каким характеристикам соответствует лидер. Спикер перечислил универсальные характеристики лидера, описанные Корпоративной академией Госкорпорации «Росатом»:• амбициозность. Берется за достижение амбициозных целей, поставленных руководством. Ставит перед подчиненными амбициозные цели. Имеет смелость браться за новое дело первым, несмотря на отсутствие аналогов;

• готовность к изменениям. Быстро реагирует на изменения, не боится вносить коррективы в согласованные планы ради ускорения проектов или соблюдения обязательств; • широкая сфера ответственности. Действует проактивно, инициативно. Не ждет, когда его попросят или позовут, «влезает» в смежные функции;• высокая эффективность. Как правило, внутренний аудит обладает необходимыми полномочиями для оказания влияния внутри организации. В основном зона роста для достижения/ приближения к позиции лидера сконцентрирована в реализуемых подходах и ревизии существующих ограничений внутреннего аудита. Важным является также то, насколько партнеры одинаково понимают, какой продукт/ результат создается по результатам внутреннего аудита (в терминологии бережливого производства – ценность). Например, в атомной отрасли по итогам семинара подразделений внутреннего аудита (июль 2019 года) ценность внутреннего аудита сформулирована как:- устраненное существенное отклонение/ минимизированный существенный риск;- новое, признанное руководством знание о фактическом состоянии процессов и мерах, позволяющих их усовершенствовать.

По совету Алексея Чепайкина, первичную оценку уровня лидерства и «зон роста» возможно проводить на основании исследований, которые, как правило, организуются в крупных компаниях кадровыми службами: оценка вовлеченности персонала, оценка горизонтального взаимодействия и оценка 360 градусов. И важно помнить, что усилия в данном направлении носят сугубо практический характер – усиление влияния для достижения целей деятельности. В Госкорпорации сформулирована визуальная модель лидерства внутреннего аудита атомной отрасли, которая состоит из реализуемых функций/ направлений (оценка, внутреннее консультирование, коммуникация, проекты, экспертиза), их характеристик с точки зрения лидерства и целевых показателей. Данная модель является также некоторым управленческим ориентиром для разрабатываемых мероприятий в рамках программ обеспечения и повышения качества внутреннего аудита.



18



19

Снежана Газиян, CIA, AIRC, практикующий эксперт в области внутреннего контроля (комплаенс), в своем выступлении подняла вопрос партнёрства второй и третьей линий защиты. Современная модель трех линий защиты предполагает множество постоянно действующих связок и механизмов прямой и обратной связи, интерактивного взаимодействия между первой и второй линиями. Это комитеты и различные коллегиальные органы и площадки, где первая и вторая линии обсуждают в оперативном режиме бизнес-инициативы (продукты, услуги, технологии, клиентский сегмент и т.п.), чтобы оценить, проговорить совместно все преимущества и риски и прийти к осознанному и ответственному принятию последних. Это инструменты постоянного мониторинга процессов – отчеты, индикаторы, dashboards; это обучение в разных форматах, встречи по обмену опытом, реинжиниринг бизнес-процессов; решения, вовлекающие единые хранилища данных и анализ больших объемов информации, искусственный интеллект… Наконец, сама вторая линия защиты подразделяется на уровни:• 2.1: более привычный набор функций, отвечающих за встраивание превентивных контролей и механизмов в бизнес-процессы, находящийся максимально близко к своим полевым корреспондентам из первой линии;

• 2.2.: специальная команда аналитиков, идущая на полшага позади и осуществляющая постоянный контроль качества системы внутреннего контроля и управления рисками, применяя квазиаудиторские инструменты, но в постоянном, а не дискретном режиме, и также принимающая на себя обязанность по консультированию и методологии.

Какую роль в этой модели может играть внутренний аудит? Увы, интуитивно выбираемой оказывается роль инспектора, ревизора. Но чем больше аудит превращается в ревизора, тем сильнее становится сопротивление среды.

Снежана предлагает освободиться от стереотипов; научиться слышать и слушать; доверять, а не только проверять; начать обмениваться опытом, жить в мире интерактива. Внутреннему аудиту стоит перестать ощущать себя супермозгом и обладателями суперзнания. Аудиторская команда должна научиться у второй линии защиты действовать через полевых корреспондентов, а значит – перестать быть инспектором-надзирателем. Внутреннему аудиту надо помнить, что он – член команды, помощник. Реализация своих задач через полевых корреспондентов, которыми естественным образом становятся элементы второй линии защиты, возможна только в том случае, если есть доверие и обмен знаниями и опытом. Внутренний аудит может передать часть своих методик, практик общения, получения информации из различных источников, сопоставления, а вторая линия – практический «полевой» опыт, алгоритмические решения в части постоянного контроля, раннего выявления, красных флагов и проч.

Плюсы такого взаимодействия как во взаимном профессиональном обогащении, так и в экономии ресурсов. Если внутренний аудит может опираться на работу второй линии, а не дублировать ее, то это открывает дорогу всем возможностям гибких, настраиваемых аудитов, проводимых параллельно в разных направлениях небольшими командами, а большие ресурсы могут сосредоточиться на областях или подразделениях, требующих детальных расследований, форензика. Аудит сможет фокусироваться на системных ошибках, на первопричинах, которые кроются в корпоративном управлении, и, выявляя их, донося эту информацию непосредственно, по своим каналам, способствовать изменениям, которые иной раз не может на своем уровне продвинуть вторая линия.



20

Андрей Лукьянов, заместитель директора

департамента регионального аудита ПАО «НК

«Роснефть», рассказал об опыте централизации

внутреннего аудита в компании, которая затронула

почти 400 работников подразделений внутреннего

аудита из 90 дочерних обществ. Централизация

функции аудита была осуществлена, исходя из

принципов независимости и объективности,

обеспечения функциональной и административной

подчиненности внутреннего аудита единому лицу.

Для того, чтобы сформировать эффективную

команду единомышленников из коллектива

различных по опыту и компетенциям аудиторов,

было поставлено и решено 4 задачи:

1. Укрупнение региональных подразделений

внутреннего аудита: из 90 мест дисклокации было

сформировано сначала 29 обособленных

подразделений, затем их сократили до 17.

Использование современных средств связи

позволяет проводить дистанционное обучение,

обмениваться опытом по итогам аудитов, проводить

семинары.

2. Повышение уровня компетенций сотрудников:

была внедрена рейтинговая оценка деятельности и

система определения лучшего подразделения и

лучшего сотрудника с последующим материальным

поощрением (1); сформированы индивидуальные

планы развития сотрудников, основанные на оценке

потенциальных направлений развития

компетенций (2); введено обучение в форме

наставничества над вновь принятыми

сотрудниками (3); налажен обмен опытом путем

проведения совещаний (круглые столы, семинары с

участием специалистов, обладающих высокими

компетенциями) и «веерных проверок» (4).

3. Привлечение во внутренний аудит

технических специалистов, профессионалов,

обладающих большим практическим опытом. Это

позволяет формировать рекомендации на понятном

бизнесу языке, дает признание ценности выводов и

рекомендаций аудита.

4. Обеспечение равных условий доступа к

информации для каждого сотрудника:

идентификация и подключение к информационным

ресурсам компании и их освоение с помощью

назначенных экспертов, разработка

презентационных материалов по обучению

сотрудников работе с информационными

ресурсами. Это привело к информационной

независимости аудита, сокращению сроков

выездных проверок.

В результате реализации этого широкомасштабного

проекта сформировалась команда, нацеленная не

только на выявление нарушений и недостатков, а,

что более важно, на повышение эффективности

деятельности компании. И сейчас функция

внутреннего аудита активно внедряет проекты по

созданию экспертных советов по направлениям

деятельности компании для углубленного аудита

бизнес-процессов и групп по превентивному

контролю в значимых бизнес-процессах.



21



Коллеги из Управления внутреннего аудита трех территориальных банков ПАО Сбербанк –

Антон Бирюков, ведущий аудитор управления внутреннего аудита по Поволжскому

банку, Ольга Кожумяченко, менеджер направления управления внутреннего аудита

по Среднерусскому банку, и Максим Ларичев, менеджер направления управления

внутреннего аудита по Сибирскому банку, – поделились практикой применения

цифровых инструментов внутреннего аудитора, в частности, результатами роботизации

процессов. Работу современного аудитора можно упростить и ускорить при помощи новых

технологий Data Science. Одним из примеров инструментов, созданных внутренними

аудиторами с помощью AI-технологий, является модель поиска нетипичных заемщиков.

Она позволяет быстро анализировать весь кредитный портфель и формировать перечень

заемщиков с повышенным кредитным риском, высвобождая время аудитора для

проведения профессиональной экспертизы по полученной выборке. Данное решение было

реализовано на основе данных, которые формируются внутри банка, о движении

денежных средств по расчетным и ссудным счетам заемщиков. В его основе лежит

классический метод обнаружения аномалий в Data Science: одноклассовая машина опорных

векторов (One Class CVM). А обучение машины было проведено с использованием

показателя долговой нагрузки – отношения выручки, поступающей на счета клиента, и

сумм погашения обязательств как в банке, так и другим кредиторам.

Другая область, о которой рассказали докладчики, – проверки хозяйственных договоров.

Для полной проверки была разработана программа, работающая с SQL-запросами, которая

на основании данных из реестра договоров и оплат по ним формирует списки договоров,

подлежащих проверке. Для анализа статусов арендованных земельных участков написана

программа, которая, используя кадастровые номера, выгружает информацию с сайта

Росреестра. Например, по результатам проверки из 3000 арендуемых земельных участков

было выявлено 50 снятых с регистрационного учета.

В целом, NLP (анализ естественного языка), Computer Vision (распознавание изображений),

нейронные сети LSTM уже сейчас помогают аудиторам ПАО Сбербанк работать с

неструктурированными данными. Такие данные используются при решение следующих

задач: анализ и классификация текстовых сообщений внутри сервисных систем;

распознавание текста, подписей и печатей в различных документах и последующее

сравнение с базами данных компании; распознавание голосовых аудиозаписей для

контроля разглашения конфиденциальной информации. Решение таких задач при помощи

Data Science позволяет получать уже готовые отчеты, заранее структурированные и

проанализированные так называемым искусственным интеллектом.

22



Выступление Дениса Овсянникова, директора по внутреннему аудиту Tele2, было

посвящено цифровым инструментам анализа данных, которые аудиторы Tele2 применяют

в своей практике. Докладчик подробно остановился на трех методах, каждый из которых

может существенно снизить трудоемкость предварительного исследования и построения

выборки при проверке больших совокупностей объектов. Первый метод относится к

инструментам Process Mining, он позволяет строить карты процессов из тех цифровых

следов, которые остаются в учетных системах компании. Проанализировав такую карту

можно выявить случаи обхода контролей в процессе, несоответствующие регламенту

процесса последовательности выполнения, «бутылочные горлышки», «петли» и зависшие

объекты. Второй метод – Force Graph Clustering – поможет в случае, когда необходимо

исследовать внутреннюю структуру большой совокупности объектов и наметить группы

для более детального исследования. Он учитывает множественные связи различной

природы между объектами и позволяет выявлять сложные непрямые зависимости. Третий

метод – t-SNE (метод нелинейного снижения размерности) – применим, когда между

исследуемыми объектами нет предопределенных связей, а сами объекты обладают

собственной внутренней структурой признаков. t-SNE позволяет сгруппировать объекты

по критерию «похожести» и решить тем самым две задачи: поиска нетипичных

выделяющихся групп в больших совокупностях или поиска всех похожих объектов по

одному имеющемуся примеру. Отдельно следует отметить тот факт, что результаты,

которые дают описанные инструменты, практически никогда не являются конечным

продуктом, они позволяют сфокусировать поиск и направить ресурсы традиционных

аудиторских методов в те области, где они будут наиболее эффективны.

23



Максим Сухарин, директор департамента непрерывного мониторинга системы

внутреннего контроля блока внутреннего аудита ПАО «Ростелеком», рассказал о

внедрении системы поддержки принятия решений на примере мониторинга закупок ДЗО и

существующих трендах развития инструментов бизнес-анализа в компании. Докладчик

выделил основные предпосылки, способствующие развитию инструментов бизнес-

анализа:

• в компаниях накоплен значительный объем больших данных;

• большие данные становятся все более важным активом компании;

• наличие возможности увеличения добавленной стоимости через эффективное

управление системами поддержки принятия решений.

Максим Сухарин продемонстрировал рабочие возможности реализованной операционной

панели индикаторов бизнес-процесса «Закупки» ДЗО, которые дают возможность

анализировать данные по ДЗО как в разрезе отдельно взятой компании, так и в целом по

группе компаний. Реализованный проект обеспечивает управление рисками в режиме

онлайн, единый вариант истины, оперативность получения информации и добавленную

стоимость бизнеса. В заключение спикер отметил, что реализация данного проекта – это

еще один шаг в направлении цифровизации деятельности внутреннего аудита и

внедрения полного цикла непрерывного аудита.

24



Екатерина Лобова, менеджер по внутреннему контролю и аудиту, группа внутреннего

контроля и аудита Корпоративного центра ПАО «МТС», поделилась методологией

проведения аудита действий топ-менеджмента.

Аудит действий топ-менеджмента – новое и интересное направление во внутреннем аудите.

Проверить топ-менеджера службу внутреннего аудита могут попросить лишь в тех

компаниях, где очень высок ее статус и степень независимости. Кроме того, степень доверия

к профессионализму и полезности СВА со стороны собственников компании тоже должна

быть очень высокой. Такого рода задания даются только высококвалифицированным

внутренним аудиторам, мнению которых собственники и высшее руководство безоговорочно

доверяют и в которых реально видят некоего «третейского судью».

В современных условиях аудит действий топ-менеджмента становится все более актуален.

Он помогает определить, насколько эффективно топ-менеджмент принимает решения и

действительно ли вся его работа приносит компании пользу и способствует укреплению ее

положения на рынке. Чаще внутреннего аудитора могут просить помочь разобраться в

последствиях сложных сделок или нестандартных решений, и ему необходимо обладать

высоким профессионализмом и экспертизой в проверяемом вопросе, чтобы сделать

правильные выводы и дать нужные рекомендации.

В своем выступлении Екатерина раскрыла предпосылки проведения аудита действий топ-

менеджмента, основные объекты проверки и методы проведения аудита и рассказала о видах

и способах мошенничества, совершаемого руководителями, как с целью принести пользу

возглавляемой компании, так и во вред ей, и о том, как его можно выявить. Спикер

поделилась советом, каких специалистов из других подразделений и сторонних экспертов

стоит привлекать в ходе проведения аудита, примерной программой аудита действий топ-

менеджера и рекомендациями по составлению аудиторского отчета.

Подробнее о этом читайте в статье Екатерины Лобовой на стр. 46.

25

Продолжили тему новых видов аудита

представители ПАО «Аэрофлот» – Игорь Кожуров,

заместитель директора департамента

внутреннего аудита, и Ирина Волкова, ведущий

аудитор департамента внутреннего аудита, –

которые рассказали об аудите использования

социальных сетей.

Динамика развития социальных сетей не оставляет

сомнений, что данный вид коммуникаций с

заинтересованными сторонами выходит на первый

план, особенно для компаний, деятельность которых

связана с широкой аудиторией. Социальные сети

наряду с возможностями по усилению бренда

сопряжены с репутационным риском, а в некоторых

случаях – с вполне конкретными финансовыми

потерями, и, следовательно, нуждаются в

релевантной системе внутреннего контроля.

Поэтому эффективность представления компании в

социальных сетях должна стать объектом внимания

для служб внутреннего аудита компаний.

Докладчики поделились общими практическими

рекомендациями по проведению такого аудита:

• определение критериев и принципов

использования социальных сетей. Аудиторам

необходимо убедиться, что компания определила

стратегические и ключевые цели коммуникаций в

социальных сетях, целевые аудитории и площадки,

цели использования и планы развития по каждому

корпоративному каналу/ платформе социальных

сетей.

• администрирование корпоративных аккаунтов

в социальных сетях. Особое внимание следует

уделить порядку создания учетных записей

корпоративных аккаунтов в социальных сетях, в том

числе использованию персональных данных

работников для регистрации в социальных сетях,

предоставлению и блокировке доступа,

мониторингу доступа, парольной защите.

• информационное сопровождение деятельности

компании в социальных сетях, которое включает в

себя редакторскую поддержку и работу с

обращениями. Стоит предусмотреть процедуры по

оценке системы внутреннего контроля в части

формирования, согласования и обновления

информационного контента, а также

эффективности мер реагирования на публикации в

социальных сетях и на запросы/ обращения

пользователей.

• обучение персонала работе в социальных

сетях. Любой работник может повлиять на

репутацию компании. Возможные процедуры

аудита могут включать анализ и оценку

формирования и поддержания единых

корпоративных стандартов по использованию

социальных сетей путем информационных

рассылок, обучения для работников, которым

предоставлен доступ к корпоративным учетным

записям в социальных сетях, менеджмента и

рядовых работников компании.

Спикеры обратили внимание, что наполнение и

глубина программы аудита использования

социальных сетей напрямую зависит от уровня

зрелости самого процесса в компании и целей

аудита.

Подробнее о этом читайте в статье Ирины Волковой

«Аудит использования социальных сетей:

вызовы и возможности», опубликованной в журнале

«Внутренний аудитор» № 2 (6), 2019, на стр. 16 .



26

Выступление Анны Сергеевой, директора по внутреннему аудиту и контролю АО «Стройтрансгаз», было посвящено ревизии арсенала внутреннего аудитора.

В условиях современного инновационного развития бизнеса перед большинством служб внутреннего аудита российских компаний стоит задача обеспечить соответствие деятельности аудиторского подразделения изменяющимся потребностям. При этом достаточно часто возникает ситуация, когда знакомство с отчетами службы внутреннего аудита, а также презентация результатов проверок создает ощущение, что данное подразделение находится на шаг, а то и на несколько шагов позади бизнеса.

Данное ощущение возникает нередко не по причине несоответствия тематики проверок потребностям бизнеса, а вследствие использования устаревшего арсенала внутреннего аудитора, который не актуализировался уже несколько лет. Самым удобным и эффективным механизмом усовершенствования используемых инструментов, средств и методов, является ревизия арсенала внутреннего аудитора, которая должна проводиться не реже чем один раз в год. Эксперт советует проводить такую ревизию в конце года, после завершения процесса годового планирования.

Ревизия арсенала функции внутреннего аудита состоит из нескольких этапов. Во-первых, проводится анализ изменений, происходящих в бизнесе, по итогам чего формируется перечень особенностей текущих процессов, которые должны быть учтены при проведении аудитов. Следом идет анализ возможностей использования новых инструментов, средств и методов, который основывается в том числе на опыте коллег из других российских, зарубежных и международных компаний. На третьем этапе происходит сопоставление результатов первого и второго этапов и принимается решение о внесении изменений в используемые инструменты, средства и методы внутреннего аудита.

Такая ревизия арсенала аудитора особенно необходима подразделению внутреннего аудита в следующих случаях: • имеются признаки того, что СВА отстает от общего развития организации;• методики проверок и подходы к организации аудитов не пересматривались более 3-х лет; • вопросы применения новых механизмов и инструментов не обсуждались на совещаниях СВА за последние 6 месяцев;• руководитель СВА оценивает уровень технологической зрелости службы как недостаточно высокий;• внутренние аудиторы не в полной мере используют данные информационных систем и не используют инструменты для совместной работы, извлечения, анализа и визуализации данных;• стратегия СВА не включает в себя план действий для развития навыков работы с технологиями и внедрения соответствующих инструментов.

Анна Сергеева подчеркивает, что результатом проведения ревизии арсенала функции внутреннего аудита будет повышение качества проверок, а также более эффективное распределение ресурсов подразделения.

Поскольку сейчас подходит к концу календарный год, наступает время годового планирования деятельности подразделения внутреннего аудита, важно не упустить удобный момент и не забыть запланировать проведение ревизии арсенала внутреннего аудитора в виде отдельного мероприятия годового плана.



27Внутренний аудитор № 4 (8), 2019


Алексей Коряков, CIA, ACCA, Prince 2, преподаватель Учебного центра Института внутренних аудиторов, посвятил свое выступление возможности применения методов Agile во внутреннем аудите. Подробнее об этой теме читайте в статье Алексея на стр. 82.

В первый день конференции состоялось панельное обсуждение «Как аудировать со скоростью риска», в котором приняли участие: • Роман Абдусалямов, руководитель службы внутреннего аудита ООО «Сибирская генерирующая

компания»,• Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа групп»,• Валентин Зубов, управляющий директор по внутреннему аудиту АО «РОСНАНО»,• Александр Локтев, главный контролер - директор по внутреннему контролю и аудиту Госкорпорации

«Росатом»,• Марина Ломсадзе, руководитель направления управления внутреннего аудита центрального аппарата

ПАО Сбербанк.



По окончании первого дня конференции участников ждал прием с развлекательной программой и лотереей. Победители получили в подарок книги от издательств «Альпина Паблишер» и МИФ, вкусные призы от Поволжского банка ПАО Сбербанк. А двум счастливчикам вручили сертификаты на бесплатное годовое членство и на получение книги «Внутренний аудит по Сойеру: сохранение и повышение стоимости организации», русский перевод которой выйдет из печати в первой половине 2020 года.

29



До встречи на ХI Региональной конференции Института внутренних аудиторов «Внутренний аудит в России» в октябре 2020 года!

30

XII Национальная конференция Института внутренних аудиторов«Внутренний аудит в России: новое десятилетие»

17-18 марта 2020 годаотель «Ренессанс Москва Монарх Центр»

Членам ИВА, ACFE, РИД предоставляется скидка 10%

Темы обсуждений: •Внутренний аудит: достижения и возможности развития•Меняющаяся роль внутреннего аудита•Взгляд на внутренний аудит со стороны заказчиков•Кто и как будет управлять рисками•Внутренний аудитор в цифровом мире•Как противостоять киберпреступности•Развитие риск-ориентированного подхода во внутреннем аудите•Особенности внутреннего аудита в средних и малых компаниях•Система оценки и мотивации во внутреннем аудите

https://www.iva-conf.ru/

https://www.iva-conf.ru/

Внутренний аудит постоянно меняется, и изменения эти касаются всех сфер профессии. Еще недавно при анализе бизнес-процесса основным методом проверки контролей была выборка, на основе экстраполяции которой делался вывод об эффективности контроля. Недостатки этого метода очевидны. Главный – трудоемкость. Размер выборки должен быть таким, чтобы репрезентативно отражать всю совокупность, но с учетом размеров совокупностей, которые в крупных компаниях могут составлять миллионы и десятки миллионов в год, минимальный размер выборки может достигать сотни экземпляров для доверительной вероятности хотя бы в 95%. При этом всегда есть шанс того, что вам «повезет» и вы просто не попадете своей случайной или псевдослучайной выборкой на тот момент времени, когда присутствовали некоторые аномалии: будь то сбой систем, потеря информации или фрод, особенно, если явление было кратковременным. А ведь исследуемый контроль может и обычно бывает не один, либо объектом исследования является не тестирование контроля, а проверка некоторой гипотезы, которая в результате анализа совокупности данных должна быть принята или опровергнута.

31

Работа с данными во внутреннем аудите.

От выборки до машинного обучения

ПРАКТИКА


Виталий Подоспеев, менеджер по аудиту дирекции по внутреннему аудиту, ТЕЛЕ2

32

В определенной мере для решения данной проблемы появилась специализация ИТ-аудитора. Подход ИТ-аудитора заключается в том, чтобы оценивать то, насколько корректно построен процесс и работает система, анализируя логику самой системы вместо результатов её работы. Если в исследуемом бизнес-процессе есть автоматические системные контроли, предположительно покрывающие заявленный риск, то для того, чтобы проверить их эффективность, нет необходимости строить выборку и анализировать их (контролей) эффективность на конкретных примерах, достаточно посмотреть на сам контроль, его логику и реализацию. В случае, если логика корректна, и это можно подтвердить, например, анализируя SQL-скрипт, выполняющий функцию контроля, нет необходимости выборочно просматривать данные, этим скриптом формируемые. Уверенность, что контроль эффективен при таком анализе, выше, чем при подходе с выборкой и экстраполяцией.

К сожалению данная схема является весьма упрощенной, так как в идеале, чтобы убедиться, что контроль работает и эффективен, нужно изучить не только сам контроль, но и его «окружающую среду», известную как General IT Controls (GITC). Нужно убедиться, что:• отсутствует возможность временно внести изменения или отключить данный контроль, • все изменения, связанные с данным контролем, в достаточной мере логируются и должны быть корректно авторизованы (change management),• логи изменений также должны быть защищены от умышленного изменения, • системы компании защищены от атак как извне, так и изнутри, • и т.д. и т.д., что влечет за собой полноценную оценку ИТ-инфраструктуры предприятия.

Как же тогда убедиться, что в исследуемом процессе все нормально и не было аномалий, сбоев, фрода, не проводя комплексный ИТ-аудит предприятия и не обрабатывая вручную сотни и тысячи транзакций? Лучшим и самым верным способом очевидно является анализ сразу всей совокупности, поиск в ней аномалий и выводы на основе такого анализа. Это уже работа для Data-аналитика. Еще десять лет назад мы упирались в техническую сложность проведения подобного анализа, однако с тех пор data science сделала ряд огромных скачков вперед как в методах работы с данными, так и в технических средствах хранения и обработки этих самых данных, и теперь анализ совокупности

данных на миллиарды записей это не что-то выдающееся, а вполне рядовая задача для работников Big Data-подразделений крупных компаний. Внутренний аудит не может оставаться в стороне от прогресса и в данной статье мы рассмотрим несколько вариантов работы с большими данными и то, какими инструментами при этом можно пользоваться. В первую очередь, все зависит от того, как устроена работа с данными в вашей компании. С точки зрения внутреннего аудитора текущее состояние условно можно разделить на несколько уровней «зрелости»:

1. Неструктурированный уровень. Огромные объемы данных хранятся в разрозненных базах данных (далее БД). Данные каждого бизнес-процесса хранятся в одной или сразу нескольких БД. Отсутствует единое хранилище – агрегатор. При задаче анализа данных необходимо понять, что нужно, в каких БД предположительно находятся необходимые данные, как получить к ним доступ напрямую или нужно заказать выгрузку у ответственных лиц.

2. Структурированный уровень. Существует единое корпоративное хранилище данных (далее КХД). Часто оно называется аналогичным англоязычным термином Data WareHouse (DWH). В данное хранилище «стекаются» данные из значительного количества различных БД компании. Данные хранятся как есть или в агрегированном виде. Существует отдельный штат сотрудников, обеспечивающих функционирование КХД, добавление в него новых источников данных, корректность и актуальность данных. Может иметься относительно дружественный интерфейс (такой как у Oracle BI, SAP BO, SAS BI и подобные), позволяющий конструировать аналитические запросы людям, не знакомым с SQL.

3. Исследовательский уровень. Помимо одного или нескольких КХД и обслуживающего их персонала, существует отдельное подразделение, занимающееся задачами глубокой аналитики по имеющимся данным. Зачастую возможна реализация проектов с продажей каких-то агрегированных обезличенных данных сторонним компаниям. Работа осуществляется с данными различных типов, в том числе из внешних источников, такими как данные социальных сетей, веб-страниц в интернете, геоинформацией, мультимедиа-данными и т.п.


ПРАКТИКА

33

Если ваша организация находится на первом уровне, то наверняка самым используемым способом для вашего подразделения получения доступа к нужным данным в рамках проводимых аудитов является запрос выгрузки данных в нужном вам разрезе у ответственного подразделения. Минусы такого способа очевидны: 1. Выгрузка может быть крайней большой, ее нужно как-то получить и с помощью чего-то хранить и обрабатывать для анализа.2. Выгрузка может быть ошибочной. Зачастую, когда внутренний аудит формулирует свои требования к выгрузке, отсутствует полное понимание особенностей системы и хранения данных в ее БД. Ответственный сотрудник, непосредственно осуществляющий выгрузку, зачастую получает запрос уже в готовом виде, может не понимать цели, которой хотят добиться внутренние аудиторы, и исполнить запрос AS IS (буквально) без учета важных нюансов, так как их нет в начальном запросе. Кроме того, ответственный может просто ошибиться при написании SQL-запроса либо в работе с БД, и данные будут некорректны.3. При получении выгрузки и ее последующем анализе, внутренние аудиторы могут понять, что это не совсем то, что им было нужно, а нужно что-то другое, в другом разрезе, или же необходимо наличие в выгрузке еще нескольких столбцов и т.п.

При таком взаимодействии зачастую возникает необходимость делать несколько выгрузок, так как текущая по какой-то причине не подходит. Процесс «запрос – выгрузка – анализ – новый запрос» становится итеративным, причем каждая итерация занимает много времени и отнимает значительные ресурсы как у ответственного подразделения, так и у самого внутреннего аудита.К сожалению, при таком уровне зрелости работы с данными компании у внутреннего аудита не так много инструментов для проведения сплошного анализа. Если в штате есть сотрудник, обладающий знаниями SQL, можно попытаться самостоятельно получить доступ на чтение к нужной БД, или хотя бы ее тестовой версии с релевантными данными и провести необходимый анализ путем запросов. Однако главной проблемой будет тот факт, что таких БД в компании много, у каждой из них своя внутренняя архитектура (в каких таблицах что лежит), без знания которой написать правильный запрос невозможно. Внутренняя архитектура данных в таких случаях зачастую нигде не задокументирована, и ее придется каждый раз

изучать заново с привлечением ответственных сотрудников. Кроме того, не во всех случаях доступ к БД вообще можно получить, например, в силу особенностей самой информационной системы или из соображений возможного нарушения производительности продуктивной системы в результате выполнения аналитических вопросов.

Если предположить, что данные все-таки получены в нужном виде от подразделения, но они являются крайне большими (более нескольких миллионов строк, более гигабайта размером и т.п.) возникает насущная проблема: как эффективно обработать такой объем. Как известно «основной инструмент аудитора» – MS Excel – крайне плохо работает с большими объемами данных. Предположим, у нас стоит задача сопоставить данные из одной таблицы с данными из другой, то есть «подтянуть данные», что обычно делается функцией ВПР. Операция ВПР при размерах 400 000 строк одной таблицы и 300 000 строк в другой будет длиться несколько часов даже на очень мощных компьютерах. При таблицах «миллион на миллион» окончания операции за адекватное время вы гарантированно не дождетесь. Также нужно учитывать особенности самой операции ВПР: что она может подтянуть лишь первое вхождение искомого значения. А что если в обеих таблицах есть повторяющиеся значения, и вам нужны их разные комбинации?

Например, есть две таблицы: в одной все входящие звонки в кол-центр, содержащие номер клиента и время звонка, а в другой – продажи, содержащие номер клиента и время продажи. Задача – к каждому звонку клиента подобрать все последовавшие за этим звонком продажи. Очевидно, что при помощи ВПР данная задача неразрешима, так как звонков от одного клиента может быть много и продаж может быть много, и задача соотнести продажу к конкретному звонку становится нерешаемой.

Есть вариант привлечь для решения макрос VBA, но это потребует знаний VBA, которым обладает не каждый внутренний аудитор, и никак не снимет ограничение по производительности.

Лучшим решением будет занести полученные данные в БД или BI-решение (подробнее о том, что это такое, далее). Первым на ум приходит MS ACCESS, в который импортируются обе таблицы и далее конструктором строятся необходимые запросы. К сожалению, как инструмент, MS Access не является достаточно стабильным при работе с

Институт внутренних аудиторов

ПРАКТИКА

34

данными более гигабайта в текстовом виде, проблемы могут начаться еще на стадии корректного импорта данных, когда приложение просто будет «вылетать» с ошибкой без объяснения причин.

Куда лучшим решением будет развернуть свою полноценную БД, например, на основе бесплатной PostgreSQL, в которую можно импортировать полученные данные и работать с ними полноценными запросами. Необходимым условием в такой ситуации является наличие сотрудника, обладающими знаниями SQL, чтобы превратить интересующие аудит вопросы в корректные SQL-запросы. Эффективность аналитики с имеющимися данными при таком сценарии является наибольшей, а скорость работы высокой.

Что делать, если большая выгрузка есть, а специалиста-аналитика со знанием SQL нет? Для решения этой задачи был создан ряд программных инструментов, которые в последние несколько лет

набирают всю большую популярность. В первую очередь стоит выделить инструменты MS Power Pivot и MS Power BI. Это так называемые инструменты BI, которые содержат интерфейс, знакомый все пользователям MS Office, однако внутри устроены совершенно по-другому. По сути, внутри этих инструментов импортируемые данные хранятся в некоем подобии БД, работа с которой осуществляется при помощи искусственного языка формул Data Analysis eXpressions (DAX). Данный язык похож на всем известные формулы в Excel, а в целом инструменты интуитивно понятны для людей, не знакомых с языками и средами программирования. Power Pivot позволяет работать с загруженными данными с помощью обычных «сводных таблиц» Excel, накладывая дополнительную аналитику, а Power BI развивает эту идею, представляя пользователю полноценную среду, в которой, например, можно настроить автоматический сбор данных из различных источников с дальнейшей их обработкой по заданным пользователям правилам.


ПРАКТИКА

Пример использования DAX в POWER PIVOT. Данная языковая конструкция является аналогом ВПР из Excel и добавляет в таблицу соответствующие значения из связанной по внешнему ключу другой таблицы:

35

Производительность обоих инструментов достаточна, чтобы соединение таблиц размером в миллионы строк по ключу выполнялось меньше минуты, хотя, конечно, по гибкости работы с исходными данными они уступают полноценному SQL. Инструменты от MS не являются уникальными, но, наверное, наиболее доступны по стоимости (Power Pivot вообще включен бесплатно в некоторые пакеты MS Office) и в плане легкости обучения и использования далекими от программирования сотрудниками. Из аналогичных инструментов можно выделить SAS EG и подобные, сразу содержащие в себе инструменты для визуализации обрабатываемых данных, однако они намного дальше ушли от классического MS Office, и обучение их эффективному использованию требует значительных усилий и накапливания опыта для людей, незнакомых со средами программирования.

Теперь рассмотрим ситуацию, когда ваша компания находится на достаточном уровне зрелости работы с данными и существует свое КХД, содержащее условно полную и корректную информацию. Условно, потому что, если планируется опираться на данные из этого хранилища, работу с ним рекомендуется в первую очередь начать с аудита самого хранилища как информационной системы.Итак, в компании есть свое КХД, а это означает, что в него попадают данные из значительного числа информационных систем компании и вполне вероятно даже существует дружественный пользовательский интерфейс, позволяющий конструировать запросы путем понятных пользователю манипуляций в окне приложения либо в сводной таблице MS Excel, которая подключается к КХД в реальном времени. Чаще всего такие хранилища строятся на базе высокопроизводительных БД, специально ориентированных на аналитические задачи, например, БД TeraData. А это означает, что запросы к таблицам на миллиарды строк будут выполняться за считанные минуты.В такой ситуации внутренние аудиторы уже практически не имеют ограничений в плане объемов данных в совокупности и сложности необходимой аналитики. Все упирается только в умение работать с данным КХД, а также в отсутствие в нем необходимых для конкретной задачи аудита данных. Вопрос отсутствия данных можно решить, реализовав интеграцию КХД с требуемой ИС, если это нужно на постоянной основе для мониторинга,

либо если задача разовая, загрузив в КХД вручную данные, полученные из других источников и предварительно обработанные. Для решения вопроса навыков, все чаще во внутреннем аудите в больших компаниях выделяется отдельная должность аналитика, обладающего умениями и опытом работы с данными, который понимает задачу, стоящую перед коллегами, и потому способен наиболее корректно реализовать ее в виде запроса в БД и корректно интерпретировать результат. В итоге всю основную работу по анализу таблиц в миллиарды строк можно выполнять внутри КХД, а в качестве результата получать небольшой список сущностей, соответствующих заданным критериям.

Если же ваша компания находится на третьем уровне зрелости работы с данными, тогда с высокой вероятностью данная статья вам малополезна, и вы уже сталкивались со всем, описанным выше. У вас сильное подразделение Big Data, которое постоянно придумывает все новые, зачастую кардинально новые, способы автоматизации существующих бизнес-процессов. Чтобы проводить аудит таких «измененных» с помощью Big Data процессов требуется особая квалификация со стороны внутренних аудиторов, зачастую с исследовательско-научным уклоном.

Если, например, предметом исследования является процесс «черный ящик», когда система, обученная при помощи какого-то из методов машинного обучения на основе исходных данных, выдает некоторый результат, никакие традиционный методы аудита не могут быть применены, так как фактически это не алгоритмическое решение. В каждой ситуации подход будет разным, где-то можно осуществить проверку корректности работы такого ящика путем генерации набора специально подобранных искусственных тестов, позволяющих эмулировать различные нетипичные случаи и проанализировать отклик. В каких-то ситуациях достаточным будет изучить используемый алгоритм машинного обучения и последовательности данных, на которых происходило обучение, чтобы понять список возможных проблем. А в некоторых случаях лучшим решением будет написать самостоятельное решение, «обучить» его и сравнить результаты.

Также с высокой вероятностью у вас уже внедрены и активно используются решения Process Mining, такие, например, как SAP Celonis, позволяющие


ПРАКТИКА

36

Пример автоматического построения дерева процесса с использованием инструмента SAP Celonis:

анализировать и визуализировать сложные и масштабные бизнес-процессы с целью поиска аномалий или выстраивания общей картины процесса с различными «исключительными» маршрутами.Вполне вероятно, что данные, получаемые в результате аналитики вы визуализируете с помощью специализированных инструментов, таких как соответствующие библиотеки к языкам программирования Pyton, R, JavaScript либо отдельные решения, такие как ClickHouse и Tableau.

Все описанное в статье – от проверки документов по выборке «вручную» до машинного обучения собственной модели – является в настоящее время работой и задачами аудитора, как внутреннего, так и внешнего. Существующие сертификации, такие как Certified Internal Auditor (CIA) и Certified Information System Auditor (CISA), стараются идти в ногу со временем и включают хотя бы обзорно все вышеуказанное в свои курсы и выносят соответствующие вопросы на экзамен. Но то, чем в первую очередь должен отличаться хороший аудитор, на взгляд автора, так это умением разумно подбирать инструмент соответственно стоящей перед ним задаче. Не всегда есть смысл загружать десять тысяч строк в базу данных или писать свой алгоритм кластеризации, если ответ на интересующий вопрос можно получить с помощью формул и фильтров Excel за 15 минут. И, пожалуй, всё-таки не стоит на основе ручного выборочного анализа 700 транзакций делать вывод экстраполяцией на совокупность в миллиард записей, когда есть возможность проанализировать ее целиком.∞


ПРАКТИКА


ПРАКТИКА

Четкий план и никакого

мошенничества

Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа Групп»

Чтобы выполнить большой и важный труд, необходимы две вещи: ясный план и ограниченное время.

Элберт Хаббард

Марина Округина, директор по операционным аудитам «Сегежа Групп»

Михаил Пятин, руководитель проектов по операционным аудитам «Сегежа Групп»

Годовое планирование, несомненно, является важным этапом в цикле деятельности подразделения внутреннего аудита. С одной стороны, план аудитов защищается на самом высоком уровне управления компании – совете директоров, – что само по себе подразумевает серьезную степень ответственности при его разработке. С другой – планирование несет существенную практическую ценность, поскольку качественно составленный план является залогом эффективности аудиторской функции.

Основная сложность планирования состоит в желании «объять необъятное», что невозможно в условиях ограниченности человеческих и временных ресурсов. Именно по этой причине риск-ориентированное планирование является давно принятой в профессии практикой. Этот подход подразумевает, что в компании существует зрелая система управления рисками. Как минимум, разработана карта (матрица) рисков с оценкой возможных потерь, которая на периодической основе актуализируется.

Однако на практике такие оценки могут носить формальный характер и не всегда соответствуют действительности. По этой причине разработанные менеджментом карты и матрицы рисков не должны являться единственным источником информации для годового планирования.

Источники для планирования

В «Сегежа Групп» мы выделяем 3 основных источника информации о рисках и деятельности компании, которые впоследствии становятся базой для наполнения вселенной аудита и формирования годового плана аудитов.

Во-первых, это реестр рисков, оценка которых обновляется менеджментом один раз в полгода. Реестр рисков полностью включается в состав вселенной аудита, однако дополняется наблюдениями и аудиторскими оценками, которые формируются в ходе проверок прошлых лет.

Во-вторых, это информация о принимаемых управленческих решениях. Она собирается непосредственно от менеджмента, главным образом за счет участия аудиторов во всех ключевых коллегиальных органах (естественно, без права голоса). Участие в заседаниях правления, инвестиционного, закупочного, проектного, бюджетного и других комитетов –залог своевременного получения информации о деятельности компании, принимаемых решениях и актуальных проблемах. Это помогает внутреннему аудиту держать руку на пульсе бизнеса.

Кроме того, решается и другая задача – поддержание репутации аудиторской функции и выстраивание коммуникаций с лицами, принимающими решения. В результате прямой и регулярной коммуникации удается транслировать менеджменту цель аудита, которая заключается в повышении качества управления организацией, а не в «надзорно-карательной» деятельности. И неоспоримым дополнительным плюсом является заинтересованность менеджмента в результатах проводимых проверок, доверие к выводам и мнению внутреннего аудита, а также готовность к сотрудничеству.

В-третьих, это доступ к ключевым базам данных. У внутреннего аудита «Сегежа Групп» такой доступ есть, что существенно облегчает планирование и проведение проверок. Практически вся необходимая для аудита информация доступна онлайн, нет необходимости направлять официальные письма и дожидаться получения запрошенных материалов и документов.

38

ПРАКТИКА


39

Доступ к источникам информации и эффективные коммуникации с менеджментом позволяют формировать годовой план аудитов на основе полной информации о компании, рисках и актуальных в текущий период времени задач и проблем бизнеса.

Ранжирование рисков и вселенная аудита

Баланс между ресурсными ограничениями и потенциальными областями аудитов достигается за счет ранжирования бизнес-процессов по степени их влияния на компанию, вероятности возникновения негативного события (риска) и актуальности проверки.

В «Сегежа групп» для определения ключевых тем, которые целесообразно включить в годовой план аудитов, используется вселенная аудита. Это документ с бизнес-процессами, ключевыми показателями и рисками компании, которые сведены в одну таблицу. Каждый процесс ранжируется по единой методике, ключевыми критериями в которой являются:• материальность бизнес-процесса, • присущие процессу риски и их существенность, • результаты оценки контрольной среды процесса, • произошедшие в процессе за прошедший год изменения в части его организации и контрольных процедур, • наличие и значимость выявленных внутренним аудитом недостатков в процессе за последний год.

Оценка выставляется по каждому из перечисленных критериев, имеющих свой вес, и затем суммируется. Чем выше итоговый балл, тем больше внимания этому процессу необходимо уделить внутреннему аудиту. В результате получается своеобразный рейтинг, «лидеров» которого в обязательном порядке необходимо проверять.

Важно отметить, что есть отдельные процессы и риски, которые включаются либо в годовой план аудитов, либо как обязательная часть плановых аудитов, хотя их материальность или итоговый балл невысокий. Например, охрана труда и промышленная безопасность. Также есть процессы, которым присущ повышенный риск нарушений или мошенничества, например, закупочная деятельность и продажи. Они также в обязательном порядке учитываются при формировании годового плана аудитов.

После ранжирования и определения ключевых тем, подлежащих аудиту, необходимо определить количество плановых проверок. Для этого можно использовать бенчмарк, который в среднем составляет 2 аудита на одного сотрудника функции в год. А можно сформировать ресурсный план внутреннего аудита, как мы делаем в «Сегежа Групп». Расчет простой, но позволяет обоснованно показать менеджменту и совету директоров, чем внутренний аудит занят в течении года, и почему в план включено конкретное количество аудитов.

Сколько плановых аудитов включить в план?

Логика расчета следующая. Определяем годовой фонд рабочего времени внутреннего аудита и постепенно вычитаем из него трудозатраты, несвязанные с плановыми аудитами. Прежде всего необходимо создать резерв времени на внеплановые проверки, повышение квалификации и профессиональное обучение сотрудников.

Резерв на внеплановые проверки у каждой компании свой и зависит, прежде всего, от заказчиков. В «Сегежа Групп» в 2019 году на один плановый аудит приходилось 10 внеплановых заданий. В большинстве случаев внеплановые проверки требуют меньше времени и ресурсов, однако для целей годового планирования мы закладываем 30% резерв времени на их проведение.

Непрерывное обучение и повышение квалификации – отдельная важная тема. Мы закладываем минимум 2 недели на обучение каждого сотрудника. Цифра взята на основании бенчмарка, заказанного нами у Международного Института внутренних аудиторов (IIA). Платная, но полезная информация: в отчете сравниваются показатели вашей функции с другими подразделениями по внутреннему аудиту и внутреннему контролю компаний, сопоставимых с вами по отрасли, размеру выручки, количеству персонала.

Поскольку в «Сегежа Групп» внутренний аудит также занимается частью функций внутреннего контроля и вопросами деловой этики, вычитаем время на такие работы, как мониторинг закупочной деятельности и инвестиционных проектов, проведение этической сертификации и проверку КПЭ топ-менеджмента, администрирование работы «Горячей линии» и проведение проверок по поступившим на нее сообщениям.


ПРАКТИКА

В итоге остается фонд времени, который можно распределить на плановые проверки. По своему опыту мы знаем, сколько требуется времени на планирование, проведение и выпуск отчета после аудита предприятия или отдельного вида длительности (бизнес-процесса) компании. Дальше ‒ простые вычисления. Все описанные расчеты приведены в таблице.

Предложенный подход позволяет определить ключевые темы, подлежащие аудиту, а также продуманно определять ресурсы для плановой и внеплановой работы. Например, по итогам 2019 года внутренний аудит «Сегежа Групп» провёл 5 комплексных плановых аудитов и более 50 внеплановых проверок со значимыми результатами для компании, что, согласитесь, достойный показатель для функции из 7 человек. ∞

40

ПРАКТИКА


№ Показатели Ед. изм Значение Расчет Значение

а Численность внутреннего аудита человек 7

б Рабочих дней в 2020 году дней 248

в Количество дней отпуска на сотрудника дней 28

г Общий фонд рабочего времени чел-дней - а × (б - в) 1 540

д Резерв на внеплановые проверки % 30% г × д 462

е Обучение сотрудников чел-дней 2 недели е × а × 5 70

ж Внутренний контроль и этика 363

Мониторинг закупочной деятельности чел-дней 248

Администрирование "Горячей линии" и

проведение расследованийчел-дней 50

Проведение этической сертификации чел-дней 30

Мониторинг крупных инвестиционных

проектов чел-дней 20

Проверка КПЭ топ-менеджмента чел-дней 15

зМониторинг выполнения рекомендаций

аудита, отчетность внутреннего аудитачел-дней 50

и Фонд времени на плановые проверки чел-дней - г-д-е-ж-з 596

к Трудозатраты на одну проверку 120

л Состав аудиторской команды человек 4

м Планирование проверки недель 2 м × л × 5 40

н Проведение проверки недель 3 н × л × 5 60

о Подготовка и согласование отчета недель 1 о × л × 5 20

шт. 5,0

1 сотрудник постоянно

1 день в неделю,

1 сотрудник

1 день в неделю,


Количество плановых проверок в год

1 неделя в квартал,


3 недели, 2 сотрудника

3 недели, 1 сотрудник


ПРАКТИКА

Станислав Люнченко, ведущий внутренний аудитор, Группа ЧТПЗ

Применениестатистических методов

для анализа случаев сбоя в работе систем

спутникового контроля автотранспорта

Системы спутникового контроля автотранспорта пользуются сегодня большой популярностью на предприятиях c собственным автопарком как источник данных для контроля эффективности логистической функции и системы антифрод. При очевидных преимуществах таких систем, все они обладают существенным недостатком: их работу можно нарушить, различными способами воздействуя на установленные датчики. Информация обо всех случаях сбоя работы системы, как правило, доступна владельцу автотранспорта, но редко кто уделяет ей должное внимание ввиду отсутствия инструментария аналитики больших массивов данных.

В данной статье рассматривается пример анализа случаев сбоя работы системы спутникового контроля на предмет наличия признаков намеренного вмешательства в работу датчиков. В основе расчетов – методика кластерного анализа, которая позволяет выявить общие закономерности в данных любого типа.

Введение

Системы спутникового контроля автотранспорта широко используются владельцами автопарков любых отраслей для управления эффективностью логистики. Эти системы, с одной стороны позволяют организовать контроль работы транспорта, включая маршруты перемещения, скоростной режим, расход топлива. С другой стороны, имеют существенный недостаток: в потоке данных, которые генерируют системы, часто встречаются периоды потери связи и сбоя в работе датчиков, в течение которых информация о транспортном средстве отсутствует. В связи с тем, что работу датчиков легко нарушить путем физического воздействия, актуальным становится вопрос: отсутствие данных – это сигнал мошенничества или просто сбой системы?

Все поставщики систем спутникового контроля могут предоставить полную информацию о работе до и после разрыва, но интерпретация этих данных всегда остается за владельцем транспорта, который на практике редко уделяет этому должное внимание из-за отсутствия инструментария аналитики больших массивов данных.

В ломозаготовительном дивизионе группы ЧТПЗ большой парк собственного автотранспорта. Система спутникового контроля позволяет отслеживать перемещения и действия водителей за пределами территорий заготовительных участков. Но разрывы в данных системы всегда оставались белыми пятнами в данном процессе и не позволяли сделать заключение о его полном контроле. В связи с этим, перед СВА встала задача разработать методологию анализа случаев сбоя в работе системы спутникового контроля, в том числе выделения случаев с признаками умышленного вмешательства в работу датчиков.

42

ПРАКТИКА


43

Основное

О большой вероятности умышленного вмешательства в работу датчиков системы может говорить наличие одного или комбинации следующих признаков: • регулярные сбои в одной географической точке, • остановки в момент разрыва, • длительность разрыва достаточная для нецелевого использования транспорта (около 1 часа),• существенное изменение уровня топлива за время разрыва, • стабильный сигнал от спутников до и после разрыва. Все расчеты производились с помощью языка Python c использованием библиотек pandas и sklearn. Визуализация и анализ результатов расчета выполнялись в системе BI Tableau Desktop. В ходе работы была исключена большая часть случаев сбоя по причинам нестабильной работы датчиков и сформирован список случаев сбоя системы для детального расследования причин.

1. Объединение близко расположенных географических точек в единые локации

Одна из гипотез, которую было необходимо проверить, – есть ли зависимость сбоев в работе системы с географическим расположением транспортного средства. Если на одной и той же

машине в одном и том же месте на карте регулярно ломается датчик системы спутникового контроля, это можно рассматривать как сигнал мошенничества.

Задачу усложняет тот факт, что географические координаты редко имеют точные совпадения. Для анализа их нужно сгруппировать по близости друг к другу в единые локации. Для группировки точек был использован алгоритм кластеризации DBSCAN. В отличие от многих других, для него не требуется изначального знания количества кластеров, и группировка выполняется по плотности распределения, что очень подходит для группировки географических координат. Также алгоритм позволяет выделить единичные выбросы, которые не принадлежат ни к одной из групп. В качестве метрики расстояния взят "haversine" –расстояние между географическими точками. Критерием близости принято 200 метров, минимальное количество точек в группе – 3.

Алгоритм DBSCAN выявил в исходных данных 323 группы точек. Для сравнения проведена кластеризация с помощью алгоритма К-средних –KMeans. На рисунке 1 на примере одного города визуально можно отметить существенную разницу между результатами работы алгоритмов. Алгоритм DBSCAN заметно лучше выделил группы точек высокой плотности и позволил исключить единичные случаи.


ПРАКТИКА

Рисунок 1. Визуальное сравнение алгоритмов кластеризации DBSCAN и KMeans для группировки географических координат

44

2. Выявление систематических случаев разрыва в одной локации.

После группировки близко расположенных точек, стало возможным выявление подозрительных групп: когда часто разрывы происходят в одной локации. Из рассмотрения были исключены известные точки стоянки и ремонта автотранспорта, где сбой в работе системе обоснован. Из оставшихся локаций с помощью диаграммы box plot выделены выбросы по количеству случаев. Пример анализа для одного из городов представлен на рисунке 2. Детальное изучение выбросов показало, что в отдельных точках все сбои произошли в сменах одних и тех же водителей, что стало поводом для проверок по линии безопасности.

3. Анализ особенностей движения ТС в момент разрыва

Исходные данные для анализа включали более 4,5 тысяч случаев сбоя в работе системы. Было понимание, что большая часть из них не связана с вмешательством в работу, необходимо было по каким-то признакам их отсеять.

Снова на помощь пришли алгоритмы кластеризации, но теперь на вход задавались не географические координаты, а значения следующих признаков:• скорость транспортного средства (за 1 час до и после разрыва, непосредственно в момент разрыва и после восстановления работы датчиков),• пройденное расстояние (за 1 час до и после разрыва, от точки разрыва до точки восстановления),• количество спутников, передающих сигнал непосредственно в момент разрыва и после восстановления работы,• изменение уровня топлива за период разрыва.


ПРАКТИКА

Рисунок 2. Анализ выбросов по количеству случаев сбоев в группах точек

45

В результате кластеризации выделены следующие группы случаев сбоя работы системы спутникового контроля:

1. Длительные по времени разрывы без движения транспортного средства (устаревшие виды датчиков – не работают при выключении двигателя).2. Разрывы на скорости из-за потери связи со спутниками (редкие случаи).3. Разрывы во время стоянки из-за потери связи со спутниками.4. Короткие по времени разрывы с отсутствием движения и хорошим сигналом от спутников (многочисленная группа, предположительно, связано с краткосрочным ремонтом).5. Целевая группа: длительность разрывов в среднем 1 час; остановка транспортного средства в период разрыва при движении до и после; в период разрыва смещение в среднем на 200 метров и существенный расход топлива.

Последняя группа (№5), с точки зрения выявления

нецелевого использования транспорта, представляет наибольший интерес. Список этих случаев был направлен в службу безопасности дивизиона для дальнейшего детального расследования. Также была передана методология проведения подобного рода анализа. В дальнейшем внедрение регулярной процедуры анализа данных спутникового контроля позволит повысить надежность антифрод-системы и достигать эффективности в процессе транспортной логистики за счет целевого использования активов.

Заключение

Применение алгоритмов кластеризации имеет большой потенциал для антифрод-анализа. В данной области, на начальном этапе, сложно получить точные индикаторы, по которым можно выявить случаи нарушений. Однако, методология кластерного анализа универсальна и позволяет подсказать аналитику закономерности, которые имеются в данных любого типа. ∞


ПРАКТИКА

Признак Номер выделенного кластера

1 2 3 4 5

Количество случаев 455 17 1 289 2 265 642

Время разрыва, час 18.3 3.3 1.1 1.0 1.1

Расстояние за час до 3.1 12.8 1.6 4.8 47.9

Расстояние за час после 4.2 18.5 2.0 5.5 44.5

Расстояние за время разрыва 0.0 49.4 0.1 0.1 0.2

Скорость +1час 5.7 22.8 3.0 11.3 54.6

Скорость -1час 4.7 8.9 2.9 11.1 66.7

Изменение топлива -0.4 -5.9 -0.6 -1.1 -7.7

Количество спутников 15.7 10.0 7.2 18.2 17.3

Скорость в момент разрыва 0.0 36.4 0.8 0.9 4.2

Таблица 1. Результаты кластеризации случаев сбоя работы системы спутникового контроля

Предварительно, для каждого признака были построены диаграммы распределения для анализа выбросов. Так, например, было выявлено, что один из типов используемых терминалов не передает информацию о количестве спутников. Эти данные были исключены из анализа.

По полученным данным проведена кластеризация с использованием алгоритма К-средних. Количество выделяемых кластеров было определено опытным путем: анализировались средние значения всех признаков по каждому дополнительно выделяемому кластеру. В итоге было выделено 5 кластеров, дальнейшее дробление не приводило к появлению групп интересных с точки зрения цели анализа. Средние значения признаков для итогового варианта кластеризации приведены в таблице 1.


ПРАКТИКА

Внутренний аудитор на страже средств акционера:

аудит действий топ-менеджментаЕкатерина Лобова, менеджер по внутреннему контролю и аудиту, группа внутреннего контроля и аудита Корпоративного центра, Филиал ПАО «МТС» в Нижегородской области

В начале октября 2019 года был арестован топ-менеджер одной из крупнейших российских корпораций по подозрению в мошенничестве. По версии следствия, он заключал контракты на оказание юридических услуг со сторонними компаниями, хотя работы по контрактам выполняли штатные юристы корпорации. Ущерб от махинаций составил не менее 250 млн руб.Чуть ранее, летом этого года, был арестован топ-менеджер еще одной крупной российской компании. По версии следственного комитета, он вывел за рубеж более 4 млрд. руб. по подложным документам, в результате продажи акций дочерней компании по многократно завышенной цене.

47

В октябре 2019 года трое руководителей другой крупной российской компании были отданы под суд за дачу взяток на общую сумму более 1 млн. руб. для сокрытия нарушений при проведении ремонтных работ.

Подобные примеры показывают, как успешные организации могут понести быстрый и значительный репутационный ущерб, когда ошибки их лидеров становятся достоянием общественности.

Сегодня многие продолжают думать, что внутренний аудит должен ограничиться гарантиями в управлении рисками и в отношении внутреннего контроля. Тем не менее, согласно Международным основам профессиональной практики внутреннего аудита, по определению, внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

К сожалению, слишком часто внутренний аудит является запоздалой оценкой эффективности корпоративного управления. Несмотря на требования Стандарта IIA 2110, гласящего, что деятельность внутреннего аудита дает оценку и рекомендации по совершенствованию процессов корпоративного управления в ряде областей, порой советы директоров и высшее руководство не допускают внутренний аудит до таких областей, которые они считают исключительно своей епархией в корпоративном управлении.

Президент IIA Ричард Чемберс в своих статьях «Когда руководители выходят из-под контроля – слишком поздно указывать пальцем»* и «В зале заседаний совета директоров слишком много вежливости?»**, опубликованных в сентябре и ноябре 2018 г., раскрывает основную причину последних громких корпоративных скандалов: неэффективный надзор со стороны совета директоров. Слишком многие советы директоров неохотно задают вопросы руководству. Слишком часто советы директоров говорят: «Мы наняли отличного генерального директора. Отойдем в сторону и позволим ему делать свою работу». Надзор за управлением в рамках организации – это работа совета директоров, но совет – не единственный, кто ответственен за качественное корпоративное управление. Один из имеющихся в его распоряжении инструментов – хорошо обеспеченная ресурсами независимая функция внутреннего аудита.

Модель корпоративного управления IIA предусматривает синергетическое взаимодействие четырех ключевых компонентов: совет директоров, высшее руководство, внешний аудит и внутренний аудит. Это взаимодействие схематично выглядит следующим образом:

……............................* https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/kogda-rukovoditeli-vykhodyat-iz-pod-kontrolya-slish/** https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/v-zale-zasedaniy-soveta-direktorov-slishkom-mnogo-/


ПРАКТИКА

https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/kogda-rukovoditeli-vykhodyat-iz-pod-kontrolya-slish/

https://iia-ru.ru/inner_auditor/publications/articles/foreign_mass_media_articles/v-zale-zasedaniy-soveta-direktorov-slishkom-mnogo-/

48

Согласно Стандарту IIA 2110, процессы корпоративного управления улучшаются, если все четыре группы эффективно и продуктивно работают в одной связке. В дополнение к указанным основополагающим принципам, все компании должны добиваться нетерпимого отношения к неприемлемому и неэтическому поведению. По-настоящему успешные компании – это компании, поощряющие культуру профессиональной честности и добросовестности, которая, в свою очередь, зависит от того, какой тон задается в компании наверху, т.е. от главенствующего настроя. А он как раз и устанавливается советом директоров, высшим руководством и комитетом по аудиту.

Вот почему проведение таких аудитов, как аудит действий высшего исполнительного руководства, или топ-менеджмента, в наши дни очень актуально.

Что проверяем?

Когда требуется провести аудит действий какого-либо руководителя, необходимо максимально четко сформулировать стоящую перед внутренним аудитором задачу. Какие действия руководителя представляются рисковыми? Какие вопросы следует проанализировать – вопросы этики и делового общения, взаимоотношений с подрядными организациями, с контрагентами, с государственными должностными лицами? Незаконное использование имущества компании в своих личных интересах? Намеренное искажение управленческой или финансовой отчетности? Заведомое занижение/ завышение планов для последующего манипулирования фактом исполнения этих планов. Эффективность доверенных топ-менеджеру проектов. Эффективность или неэффективность управления филиалом/ регионом/ кластером/ функциональным направлением. Все эти вопросы могут стать

первоочередными при проведении аудитов действий топ-менеджера.

Порой случается, что у совета директоров есть сомнения в добросовестности кого-то из топ-менеджеров. В случае, когда проверяемая область четко не сформулирована (хотя внутренний аудитор должен приложить все усилия, чтобы получить от заказчика максимально четкую формулировку предмета аудита), целесообразно проверить те направления, которые представляются наиболее рисковыми в контексте рассматриваемой проблемы. Например, если проводится аудит действий директора по закупкам, необходимо проанализировать в первую очередь те закупки, лимит которых таков, что конечное решение по выбору победителя лежит именно в зоне его ответственности.

Средства и методы аудита

Говоря об аудите действий топ-менеджера как таковом, необходимо понимать, что это довольно специфичный аудит, как в отношении объекта аудита, так и в отношении используемых методов проверки. Даже перед проведением такого аудита уже появляются свои нюансы. При информировании менеджмента о проведении такой проверки следует подумать над ее названием. Лучше назвать такой аудит как-то нейтрально: «аудит ФХД региона» или, например, «аудит процесса закупок». Во всех официальных уведомлениях лучше избежать «громких слов», но при этом следует помнить о цели проведения такого аудита и составить соответствующую программу проверки.

После проведения аудита действий топ-менеджмента необходимо получить пояснения проверяемого по каждому выявленному недостатку. Лучше всего сделать это через заказчика проверки, т.е. предоставить ему предварительные результаты для анализа и рассмотрения, с тем, чтобы заказчик запросил соответствующие комментарии у топ-менеджера.

Какие же средства и методы обычно применяют при проведении аудита действий топ-менеджера?

1. Опрос (интервью) сотрудников. Методы и средства, используемые аудиторами для сбора данных, могут быть самыми различными. Это могут быть вопросники, контрольные чек-листы, анкетирование, опросы сотрудников. В случае


ПРАКТИКА

49

проведения аудита этических действий топ-менеджмента наилучшим средством сбора информации будут интервью с его подчиненными и анонимное анкетирование, т.к. эти два способа сбора информации помогают наилучшим образом расположить к себе собеседника (интервью) и дать возможность отвечать честно и открыто, не боясь быть разоблаченным (анонимные анкеты для сотрудников). Проведение грамотного интервью –это тоже искусство, которому нужно учиться. Здесь очень важны умение слушать, понимание психологии собеседника, а также грамотное составление вопросов.

2. Аналитическое наблюдение. В случае с аудитом топ-менеджмента наблюдение подразумевает не столько визуальный контроль за происходящим, сколько удаленное наблюдение: внедрение специального ПО в рабочий компьютер, анализ служебной почты, детализация звонков служебного телефона, изучение соц.сетей. Этот раздел работы не может быть проведен без помощи коллег из службы безопасности.

3. Документальный анализ и обобщение информации. Значительную долю работы аудитора в ходе проведения проверок топ-менеджмента составляет анализ документов. В зависимости от специфики проверяемых вопросов используются разные типы документов – электронные, бумажные, электронная переписка, выгрузки из учетных систем и т.п. Обобщение информации необходимо проводить своевременно и в контексте проверяемых вопросов.

4. Документирование информации. Все аудиторские процедуры должны своевременно документироваться, однако при проведении аудита топ-менеджмента необходимо соблюдать это правило во 100 крат тщательнее. При обсуждении с проверяемым результатов проверки необходимо быть уверенным в том, что на любой сделанный вывод собраны все весомые доказательства и должным образом задокументированы. Любая промашка в документировании может негативно отразиться на мнении заказчика о результатах проверки и на компетентности проверяющих.

5. Отчетность (изложение выводов высшему руководству и/или собственникам). Основное требование к аудиторскому отчету в данному случае – краткость и полная компетентность сделанных выводов. Подробнее на требованиях к аудиторскому отчету мы остановимся ниже.

Мошенничество со стороны руководителей организации и «красные флаги» (признаки мошенничества)

Один из главных вопросов для внутреннего аудита в отношении мошенничества – это осознание своей роли в предотвращении, выявлении и преследовании мошеннических действий. Согласно требованиям Стандарта IIA 1210.А2, внутренние аудиторы должны обладать достаточными знаниями, чтобы оценить риск мошенничества и то, каким образом организация управляет этим риском. В то же время не предполагается, что внутренние аудиторы обладают компетенцией специалистов, чья основная функция заключается в выявлении и расследовании фактов мошенничества.

Это означает, что сами внутренние аудиторы не несут ответственности за предотвращение мошенничества, однако они должны уметь распознать признаки и ситуации, указывающие на возможность совершения мошеннических действий.

Мошенничество заключает в себе целый набор действий, которые можно охарактеризовать одной фразой: преднамеренный обман. Обычно требуется наличие трех условий, чтобы человек мог совершить мошенничество:• мотив;• возможность;• умение найти оправдание своим действиям.

Мошенничество со стороны руководителей организации является серьезной формой злоупотребления, т.к. совершается лицом, обладающим властью в организации. Перечислим некоторые основные причины злоупотреблений со стороны топ-менеджеров:

• топ-менеджер принял ошибочное управленческое решение, после чего он уже не может исправить проблему, действуя законным путем;• некомпетентные руководители могут идти на подлог, чтобы сохранить за собой должность;• результаты деятельности могут искажаться ради возможности поучения бОльших бонусов;• некоторых топ-менеджеров может толкать на обман стремление добиться успеха;• наличие у руководителей конфликта интересов;• стремление получить дополнительные рыночные преимущества.


ПРАКТИКА

50

Мошенничество со стороны руководителей организации может совершаться как во благо организации, так и во вред.

Примеры мошенничества, совершенные во благо организации:

• продажа или передача прав на получение фиктивных активов, либо активов, о которых была представлена ложная информация;• незаконные выплаты или пожертвования на политические цели, взятки, откаты, а также выплаты гос.служащим либо посредникам гос.служащих, заказчиков или поставщиков, с целью побуждения их к принятию решения, выгодного компании;• намеренное некорректное представление или оценка транзакций, активов, обязательств и доходов;• намеренное проведение неравноправных операций со связанными сторонами (сделок с заинтересованностью);• сознательное сокрытие или нераскрытие важной информации, которая при раскрытии ухудшила бы финансовое положение компании для внешних пользователей;• запрещенные виды бизнеса или запрещенные сделки, в нарушение требований государственных регуляторов или условий контрактов;• налоговое мошенничество.

Примеры мошенничества во вред организации:

• получение взяток и откатов с целью принятия решения во вред компании;• передача стороннему лицу потенциально прибыльной операции, осуществление которой самой организацией привело бы к получению компанией прибыли;• растрата, незаконное присвоение денежных средств или имущества, фальсификация финансовых документов для сокрытия ранее совершенного действия;• преднамеренное сокрытие или искаженное представление событий или данных;• подписание документов о приемке и оплате товаров или услуг, которые в действительности не были проданы или оказаны организации.

Ниже приведены так называемые «красные флаги», или признаки возможного мошенничества: • стиль жизни, несопоставимый с доходами; • жалобы на работу коллегам (слишком много обязанностей, много командировок, долго не повышали зарплату и т.п.); • необычно тесные связи или дружба с поставщиками/ подрядчиками/ контрагентами;• значительные личные финансовые потери; • зависимость от алкоголя, наркотиков, азартных игр, сильная тяга к противоположному полу;• значительные изменения в личной жизни; • появление деловых интересов вне компании; • редкие отпуска и больничные или их полное отсутствие; • явная раздражительность и даже агрессия по отношению к аудиторам.

Состав участников аудита

Кроме сотрудников службы внутреннего аудита, в составе комиссии по аудиту могут быть представители следующих подразделений:

• Служба безопасности. Расследование случаев мошенничества требует получения такой информации, которую в силу ограниченности ресурсов служба внутреннего аудита получить не может. Примеры информации, которую можно получить зачастую только с помощью службы безопасности:• не привлекался ли руководитель к уголовной ответственности за правонарушения, связанные с финансовой или иной деятельностью на предыдущих местах работы;• не был ли руководитель уволен с прежних мест работы по причинам, связанным с финансовыми и иными нарушениями, которые официально не получили огласки;• не было ли в числе мест прежней работы организаций, которые практикуют «теневые» схемы бизнеса.Кроме того, коллеги из службы безопасности могут помочь определить геолокацию по звонкам с мобильного телефона, выгрузить информацию по входам и выходам с/ на территорию офиса/предприятия, провести перекрестные допросы сотрудников и при необходимости применить полиграф.


ПРАКТИКА

51

• Служба комплаенс. Compliance в переводе с английского обозначает соблюдение, согласие, покладистость. Применительно к бизнесу термин «комплаенс» – это способность действовать в соответствии с порядком и законом. Иными словами, это комплекс мер по формированию ответственного поведения компании и ее сотрудников. Платой за отсутствие системы комплаенс-контроля являются высокие штрафные санкции регулирующих органов, особенно связанные с соблюдением антикоррупционного законодательства. Поэтому, фактически, в крупных компаниях, акции которых котируются на международных биржах, наиболее актуальна служба антикоррупционного комплаенс. В ней работают высококвалифицированные специалисты, проводящие обучающую, разъяснительную и консультационную работу, направленную на предотвращение нарушений антикоррупционного законодательства (как российского, так и, например, американского). Поэтому помощь таких экспертов в аудите действий, проводимых топ-менеджером, очень важна.

• HR и юристы. Все подобные аудиты должны проводиться с большой осторожностью и с полным пониманием правовых последствий для компании. Сотрудники этих подразделений помогут быстро и квалифицированно предоставить любую информацию, касающуюся кадрового администрирования (суммы начислений и выплат по зарплате, информация по отпускам, больничным, даты карьерных перемещений в компании и т.д.) и правового сопровождения тех или иных сделок, выводов, последствий принятия решений и реализации рекомендаций. Необходимо лишь, чтобы в отношении этих сотрудников был соблюден принцип независимости.

• Прочие сотрудники компании – независимые эксперты в проверяемых вопросах. Порой в ходе аудита необходима консультация узкого эксперта в каком-либо вопросе (например, техника, строительство, ИТ и пр.). Здесь также необходимо помнить о принципе независимости, в случае сомнений всегда можно обратиться к услугам приглашенных специалистов со стороны. Следует лишь помнить, что их услуги не бесплатны и придется проводить закупочную процедуру, т.е. поиск специалиста займет определенной время. К тому же, эксперт со стороны может не сразу вникнуть в специфику работы конкретного предприятия.

Обобщение результатов аудита. Выводы и рекомендации.

Обобщать результаты аудита предпочтительнее сотрудникам службы внутреннего аудита, т.к. все вышеперечисленные специалисты являются экспертами в своих, узко специализированных областях. Но умение четко, кратко и грамотно изложить в заключении все выводы и рекомендации – это, бесспорно, сфера высокой экспертизы внутреннего аудитора.Кратко напомним основные требования к аудиторскому отчету/ заключению и интерпретируем их применительно к аудиту действий топ-менеджера:

• Краткость и четкость всех формулировок. Необходимо помнить, что это заключение будет читать высшее руководство, совет директоров и комитет по аудиту. У них нет времени и желания читать витиеватые и сложные тексты. Поэтому все написанное в заключении должно быть максимально кратко и четко изложено.

• Структурированность изложения. Рекомендованная Стандартом IIA 2410 структура аудиторского заключения:- общая информация- цели проведения аудита- объем и содержание проверки (указываются проверенные вопросы, объем и наименование проанализированной информации, может быть указана дополнительная информация, например, деятельность в смежных областях, не подвергшихся проверке, чтобы очертить область проверки)- описание результатов (наблюдения, выводы, рекомендации).

• Доказанность всех выводов. Это, казалось бы, неотъемлемое требование, приобретает огромное значение применительно к аудиту топ-менеджмента. Любая ошибка или неточность может крайне негативно отразиться на общем мнении об аудиторском отчете и вообще на доверии высшего руководства и совета к аудитору. Не говоря уже о том, что при получении комментариев проверяемого все ошибки и неточности будут преподнесены проверяемым как некомпетентность внутренних аудиторов или желание представить ситуацию искаженным образом. Запрашивать комментарии у топ-менеджера необходимо в силу следующих факторов:


ПРАКТИКА

52

- требование российского законодательства (в соответствии со ст.193 ТК РФ работодатель обязан затребовать у работника письменное объяснение по выявленным нарушениям);- аудиторам и руководству необходимо выяснить мотивы совершения топ-менеджером тех или иных проступков.

• Уместность всех рекомендаций. По сути, все рекомендации по результатам такого аудита можно разделить на 2 основные группы: - рекомендации по совершенствованию системы внутреннего контроля с целью недопущения выявленных недостатков;- рекомендации по вынесению дисциплинарных взысканий, вплоть до увольнения.

• Последующий мониторинг выполнения рекомендаций со стороны аудитора. Не стоит забывать о том, что мониторинг выполнения рекомендаций является неотъемлемым фактором работы службы внутреннего аудита. Как и по результатам любого аудита, составляется план устранения выявленных недостатков и отслеживается исполнение всех согласованных с руководством рекомендаций.

Итак, подытожим: что же все-такиотличает аудит действий топ-менеджмента от обычного аудита?

1. Цель. Совет директоров должен четко сформулировать проблему и предмет проверки. Если этого не делается, то служба внутреннего аудита должна приложить все усилия, чтобы была четко озвучена цель проведения аудита. Если аудит проводится по анонимной жалобе, то в ней обычно уже излагаются конкретные факты или выводы, которые аудитору потом следует проверить. Напомним, что в соответствии с требованиями Стандарта IIA 2110 высшее руководство должно обеспечить процесс по рассмотрению жалоб, поступающих в случае возможных нарушений Кодекса делового поведения и этики. По результатам проверки должны быть применены и соответствующие меры взыскания. Поэтому зачастую аудит действий топ-менеджмента проводится по поступившей анонимной жалобе.

2. Специфичность проверяемых вопросов, средства и методы проведения аудита и расширенный состав участников.

Поскольку при проведении аудита используются специфические методы, больше характерные для служебного расследования, то и участники привлекаются из смежных специфических подразделений.

3. Срок. При проведении аудита действий топ-менеджера часто ставятся очень сжатые сроки. В ходе проведения аудита может оказаться, что для качественного проведения проверки необходимо продлить срок. Это обязательно нужно сделать, поскольку качество аудита здесь должно быть на самом высоком уровне. Малейшая неточность или ошибка – и вся работа внутреннего аудитора может завершиться фиаско.

4. Реакция проверяемых на аудит. Как ведет себя топ-менеджер в рамках такого рода аудита? Обычно есть два вида настроя: крайне негативный и, наоборот, лояльный. Если реакция на проверяемых крайне негативная – это «красный флаг». Такая реакция – это защитная форма поведения, чтобы отпугнуть аудиторов и не дать им досконально разобраться в ситуации. Но поскольку подавляющее большинство топ-менеджеров – люди, безусловно, умные и образованные, хорошо владеющие собой и знающие психологию, они в большинстве своем не будут демонстрировать открытый негатив. Часто топ-менеджерами проводятся предварительные беседы с сотрудниками, их готовят к тому, как и что надо отвечать аудиторам, какую информацию давать и т.д. К этому необходимо быть готовыми и грамотно проводить как интервьюирование, так и документальный анализ.

И в завершение хочется сказать еще одно. Проверить топ-менеджера службу внутреннего аудита просят лишь в тех компаниях, где по-настоящему высока степень ее независимости и статуса. Кроме того, степень доверия к профессионализму и полезности службы внутреннего аудита тоже должна быть очень высокой. Такого рода задания даются только высококвалифицированным внутренним аудиторам, в которых совет директоров и комитет по аудиту искренне видят некого «третейского судью».

Хочется надеяться, что по-настоящему независимые и полномасштабные аудиты действий топ-менеджмента позволят российским компаниям выйти на новый, мировой уровень корпоративного управления, избежать ошибок и стать процветающими и успешными. ∞


ПРАКТИКА


ПРАКТИКА

Развитие сотрудников

в условиях экономии бюджета

Александр Московкин, директор по внутреннему контролю и аудиту

54

В задачи любого руководителя, в т.ч. и руководителя функции внутреннего аудита, входит развитие своих сотрудников. А с учетом возникающего в компаниях вопроса экономии расходов, приходится задумываться о способах развития сотрудников в условиях экономии бюджета.

Развитие сотрудников может касаться как усиления имеющихся компетенций, так и получения новых знаний. Руководитель функции внутреннего аудита должен знать уровень компетенций своих сотрудников, понимать, в какую сторону он будет развивать команду, выполнение каких задач ожидается от его функции в перспективе 3-5 лет. С учетом этого можно выстраивать карты развития каждого сотрудника, получая в итоге тот набор компетенций и уровень знаний у сотрудников, который необходим для решения задач, стоящих перед службой конкретной компании с учетом специфики бизнеса и отрасли. И в условиях экономии бюджета можно рассмотреть следующие инструменты развития:

1. Круглые столы. Периодичность и размер круглых столов зависит от численности и территориальной распределенности сотрудников службы. Этот формат встреч может быть построен на презентациях достижений отдельных сотрудников или подразделений, в которых разбираются примененные новации в работе, новые методы и инструменты. Благодаря таким встречам повышается общий профессионализм службы.

2. Мини-тренинги. Такой формат развивающего мероприятия может проходить как в рамках круглых столов, так и сам по себе. На мини-тренингах сотрудники с экспертным уровнем знаний, эксперты, приглашенные со стороны, или эксперты из функциональных подразделений компании делятся своими знаниями и опытом. Например, в организации, имеющей развитое число дочерних компаний со своими подразделениями внутреннего аудита, проводятся регулярные встречи для обмена опытом, а докладчиками выступают сами сотрудники служб. У некоторых из них выступление на таком мероприятия включено в план готового развития. В то же время, в одной из ДЗК проводятся собственные мини-круглые столы с целью выработки единого подхода к деятельности внутренних аудиторов этой ДЗК. Возможно, такой формат напоминает встречи Института внутренних аудиторов (которые мы также рассмотрим). Однако у подобных мероприятий, организованных внутри компании, основное преимущество в том, что их темы более релевантны задачам, стоящим перед службой внутреннего аудита конкретного предприятия, а выступающие знакомы со спецификой работы компании.

3. Предварительные тренинги по теме проекта. Одним способом повышения качества проектов аудита являются тренинги по теме проектов перед их началом и ознакомительные экскурсии по объектам в ходе командировок на объекты. Работа внутреннего аудитора, который видел процессы «вживую», будет более эффективна, и уже на интервью он будет хорошо представлять то, о чем ему рассказывают.Предварительный же тренинг позволит руководителю проекта удостовериться, что вся команда проекта обладает минимально необходимым уровнем знаний и понимает свои задачи.


ПРАКТИКА

55

Естественно, тренинги нужны, в первую очередь, на новых, ранее не выполнявшихся проектах, или в процессах, которые ранее не попадали в фокус внутренних аудиторов. Другой случай, когда необходим такой тренинг, – малый стаж работы внутренних аудиторов в компании либо привлечение в команду сотрудников, чей бэкграунд не в полной мере соответствует теме проектов.

4. Чтение литературы. Классический способ развития – это изучение литературы как в рамках профессии, так и в рамках получения дополнительных знаний по отдельным функциональным отраслям. Некоторые компании практикуют регулярные встречи подразделений с целью обсуждения почитанной литературы и распределения заданий сотрудникам по чтению конкретных книг. Таким образом, повышается общий уровень развития подразделения. Однако, у данного и, казалось бы, наипростейшего инструмента развития есть важный нюанс, который напрямую влияет на его эффективность, – это разумность. Если не оставаться в рамках разумного, то чтение литературы из инструмента повышения уровня профессионализма превратится в рутину, отнимающую время и вызывающую негативные эмоции сотрудников. Свести усилия на «нет» могут такие действия как: (1) организация мероприятий «для галочки» (чтобы соблюсти прописанный график, план и проч.) и, как следствие, ставка на количество, а не на качество мероприятий, в том числе за счет неверного планирования необходимого времени;(2) подбор/ выбор литературы, который не соответствует задачам. Иногда выбор литературы для изучения диктуется только руководителем, а его представление о нужности может отличаться (не в лучшую сторону) от того, что реально актуально для команды в целом. Например, известен случай, когда в одной компании требовалось не только чтение книг на тему выхода из зоны комфорта, но и обязательное применение на себе рекомендаций (с последующим отчетом). Автор же книги предлагал следующее: часовые занятия бегом в 5 утра в течение недели, обливание ледяной водой, знакомство с n-ным количеством людей на улице за день и т.п. Конечно, подобный опыт вызвал крайние негативную реакцию у персонала, которая повредила климату в коллективе, поскольку высказать напрямую претензии руководителю никто не решился.

В качестве совета из практики можно предложить использовать литературу на иностранных языках (особенно если в команде есть сотрудники достаточно владеющие иностранным языком). Это особенно актуально именно во внутреннем аудите, поскольку русскоязычная профессиональная литература практически отсутствует.

5. Членство в Институте внутренних аудиторов и волонтерская деятельность в Институте. Будем откровенны: основной объем полезной информации на сайте ИВА находится в области «Личный кабинет», т.е. разделе для членов ИВА. И продление членства, в том числе для получения доступа к ЛК, –не самые разорительные расходы. Кроме того, встречи ИВА тоже могут быть полезны в части получения конкретно интересующей информации.Еще один способ развития – написание статей и материалов. Как минимум, это позволит лучше структурировать знания и глубже окунуться в предмет, а также усилить навыки презентации и письменной речи.

6. Внешнее обучение. В условиях экономии бюджета нет смысла направлять всех сотрудников на одни и те же обучающие мероприятия. Гораздо полезнее будет организовать доклад прошедшего обучение сотрудника для других членов команды в рамках регулярной встречи коллектива. К тому же, такой сотрудник сможет презентовать информацию, полезную и актуальную для подразделения. Например, если работник коммерческой компании посетил широкоформатное обучающее мероприятие по теме бюджетирования, вряд ли он будет рассказывать коллегам о требованиях к бюджетированию гос. организаций.

Реалии настоящего времени таковы, что внутренние аудиторы обязаны вкладывать силы и время в свое развитие. Каждая служба внутреннего аудита сама решает, какие инструменты актуальны именно для нее в зависимости от задач, возможностей, структуры и ее численности. А для руководителя по внутреннему аудиту важно заинтересовать своих сотрудников развивающими мероприятиями, правильно планировать активности, выделять для них достаточное количество времени в нужный период и не давить слишком сильно на коллектив, чувствовать его настроение. ∞


ПРАКТИКА


ПРАКТИКА

Ключевые показатели эффективности подразделения и

сотрудников службы внутреннего аудита:

какие могут быть и как их измерить

Екатерина Баташева,CIA, старший менеджер по аудиту X5 Retail Group

Важность и необходимость формирования самой функции внутреннего аудита каждая компания определяет для себя сама, но как реально измерить полезность, будем откровенны, довольно дорогого подразделения для компании? И главное, а надо ли это делать? К установке мотивационных целей функции внутреннего аудита и ее сотрудников следует подходить крайне внимательно, чтобы не допустить влияния целей на объективность внутреннего аудитора. Когда человека загоняют в рамки, можно столкнуться с его естественным стремлением достичь поставленные видимые цели, и, если эти цели задать некорректно, без соответствующего анализа рисков, ключевая идея аудиторской деятельности как независимого «арбитра» не будет реализована.

57

Для начала определимся с тем, кто может формулировать, устанавливать и отслеживать ключевые показатели эффективности (далее – КПЭ). Технически за организацию процесса постановки целей в большинстве компаний отвечает подразделение HR, но смысловое наполнение должны организовывать те, кто погружен в специфику выполняемой работы конкретной функции компании. Так, для функции внутреннего аудита устанавливать и отслеживать достижение КПЭ может аудиторский комитет и/или совет директоров, например, задавая ключевые показатели для подразделения, которые будут каскадированы сотрудникам. Более оптимальный вариант получится в случае выбора и формулирования КПЭ сотрудниками внутреннего аудита с последующим подтверждением комитетом и/ или советом, что будет и отражать цели/ стремления аудиторов и подтверждаться на высоком уровне.

Важно, чтобы оценка достижения целей проводилась непредвзятым лицом и/ или подразделением, иначе возникает конфликт интересов, если контроль над проведением оценки выполняет, например, HR, который может выступать объектом по аудиторскому заданию. Лучшим вариантом будет оценка непосредственно тех лиц, которые формулировали и устанавливали показатели.

В статье мы рассмотрим виды и типы КПЭ и попробуем разобраться, как мотивируя сотрудников, не подвергать опасности их независимость и объективность.

КПЭ сотрудников подразделения внутреннего аудита

Пойдем от частного к общему и рассмотрим основные сферы установки мотивационных целей для сотрудников: 1. Работа на аудиторских проектах:• качество;• сроки.2. Мониторинг устранения выявленных недостатков;3. Квалификация и развитие;4. Дополнительные проекты (предоставление гарантий, консультаций);5. Развитие и продвижение функции внутреннего

аудита в компании;6. Развитие сотрудников.

Поскольку объективно большая часть рабочего времени внутреннего аудитора тратится на выполнение аудиторских проектов, уделим больше внимания вопросу установки целей и их оценке.

1. Выполнение аудиторских проектов: качество.Для оценки достижения цели по выполнению аудиторских проектов качественно и в установленный срок можно использовать различные оценочные формы с перечнем критериев, опросники и т.д.В подразделении внутреннего аудита сотрудники могут иметь разный опыт и навыки, а также обладать разной квалификацией и быть наделенными разными полномочиями. Первое –больше про личную ответственность сотрудника в его персональном развитии, а вот квалификация и полномочия, которыми его наделили, и то, как он с ними справляется, вполне может быть предметом оценки. Тут мы подходим к первому важному этапу в построении системы мотивации, когда необходимо ответить на вопрос: «А кто же перед нами?». Заглянув в трудовой договор можно понять – перед нами ассистент, аудитор или менеджер – и в соответствии с этим назначать ему критерии оценки, но такой подход может быть необъективным.

Кроме того, сложность у каждого аудиторского проекта, скорее всего, будет разная, и один и тот же сотрудник может выступать как в роли «рядового аудитора» на одном проекте, так и в роли «руководителя проекта» – на другом, если он имеет релевантный опыт, знания, потенциал к росту, это допускает уровень сложности предстоящего проекта или по иным причинам, важным для его руководителя. Таким образом, критерии оценки логично строить не только по формальной штатной должности, но и по выполняемой роли сотрудником. Для примера рассмотрим две роли: «аудитор» и «руководитель проекта».

Ввиду различия в фактическом выполняемом функционале необходимо подобрать релевантные цели и критерии их оценки для каждого сотрудника.Навыки любого сотрудника можно разделить на две категории: hard skills и soft skills. Среди профессиональных навыков (hard skills) можно


ПРАКТИКА

58

выделять такие как:• знание Международных стандартов внутреннего аудита, • владение программным обеспечением для выполнения аудиторских процедур,• грамотная письменная речь,• знание иностранных языков и т. д.

При определении перечня требуемых навыков полезно обращаться к Стандартам: так, например, в опроснике могут быть использованы следующие формулировки, с которыми сотрудник при самооценке или его руководитель при оценке могут согласиться или опровергнуть:• Подготовлен перечень конкретно и четко сформулированных рисков, проведено его обсуждение с владельцем процесса (2201).• Проведен анализ, насколько дизайн выявленных контрольных процедур снижает риски процесса, сформирован вывод на основе дизайна (2210.А1).• Подготовлена рабочая программа по тестированию и задокументированы результаты тестирования, где для каждого теста указано: 1) что проверяем (цель теста), 2) как это делаем (пошаговое описание всех действий, необходимых для проведения данного теста), 3) полученные результаты (отклонения) и их анализ, 4) выводы (2240, 2240.А1).• В подтверждение всех отклонений/ исключений, выявленных в ходе тестирования, были собраны необходимые копии первичных документов или отчетов, а также были получены и задокументированы комментарии ответственных сотрудников проверяемого подразделения (2330).• Стиль изложения был стандартно-деловым, ясным и лаконичным. Суть недостатка была описана правильно, получено представление о том, что делается неправильно (или не делается) и почему это является проблемой. При этом дано объективное описание на основе полученных фактов, без излишнего обобщения и преувеличения. (2420).

Soft skills. Внутреннему аудитору необходим наборличных качеств и навыков межличностного общения (soft skills) для взаимодействия с коллективом и клиентом в рамках аудиторского задания, например: • умение работать в команде, • обучать и передавать знания, • быть настойчивым в обосновании своего мнения; • управлять конфликтами и прочее.

В Международных стандартах мы можем найти описание качественных характеристик функции в

целом и отдельных сотрудников. Опросник может быть расширен, например, следующими утверждениями:• При оценке степени снижения риска учитывает только уместные и действующие контрольные процедуры, при тестировании оценивает достаточность доказательств (1120, 1220). • При описании выявленных недостатков во внутреннем контроле дано объективное описание на основе полученных фактов, без излишнего обобщения и преувеличения (1100).

Требования к роли «руководителя проекта» могут быть расширены выполнением контрольных функций над аудиторским проектом, например: • Проверка рабочих бумаг осуществлялась последовательно и своевременно, подтверждена правильность выводов «аудитора» о том, что контрольные процедуры выполняются на практике, либо о том, что они не подтверждены по результатам тестирования (2340).• Программа тестирования проверена и согласована до начала тестирования, все изменения в программе были согласованы. (2240.А1).

Провести оценку и, как следствие, подтвердить достижение поставленных целей членов команды может руководитель проекта, поскольку он проверяет все рабочие бумаги и непосредственно взаимодействует с каждым членом команды. Оценку руководителя проекта должен проводить вышестоящий руководитель (вероятнее всего, руководитель функции внутреннего аудита). Ввиду того, что руководитель службы внутреннего аудита видит итоговый результат проекта и не участвует в работе команды, он может оценить качество написания аудиторского отчета, но, как правило, не обладает информацией о ходе проекта и работе руководителя проекта с командой. Тут возникает проблема: как объективно провести оценку? Поскольку работу руководителя проекта в полной мере видят только члены команды, логично представить им возможность выставить оценку, но есть риск возникновения «круговой поруки», когда сотрудник, зная, что его работу будет оценивать тот, кому он также выставляет оценки, будет более снисходителен, и потеряется объективность. В то время, как Стандарт 1120 четко требует от внутренних аудиторов избегать конфликта интересов любого рода, в данной ситуации пусть и во «внутренней кухне», но он возникает.Универсальное средство по полному его устранению придумать сложно, но можно снизить такой риск: (1) составить отдельный опросник для членов


ПРАКТИКА

59

команды о выполнении руководителем проекта конкретных функций, подлежащих оценке, с возможностью дать развернутый комментарий о его работе; (2) довести до сведения всех сотрудников функции информацию о конфиденциальности такой оценки, а также требование выполнять это правило и представлять обобщенную обратную связь руководителю проекта.

Как дополнительный плюс, наличие четких критериев оценки, коррелирующих с требованиями Международных стандартов, может пригодиться при внешней оценке функции внутреннего аудита как подтверждение того, что функция постоянно на каждом проекте оценивает соответствие своей работы Стандартам.

Рассмотрим некоторые КПЭ, которые могут быть установлены сотрудникам внутреннего аудита:

1. Выполнение аудиторских проектов: сроки.Другая часть первого рассматриваемого КПЭ —сроки проекта. Необходимо учитывать, что на срок выпуска отчета влияют разные факторы, и внутренний аудитор может управлять далеко не всеми из них. Например, сроки выпуска отчета могут значительно превышать реальный срок работы аудитора на проекте, если в него помимо рекомендаций аудита также включаются планы действий менеджмента.В случае, когда методология, принятая в подразделении внутреннего аудита, допускает нормирование времени на выполнение этапов работы, возможно использовать эти данные для оценки. Например, может быть задано стандартное время на этапы применительно ко всем аудиторским проектам, или оно может определяться индивидуально при планировании каждого проекта. Оценка в таком случае будет выставлена за факт выполнения этапа в срок, либо раньше/ позже срока, либо в процентах отклонения от плана. Соответственно, для руководителя проекта срок выпуска отчета может являться оцениваемым критерием.

2. Мониторинг устранения выявленных недостатковВвиду того, что целью внутреннего аудита является помощь в совершенствовании работы компании и повышении ее эффективности, внутренние аудиторы могут не заканчивать свою работу после выпуска отчета, а продолжать сопровождать внутреннего клиента до устранения выявленных недостатков. В частности, отслеживание качества и

своевременности реализации корректирующих мер по устранению недостатков может быть дополнительной активностью сотрудников внутреннего аудита и найти отражение в их мотивационных целях. Практической реализацией может быть:(1) выпуск полной и понятной отчетности о статусах закрытия недостатков,(2) своевременная эскалация проблем,(3) разработка новых рекомендаций в случае изменения бизнес-процесса до закрытия недостатка и т. д.

3. Квалификация и развитиеКак сертификат CIA, так и ряд других профессиональных сертификатов требуют от их обладателей постоянного развития и обучения. Следовательно, можно сделать вывод о важности обучения и повышения квалификации для профессии внутреннего аудитора. При этом включать или не включать в мотивационные цели получение профессиональных сертификатов сотрудником (CIA, CISA, ACCA и проч.) – вопрос спорный. С одной стороны, это персональная ответственность каждого внутреннего аудитора, сопряженная с его желанием дальше развиваться в профессии. Более того, наличие сертификата не обязательно для понимания и применения Международных стандартов внутреннего аудита, он является лишь документальным подтверждением определенного уровня квалификации. Кроме того, подобная цель в КПЭ может отвлекать сотрудника от выполнения своих непосредственных обязанностей. Другая точка зрения заключается в том, что наличие такой цели в КПЭ будет мотивировать сотрудника развиваться и повышать свою квалификацию, что, безусловно, пойдет на пользу функции внутреннего аудита. При подготовке к получению сертификатов сотрудник получает, в том числе, необходимые знания для повышения качества своей работы на аудиторских проектах, что приводит в итоге к более высокой эффективности всей функции. Не стоит забывать и о престиже функции, которая может подтвердить свой профессионализм большим количеством сотрудников с признаваемыми международным сообществом профессиональными сертификатами.Кроме получения сертификата, в качестве цели может рассматриваться:• повышение знаний сотрудника в бизнес-сферах, в которых работает компания;• прохождение обучения не менее определенного количества часов в год и т. д.


ПРАКТИКА

60

4. Дополнительные проекты: предоставление гарантий, консультаций.Внутренний аудит является объективным и независимым подразделением, предоставляющим гарантии, и потому к нему может отдельно обращаться как совет директоров, так и высший менеджмент компании с запросами на проведение внеплановых проверок отдельных направлений деятельности или бизнес-процессов. При составлении риск-ориентированного плана на год, руководитель внутреннего аудита, как правило, закладывает в план время на выполнение таких проектов из опыта прошлых лет. В зависимости от видов запросов для них может быть предусмотрен опросник, подобный регулярным аудиторским проектам. Цель может быть установлена как на количество таких запросов, которые выполнил аудитор за год, так и на качество и сроки их выполнения. Предоставление консультаций не является главной целью аудита, но, если Положением о внутреннем аудите предусмотрено, что функция оказывает такие услуги, этот факт может найти отражение в КПЭ сотрудников внутреннего аудита, аналогично с оценкой предоставления гарантий.

5. Развитие и продвижение функции внутреннего аудита в компании.Развитие функции может выражаться в совершенствовании методологии работы по соответствию Международным стандартам и мировой практике. В качестве цели могут быть установлены задачи по формализации и разработке внутренних стандартов деятельности, формирование базы знаний и прочее.

Повышение значимости функции, доверия к ней со стороны менеджмента и просвещение представителей бизнеса относительно важности управления рисками и контролями – большая задача внутреннего аудита, вытекающая из определения и миссии внутреннего аудита. Одним из способов достижения этой цели, который можно установить в качестве КПЭ сотрудникам:• проведение семинаров и лекций для сотрудников компании по вопросам оценки системы внутреннего контроля и управления рисками;• разработка материалов для самостоятельного обучения;• участие во внутренних конференциях и т.д.

6. Развитие сотрудников.Повышению сплоченности коллектива и улучшению командной работы могут способствовать общие

цели, например, работа над одним дополнительным проектом по разработке нового подхода к проведению ряда этапов аудиторских проектов, либо нового вида проектов. Такие задачи также будут полезны для развития soft skills у будущих руководителей проектов.Более опытным внутренним аудиторам могут быть установлены цели по проведению обучения молодых специалистов, участию в системе наставничества/ коучинга.

Выше мы рассмотрели некоторые КПЭ, которые могут быть установлены сотрудникам внутреннего аудита, далее порассуждаем о том, какие КПЭ сопряжены с большими рисками и почему стоит воздержаться от их использования.

1.Неправильно мерить качество работы количеством выявленных недостатков по ряду причин: • все бизнес-процессы различаются по объему операций и степени автоматизации; • может привести к искусственному дроблению выявленных фактов на множество разных «недостатков»; • может привести к излишним придиркам и, как следствие, к ненужным затратам бизнеса на внедрение рекомендаций аудиторов.

2. Спорным является КПЭ по количеству принятых бизнесом рекомендаций от внутреннего аудита. С одной стороны, внутренний аудитор является экспертом в вопросах внутреннего контроля и не должен наравне с бизнесом обладать экспертизой во всех бизнес-процессах, потому требовать от него конкретные рекомендации по изменению бизнес-процесса для устранения недостатков не всегда оправдано. Более того, если позиция внутреннего аудита в компании сильная, рекомендации могут быть приняты «под козырек» и даже, если недостаток будет устранен, нет уверенности, что рекомендованный способ был оптимальным. Другая точка зрения: рекомендации внутреннего аудита ценятся за то, что они помогают компании повысить эффективность своих процессов, снизить имеющиеся риски и, если рекомендации недостаточно проработаны и внедрить их нет возможности, ценность аудита снижается. При этом, не стоит забывать, что менеджмент может не всегда видеть все слабые места в своих бизнес-процессах, потому даже если аудитор не может предложить идеальное решение проблемы, само ее обнаружение показывает полезностью функции внутреннего аудита.


ПРАКТИКА

61

Тут важно отметить, что эффективное взаимодействие между бизнесом и внутреннем аудитом может способствовать разработке качественных планов корректирующих мероприятий и достижению общей цели по совершенствованию процессов компании.

КПЭ подразделения внутреннего аудита

Кому и для чего нужны эти показатели? Во-первых, аудиторскому комитету (либо совету директоров, если подкомитет по аудиту не выделен), который является заказчиком и потребителем услуг, оказываемых внутренним аудитом. Поскольку, как минимум, назначение и освобождение от должности руководителя подразделения внутреннего аудита находится в зоне ответственности комитета по аудиту, именно ему необходимо измерять эффективность самой функции и управления ею.

Во-вторых, руководителю функции внутреннего аудита и самим сотрудникам нужны единые цели для формирования общего вектора их деятельности.

В-третьих, отраженные как КПЭ цели подразделения могут носить стратегический характер как по развитию функции в компании, так и по повышению ее эффективности в текущем состоянии.

Перед тем как рассмотреть возможные КПЭ, следует отметить, что компании выбирают те показатели, которые им близки, и поддерживают цели создания функции внутреннего аудита, а значит выбранные ими для отслеживания КПЭ могут сильно различаться между собой. Так, например, на действительное положение дел в подразделении внутреннего аудита влияет несколько факторов, среди которых (1) размер службы внутреннего аудита как фактический, так и в отношении к общей численности компании; (2) реальные задачи функции, выполняется ли аудит «для галочки» во исполнение норм закона или для отстаивания интересов акционеров и проч.

Рассмотрим на примерах, какие цели могут быть поставлены перед подразделением внутреннего аудита и учитываться как КПЭ его деятельности.

1. Количество сертифицированных аудиторов в подразделении. Показатель является одновременно имиджевым как для внутренних

клиентов, так и для профессионального сообщества, и качественным, т. к. функция повышает общий уровень своей квалификации.

2. Средний балл по индивидуальным оценкам сотрудников. Поскольку цель по качественному выполнению аудиторских проектов можно считать наиболее значимой для сотрудников, логично отразить ее и в целях подразделения. Усредненный показатель представляет общую динамику и его существенное изменение в любую сторону может являться триггером для тщательного анализа причин. Так, снижение может быть вызвано увеличением нагрузки и объемов работ из-за некорректного планирования занятости сотрудников или их нехватки. Увеличение же, наоборот, может способствовать пересмотру критериев для того, чтобы цели не были слишком легкодостижимыми и продолжали мотивировать сотрудников на дальнейшее развитие.

3. Оценка внутреннего клиента. Спорным является вопрос, учитывать ли в КПЭ подразделения и/ или внутренних аудиторов мнение представителей бизнеса относительно качества работы и квалификации аудиторских команд. Такой показатель будет слишком субъективным и может, как в ситуации с взаимными оценками аудитора и руководителя проекта, не обеспечить достаточный уровень беспристрастности оценкам как в одну, так и в другую сторону. Вариант решения может быть похожим: обобщенно представлять комитету по аудиту результаты опроса бизнеса, комментарии в свободной форме, без перевода их в конкретные измеримые показатели.

4. Выполнение аудиторского плана. Количественный показатель отношения проведенных проектов к запланированным отражает, насколько руководитель внутреннего аудита может эффективно управлять функцией для выполнения запланированных проектов, несмотря на различные дополнительные проекты и иные активности функции, а также прочие непредвиденные ситуации, как правило, возникающие в любой деятельности. Следует обратить внимание, что не всегда стоит стремиться к 100% выполнению показателя, т.к. во многих компаниях процессы быстро меняются, повышается их автоматизация, возникают новые сферы бизнеса и новые риски, а внутренние аудиторы, как помощники в повышении эффективности процессов компании, должны «двигаться со скоростью риска»


ПРАКТИКА

62

вместе с ней. Поэтому, решая устанавливать этот показатель как КПЭ подразделения или нет, каждой компании необходимо учитывать скорость изменения бизнеса и соизмерять полезность от строгого следования плану в сравнении с гибкостью планирования.

5. Покрытие бизнес-процессов аудиторскими проверками. Количество или доля покрытых аудитом бизнес-процессов от общего их числа в компании. Отдельно возможно отслеживать показатель доли бизнес-процессов, которые не покрываются в установленный аудиторский цикл.

6. Выполнение дополнительных заданий и поручений. Количественный показатель отношения выполненных дополнительных заданий по предоставлению гарантий и консультаций к полученным в течение года.

7. Соответствие Международным стандартам. Такой КПЭ актуален в случае, когда функция внутреннего аудита заявляет о своем соответствии Стандартам, либо планирует развиваться в этом направлении. Цель может быть представлена как стратегическая для подразделения, детализирована и разбита на несколько лет, когда в течение каждого года подразделение будет внедрять процедуры, обеспечивающие соответствие требованиям одного или несколько стандартов и так далее.

8. Текучесть персонала. Классический HR-показатель, который свидетельствует о качестве подбора сотрудников и степени их удовлетворенности работой.

9. Внутренние назначения. К установке целевого значения данного показателя следует подходить очень осторожно, поскольку слишком низкое целевое значение не позволит сотрудникам профессионально развиваться, что приведет к оттоку квалифицированных кадров. Слишком же высокое значение может создать ощущение у сотрудников слишком легких достижений, что снизит их мотивацию на развитие.

10. Утилизация, или эффективная загрузка персонала. Исчисляется как отношение полезного времени к доступному. Не стоит стремиться к 100-процентной эффективности, потому что в таком случае сотрудники будут регулярно перегружены из-за необходимости тратить личное время на различные административные задачи, которые всегда присутствуют в деятельности любого

подразделения. Данный показатель полезно отслеживать, сравнивая с прошлыми периодами, оценивая его динамику. Не лишним будет сопоставлять его с общин временем, которое сотрудник проводит на работе к установленному трудовыми отношениями с ним.

11. Обучение и расширение компетенций. КПЭ может быть установлен в виде набора компетенций, необходимого подразделению внутреннего аудита для выполнения аудиторских заданий, например, за определенный период времени (в перспективе 1-3 года). Такая мотивационная цель может включать углубление знаний в конкретных областях, где компетенции находятся на наиболее низком уровне, а также формирование экспертизы во всех ключевых областях знаний, например, не менее, чем у двоих сотрудников в каждой области.

Не по всем целям обязательно задавать конкретные значения показателей, которым необходимо соответствовать функции внутреннего аудита. Некоторые цели могут рассчитываться на перспективу или отслеживаться для понимания общего состояния функции. Так, например, показатели утилизации, текучести и внутренних повышений имеют ценность для сравнения с прошлым годом и отслеживания динамики, но определение для них целевых значений может оказать неблагоприятное влияние на кадровые решения.

В заключение хотелось бы сказать, что выбрать корректные мотивационные цели и реалистичные целевые значения не всегда легко. Они не должны быть чрезмерно высокими, чтобы не обескураживать сотрудников, и в то же время не должны быть легко достижимыми, чтобы не лишать их возможности преодолевать себя и развиваться, порождая чувство излишней уверенности в легких достижениях. Правильно поставленные цели являются залогом успешного развития как внутренних аудиторов, так и функции внутреннего аудита в целом. Также не стоит забывать, что нынешнее время –время перемен. Все ускоряется, поэтому те КПЭ, что были актуальными 3 года назад, могут быть не только устаревшими сегодня, но и тормозить работу службы внутреннего аудита. Поэтому следует периодически рассматривать реальное влияние КПЭ на актуальность и эффективность работы в целом, и важно, чтобы этот процесс был не формальный, а реально давал обоснования наличию того или иного КПЭ. ∞


ПРАКТИКА


ПРАКТИКА

Внутренний аудит исполнения

страховой компанией ФЗ от 07.08.2001 № 115-ФЗ

«О противодействии легализации (отмыванию) доходов,

полученных преступным путем, и финансированию терроризма».

Часть 2*

Ника Шамба, внутренний аудитор АО СК «Ингвар»

……............................*Часть 1 опубликована в журнале Внутренний аудитор № 3 (7), 2019.


ПРАКТИКА

При планировании внутреннего аудита по проверке исполнения Федерального закона от 07.08.2001 № 115-ФЗ в страховых компаниях, я рекомендовала включать в годовой план проведения внутреннего аудита анализ соответствия Правил внутреннего контроля (ПВК) по ПОД/ФТ/ФРОМУ действующему законодательству (смотрите статью в предыдущем номере журнала), а также проверку исполнения ПВК по ПОД/ФТ/ФРОМУ работниками компании.

2. Проверка исполнения ПВК по ПОД/ФТ/ФРОМУ работниками компании.

Согласно главе 2 Положения Банка России от 15.12.2014 № 445-П «О требованиях к правилам внутреннего контроля некредитных финансовых организаций в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», некредитная финансовая организация в своих ПВК определяет порядок проверки осуществления внутреннего контроля за соблюдением некредитной финансовой организацией и ее сотрудниками законодательства Российской Федерации в сфере ПОД/ФТ, ПВК по ПОД/ФТ. Конечно же, роль внутреннего аудитора в страховой компании при осуществлении внутреннего контроля ключевая и обязательная по закону. Так, при составлении плана проверок внутренний аудитор должен включать процедуры по проведению внутренних проверок выполнения ПВК по ПОД/ФТ требований законодательства Российской Федерации в сфере ПОД/ФТ (не реже, чем раз в год). Периодичность в 445-П носит скорее рекомендательный характер. В реальности лучше проводить проверки чаще: плановые не реже, чем раз в квартал, и внеплановые – на усмотрение внутреннего аудитора или по запросу руководства компании. Далее следует определиться с процедурами проведения аудита. Процедуры напрямую зависят от содержания программ ваших ПВК.

Приведу наиболее полезные процедуры по выявлению недочетов в работе сотрудников на примере своего опыта:

1. Проверка наличия и состава анкет (досье) клиентов. При проверке анкет (досье) клиентов за определенный период (например, квартал) я использую журнал учета заключенных договоров страхования и досрочно прекращенных договоров страхования. В журнале отражается вся необходимая информация по действующим и досрочно прекращенным договорам страхования за период; запрашиваю всю документацию по ПОД/ФТ/ФРОМУ. Проверяю наличие досье клиентов, состав документов, данные по обновлению сведений.

65

Проверяю журнал клиентов по ПОД/ФТ/ФРОМУ, который ведется в электронном виде. Если за проверяемый период количество действующих договоров составляет более 50, и на обработку полученных данных мне потребуется больше запланированного времени, формирую случайную выборку.

2. Обоснование степени риска. Каждому клиенту присваивается определенная степень риска. Проверяю клиентов с низким уровнем риска, поскольку есть вероятность необоснованного снижения уровня риска. Данную проверку можно включить (дополнительно) при проведении документального анализа анкет (досье) клиентов. Степень риска определяется в рамках программы управление риском ПВК по ПОД/ФТ/ФРОМУ, в частности, методикой выявления и оценки риска легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма в отношении риска клиента и методикой выявления и оценки риска легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма в отношении риска использования услуг страховой компанией в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.

3. Выявление операций, подлежащих обязательному контролю, и операций, в отношении которых возникают подозрения, что они осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма. Обязательному контролю подлежат операции, указанные в ст.6 Федерального закона от 07.08.2001 № 115-ФЗ. Обычно в срезе одного квартала анализируются все операции и подтверждается факт соблюдения обязательного контроля сотрудниками компании. Помимо этого, рекомендую закрепить приказом компании обязательство главного бухгалтера и специального должностного лица о сообщении внутреннему аудитору о всех операциях, подлежащих обязательному контролю в сжатые сроки (можно уточнить: «в день выявления»).

4. Контроль осведомленности/ знаний сотрудников. Однажды в московском отделении банка при совершении операции по денежному переводу, сотрудник банка попросил меня подписать документ с заголовком «Во исполнение 115-ФЗ….». Я поинтересовалась, что это такое и для чего это необходимо. На что сотрудник банка

ответил, что я должна подписать документ поскольку, это будет подтверждением того, что я не являюсь своим бенефициарным владельцем. Я спросила: «Кто такой бенефициарный владелец и почему я им не являюсь?» Сотрудник банка пожал плечами и ответил, что это формальность и лучше мне подписать.Если у работника есть существенные пробелы в знании закона и внутренних документов компании, велик риск нарушения законодательства в области ПОД/ФТ/ФРОМУ, дезинформирования клиентов и нанесения репутационного ущерба компании.Проводите интервью и проверочные тестирования с сотрудниками, непосредственно работающими с клиентами. Они должны понимать, о чем говорят, и уметь четко объяснить, для чего клиенту заполнять необходимые анкеты, опросные листы и иные документы. Данную процедуру результативнее проводить внепланово.

5. Хранение документов. Проверяйте места, доступ и сроки хранения документов. Хранение документов и сведений, полученных в результате осуществления внутреннего контроля в целях ПОД/ФТ/ФРОМУ, должно быть организовано в соответствии с внутренними требованиями страховой компании в сфере информационной безопасности и порядка обеспечения конфиденциальности информации, исключающей доступ к ним третьих лиц. Учет и хранение информации и документов, полученных в результате реализации ПВК и программ их осуществления, воплощаются в документальном (документы, представленные на бумажных носителях, распечатки электронных документов) и электронном виде (анкеты, электронный журнал, реестры документов, электронная переписка с клиентами, выгодоприобретателями, отсканированные копии документов). Следовательно, проверяйте как документы на бумажных носителях, так и соответствие правил хранения документов в электронном виде на серверах компании.

В следующей статье мы рассмотрим третью тему, которую я рекомендую включать в годовой план проведения внутреннего аудита в страховой компании, – проверка подготовки и отправки отчетности в уполномоченный орган (Росфинмониторинг) и внутренних отчетов руководству компании, подготовленных специальным должностным лицом. ∞


ПРАКТИКА


ПРАКТИКА

ГОРЯЧАЯ ЛИНИЯ –инструмент конфиденциального

информирования совета директоров

Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот»

67

Какая Горячая линия необходима для совета директоров? Какую пользу она может приносить акционерам и компании? Статья полезна как для внутренних аудиторов, так и для независимых членов совета директоров и представителей менеджмента компаний.

Президент Международного Института внутренних аудиторов (IIA) Ричард Чемберс, говоря о недавнем исследовании по риск-менеджменту OnRisk2020 Report, посвященном новым возможным подходам к пониманию и оценке рисков, использовал для оценки риска два критерия – «knowledge» и «capability» – т.е. «что мы знаем о риске» и «насколько организация способна противостоять риску». На наш взгляд, правильно организованная –т.е. конфиденциальная, но в то же время открытая для обращений внешних клиентов или работников компании и свободная от разного рода фильтров Горячая линия – предоставляет организации уникальную возможность получить «нефильтрованное» знание и представление о рисках, представляющих приоритетный интерес для совета директоров и высшего руководства компании. Внутренние аудиторы компании, как доверенные лица совета директоров и аудиторского комитета, находятся на передовой работы с Горячей линией, обеспечивая конфиденциальное и профессиональное рассмотрение поступающих обращений и дальнейшую их обработку.

Наличие Горячей линии является отличительной чертой публичных компаний с развитой корпоративной культурой. Возможность прямого доступа к этому важному инструменту конфиденциального информирования совета директоров любого внешнего лица или сотрудника компании со своим вопросом, отличает подлинно открытые компании от имитирующих такую открытость; компании, действительно ценящие критику и воспринимающие ее как важную и необходимую составную часть в работе по повышению своей корпоративной культуры и улучшению качества клиентского сервиса от компаний, игнорирующих мнение своих клиентов и работников.

В ПАО «Аэрофлот» задача по организации Горячей линии была сформулирована советом директоров в 2014 году в Дорожной карте по совершенствованию

корпоративного управления, принятой сразу после утверждения Банком России Кодекса Корпоративного управления, ст. 261 которого гласит:В рамках системы управления рисками и внутреннего контроля общества рекомендуется организовать безопасный, конфиденциальный и доступный способ (горячую линию) информирования совета директоров (комитета совета директоров по аудиту) и подразделения внутреннего аудита о фактах нарушений законодательства, внутренних процедур, кодекса этики общества любым его работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью общества.

По горячей линии в адрес совета директоров, подразделения внутреннего аудита могут поступать предложения по улучшению антикоррупционных процедур и иных процедур внутреннего контроля. Лицо, предоставившее соответствующую информацию, должно быть защищено от любых форм давления (в том числе от увольнения, преследования, любых форм дискриминации).

К 2016 году в компании были подготовлены и утверждены советом директоров все необходимые нормативные документы по организации работы с такими обращениями в рамках всей группы компаний Аэрофлот, и Горячая линия начала функционировать.

Можете себе вообразить, сколько вопросов возникает каждый день/час/минуту у клиентов и пассажиров такой большой авиакомпании, как Аэрофлот, входящей в топ-20 крупнейших авиаперевозчиков мира и Европы (около 56 млн. перевезенных пассажиров в 2018 году)? Стоит отметить, что в Аэрофлоте, как и во многих российских и зарубежных компаниях, всегда существовали и другие каналы оперативного информирования о тех или иных проблемах/ вопросах, связанных с деятельностью авиакомпании: контакт-центр (кол-центр), Система добровольных сообщений (СДС), прямые контактные адреса руководства компании, канал для антикоррупционных сообщений, странички компании в социальных сетях в России и за рубежом, куда также могут обращаться как внешние клиенты, так и работники компаний Группы Аэрофлот.


ПРАКТИКА

68

Так в чем же отличительные особенности Горячей линии совета директоров по сравнению с другими каналами информирования и обратной связи с пассажирами и работниками компании?

Первое и главное отличие – это ее функционал: Горячая линия совета директоров предназначена для обращений исключительно по трем направлениям:• нарушения требований применимого законодательства и организационно-распорядительных и нормативных документов Группы Аэрофлот, касающихся инсайдерской информации, противодействия мошенничеству и коррупции, любым работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью Группы Аэрофлот;• предложения по улучшению процедур внутреннего контроля (в т.ч. антикоррупционных процедур);• нарушения Кодекса корпоративной этики.

Эти категории обращений определены Положением о Горячей линии, утвержденным советом директоров, а также указаны в рубрикаторе на внешнем сайте компании, используя который любой заявитель может направить свое обращение на Горячую линию совета директоров.

Необходимо отметить, что в отношении заявителей - работников компании действует специальная «защитная оговорка», закрепленная в Кодексе этики: работники имеют право сообщить о любых нарушениях Кодекса, независимо от того, к кому эти нарушения относятся – к ним лично, их подчиненным, руководителям или другим лицам. Компания гарантирует, что работники не будут подвергнуты негативному воздействию (увольнению, нежелательному изменению в должности, лишению премии и т.п.) в случае обращения на Горячую линию и предоставления информации о нарушении Кодекса этики, в том числе в случае, если факты нарушения, указанные в обращении, не будут подтверждены в ходе проведения проверки или служебного расследования.

Во-вторых, Горячая линия – это защищенная от доступа посторонних линия связи, своего рода «стерильная зона», к работе в которой допущены только назначенные отдельным распоряжением руководителя внутреннего аудита внутренние аудиторы. На практике это достигается строгими

настройками полномочий допущенных лиц и выделенного почтового сервера, который защищен от возможности просмотра или вмешательства третьих лиц, удаления обращений или переписки по проведению проверки/расследований по обращениям. Персональные данные заявителей, равно как и других лиц, задействованных в работе с обращениями, защищены в соответствии с требованиями российского (152-ФЗ «О персональных данных») и международного законодательства (GDPR и др.).

Ежедневный сбор и первичный анализ поступающих на Горячую линию обращений ведут работники департамента внутреннего аудита, назначенные распоряжением руководителя внутреннего аудита. Внутренними аудиторами –операторами Горячей линии – ведется журнал регистрации обращений, в котором регистрируются все поступающие на Горячую линию сообщения, а также ведется учет принятых по ним мер реагирования. Порядок работы с обращениями, поступившими на Горячую линию, утвержден руководителем внутреннего аудита и обязателен для всех внутренних аудиторов, выполняющих функцию по работе с обращениями.

Обращения на Горячую линию поступают только в виде электронных сообщений из раздела Обратная связь на внешнем сайте компании, возможность обращения по телефону на Горячую линию совета директоров не предусмотрена – для этого имеются другие возможности, в первую очередь прямые телефонные номера авиакомпании для связи с контакт-центром (кол-центром) по любым вопросам, связанным с авиаперевозками. Дополнительные контактные номера и обратная связь по различным вопросам имеются на сайте компании.

При направлении обращения на Горячую линию совета директоров заявитель должен выбрать одну из трех категорий, предусмотренных в разделе «Система конфиденциального информирования совета директоров», а именно: • Нарушения, касающиеся инсайдерской информации, противодействия мошенничеству и коррупции• Нарушения Кодекса корпоративной этики ПАО «Аэрофлот»,• Предложения по улучшению процедур внутреннего контроля (в том числе атикоррупционных процедур).


ПРАКТИКА

69

Положением о Горячей линии регламентирован следующий порядок работы с обращениями:если обращение касается одной из трех «профильных» категорий – то по нему должны быть приняты необходимые меры реагирования, включая проведение служебного расследования или проверки, и в установленный срок подготовлен и направлен ответ заявителю на предоставленный им контактный адрес. В случае анонимного сообщения – которые также рассматриваются – по ним тоже проводятся проверки или служебные расследования, принимаются необходимые меры реагирования, но ответ заявителю не направляется по понятным причинам.

В случае, если обращение не касается указанных трех категорий, но содержит значимую, по мнению внутренних аудиторов информацию (в таких случаях решение принимает, как правило, руководитель внутреннего аудита), оно может быть направлено в структурные подразделения компании в порядке информации. Это могут быть, например, обращения с вопросами о возможном трудоустройстве по интересующим компанию на данный момент профессиям, или обращения, касающиеся предыдущих обращений, по которым, по мнению заявителя, получена неполная информация, или не получена в срок, или запросы различных государственных структур по предоставлению информации (как правило, дублируют запросы по официальным каналам) и т.п. В таких случаях обращения направляются в ответственные структурные подразделения, которые проводят по ним необходимую работу и направляют ответы заявителям. Внутренние аудиторы также ведут учет по результатам рассмотрения таких сообщений в режиме последующего контроля.

Мы стараемся, чтобы ни одно обращение, поступающее на Горячую линию, не осталось без ответа. Это касается, в первую очередь, обращений по профильным категориям. Конечно, не всегда можно сразу четко определить принадлежность обращения к той или иной категории, в таком случае решение по работе с такими обращениями и подготовке ответа принимает руководитель внутреннего аудита.

И наконец, есть обращения, не относящиеся к категориям профильных обращений Горячей линии – рекламные сообщения, различного рода «деловые» предложения коммерческого характера, –которые в соответствии с установленным регламентом не рассматриваются и ответы по которым не направляются. Так же мы поступаем с обращениями, распространяющими заведомо ложную информацию, и с обращениями, содержащими угрозы или оскорбления в адрес работников компании.

Информация по результатам рассмотрения обращений, поступающих на Горячую линию, регулярно направляется аудиторскому комитету совета директоров в составе ежеквартальных отчетов внутреннего аудита, а по особо важным сообщениям информация незамедлительно доводится до сведения аудиторского комитета/ высшего руководства для принятия безотлагательных мер. В составе отчета по работе с обращениями, поступающими на Горячую линию совета директоров, отдельно выделяются сообщения с признаками мошенничества, коррупции. Каждое обращение, имеющее признаки мошенничества, коррупции, нарушений Кодекса этики, находится на контроле внутренних аудиторов до получения результатов проверки и полной картины расследования. По результатам каждого такого обращения обязательно направляется ответ заявителю с изложением результатов проведенной проверки или служебного расследования. Чаще всего обращения по вопросам коррупции или мошенничества касаются действий не персонала компании, а работников компаний-агентов, аэропортовых служб, диспетчеров наземных служб и другого персонала, так или иначе имеющих отношение к авиаперевозке. Учитывая географию полетов авиакомпаний Группы Аэрофлот сегодня – 190 городов в 55 странах – можно представить периметр контроля и мониторинга по обращениям наших пассажиров и клиентов. Благодаря обращениям пассажиров на Горячую линию в результате проведенных служебных расследований было выявлено и пресечено несколько таких случаев среди работников аэропортов, как в РФ, так и за рубежом, проведены необходимые профилактические мероприятия совместно с компаниями-партнерами (аэропортами, агентами по наземному обслуживанию и т.д.).


ПРАКТИКА

70

Мошенничество – это реальная угроза для авиакомпаний, по данным Международной ассоциации авиаперевозчиков (IATA), ущерб авиакомпаний от деятельности мошенников составляет более 1 млрд. долл. в год и в условиях глобальной цифровизации продолжает расти. Недавний случай из практики одной зарубежной авиакомпании: бывший работник аэропорта Тиффани Дженкинс признала себя виновной по трем пунктам "электронного мошенничества". Дженкинс обвинялась в том, что в течение 15 месяцев повышала классность авиабилетов для более сотни своих родственников, друзей и знакомых, чем нанесла авиакомпании JetBlue ущерб в $785 000. С июля 2016 по сентябрь 2017 года Дженкинс, используя специальный код, предназначенный для изменения резервирования в особых ситуациях, входила в базу данных резервирования билетов компании JetBlue, чтобы переделывать дешевые билеты в более дорогие повышенной классности.*

В последнее время быстрыми темпами растет количество обращений на Горячую линию, связанных с действиями мошенников: взлом личных сервисов и списание бонусных миль, продажа фальшивых авиабилетов, попытки доступа к персональным данным и личным кабинетам с помощью фейковых акций или псевдо-маркетинговых мероприятий в необъятном интернете. Количество фейковых акций в интернете и вне его растет такими темпами, что наши клиенты и пассажиры уже научились сами определять фейковые акции – например, розыгрыши бесплатных билетов от Аэрофлота (!) или скидки на сумму 90% (!) от цены билета, – и пишут на Горячую линию просьбы проверить тот или иной ресурс и предотвратить мошенничество. Примеры таких сообщений:

Текст сообщения: Добрый день! Подскажите пожалуйста, компания Аэрофлот действительно сотрудничает с сайтом www.ХХХХ? Дело в том, что они выслали мне предложение для покупки купона на скидку (при покупке авиабилета Вашей компании).Стоит ли доверять данной рассылке? и если данная информация недостоверна - просьба каким-либо образом повлиять на ситуацию, чтобы оградить

……............................*Источник: https://www.vnovomsvete.com/incident/2019/11/08/sotrudnik-aeroporta-nanes-aviakompanii-ushherb-v-sotni-tysyach-dollarov.html

Ваших клиентов от подобного рода мошенничества (скан предложения прилагаю).

Текст сообщения: Здравствуйте. Мне позвонили мошенники с номера 8958123456. Во время разговора с девушкой было слышно, что она не одна в офисе, что одновременно с ней говорят другие операторы... Я предложила продолжить разговор в другое время, на что она ответила, что звонки совершает компьютер, если мы прервем связь, то компьютер сразу соединит ее с другим клиентом, а мои бонусы сегодня сгорят. Я настаивала, что решение могу принять не сейчас, на что она ответила, что на поставит мой номер на повторный звонок, но компьютер если перезвонит сегодня, то соединит меня с другим оператором... В списке их партнеров указан Аэрофлот. Выдавая Аэрофлот за своего партнера, мошенники порочат имя, репутацию Аэрофлота. Если мошенники перезвонят мне с другого номера, могу сообщить вам его (если вам это нужно). Желаю удачи в поимке мошенников!

Текст сообщения: Добрый день! Прошу Вас прояснить следующую ситуацию. Я приобрел скидочный купон на покупку билета эконом класса авиакомпании Аэрофлот на сайте www.ХХХХХХХХ со скидкой 90%. Заплатив 3999 руб. Однако при попытке приобрести билет на сайте Вашей компании выдается сообщение о том, что номер купона не найден. В связи с этим вопрос: Не стал ли я жертвой мошенников или же это техническая ошибка. Заранее благодарен, Михаил

Ответ: Добрый день! Благодарим Вас за проявленное внимание и предоставленную информацию о сайте www.ХХХХХХХ. Мы всегда призываем пользователей Интернета не поддаваться на провокации мошенников и остановить распространение заведомо ложной информации. ПАО "Аэрофлот" действительно не сотрудничает с данным сайтом, в том числе в рамках совместных партнерских программ по предоставлению купонов на скидку 90%.Хотим напомнить, что единственным официальным сайтом авиакомпании является www.aeroflot.ru, и вся достоверная информация о текущих акциях, спецпредложениях, конкурсах иактуальных новостях размещается только на нем и в официальных аккаунтах авиакомпании в социальных сетях:Twitter (рус): https://twitter.com/aeroflot Twitter (англ): https://twitter.com/AeroflotManUtd


ПРАКТИКА

https://www.vnovomsvete.com/incident/2019/11/08/sotrudnik-aeroporta-nanes-aviakompanii-ushherb-v-sotni-tysyach-dollarov.html

71

Facebook (рус): https://www.facebook.com/aeroflot/Facebook (англ): https://www.facebook.com/aeroflotinternational/Instagram: https://www.instagram.com/aeroflot/ВКонтакте: https://vk.com/aeroflotБудем рады видеть Вас и Ваших близких на рейсах ПАО "Аэрофлот".С уважением,Горячая линия

Мы ценим такие обращения и всячески стараемся поддерживать дух непримиримого и небезразличного отношения наших клиентов к противоправным действиям, это помогает создавать и поддерживать здоровый иммунитет у наших клиентов и работников к вредоносным действиям мошенников. Это очень важно, поскольку только совместными усилиями можно успешно противостоять коррупции и мошенничеству.

Нередко наши клиенты все же становятся жертвами интернет-мошенников и обращаются на Горячую линию уже за помощью. Используя доступный арсенал предусмотренных законодательством средств, мы ведем постоянную работу по защите интересов наших клиентов и пассажиров, с привлечением профильных подразделений и служб нашей компании, инициируем блокировку мошеннических сайтов и интернет-ресурсов, в отдельных случаях направляем обращения в правоохранительные органы для проведения расследований в соответствии с действующим законодательством. Правда, после закрытия одних мошеннических сайтов появляются другие, иногда со схожими наименованиями и методами, и все опять повторяется сначала. Изобретательности и настойчивости этих мошенников можно позавидовать….

Вопрос: Message text: I am concerned that I may have been a victim of fraud. Can you please confirm if the image I sent you was a real ticket?

Ответ: Dear Mr W… Following Your request dated January, 21, 2019, #ХХХХХ we checked the “ticket” presented by you and inform You that the presented boarding pass is fake and it is not a ticket. The PJSC «Aeroflot» does not perform flights to Sydney (Australia)…There are some more details that prove the fact that this boarding pass is fake. In this respect we recommend you and your friends to deal only with the authorized travel agents and buy tickets only through the

secure channels such as for example the official website of our Company, www.aeroflot.com

Текст сообщения: Прошу помочь мне! И хочу чтоб мне вернули деньги, я купила билет Москва -Ташкент! Рейс был из Шереметьево. 07.11.2019г. Приехав в аэропорт я узнаю что моего билета нет на этот рейс! Как такое возможно??? Меня не пропустили на рейс сегодня 15:25! Пришлось ехать обратно домой! Как решить этот вопрос?

Ответ: Уважаемая г-жа…! Благодарим Вас за обращение и выбор нашей авиакомпании.По Вашему обращению проведено служебное расследование, в результате чего выявлено, что попытка покупки билета осуществлялась через несуществующий мошеннический ресурс (подделка на популярный поисковик), вследствие этого, бронирование не создано, денежные средства на счет авиакомпании не поступали, билет не был сформирован.Принимая во внимание, что ПАО «Аэрофлот» не несет ответственности за противоправные действия со стороны агрегатора продажи авиабилета, по данному вопросу рекомендуем обратиться в правоохранительные органы.Со своей стороны, можем посоветовать Вам заблокировать/перевыпустить карту, с которой производилась оплата, т. к. у мошенников теперь есть все данные.Благодарим Вас за понимание.

Большое внимание при работе с сообщениями на Горячую линию уделяется вопросам предотвращения конфликта интересов, исключения личной заинтересованности при проведении различных тендерных процедур, закупок. Поступающие по этим темам сигналы стоят на особом контроле, тщательно расследуются, в необходимых случаях информация передается для рассмотрения и принятия решения в Комиссию по предотвращению коррупции и урегулированию конфликта интересов, действующую в компании.

Корпоративная культура, часть которой – это правильно организованная работа с обращениями по Горячей линии, наряду с финансовыми результатами, является существенным фактором, влияющим на оценку компании со стороны акционеров и инвестиционного сообщества, на ее рыночную стоимость. Известны случаи, в том числе в российской практике, когда нарушения в области


ПРАКТИКА

72

защиты персональных данных, неэтичное или недобросовестное поведение со стороны менеджмента и работников приводили к существенному падению рыночной капитализации крупных публичных компаний. Горячая линия как раз и призвана быть тем инструментом конфиденциального и оперативного информирования акционеров, совета директоров, высшего исполнительного руководства о такого рода угрозах и фактах для предотвращения неблагоприятных последствий.

Следует отметить, что наличие Горячей линии и качество ее функционирования являются одним из критериев при оценке достоверности финансовой отчетности со стороны внешних аудиторов. Ниже –актуальные вопросы из традиционной анкеты аудиторов перед подтверждением финансовой отчетности публичной компании:

• Существует ли для сообщения о фактах (подозрениях) коррупции и недобросовестного или неэтичного поведения специальная процедура (например, "горячая линия")?• Проводятся ли по фактам нарушений (подозрениям), сообщаемых посредством "горячей линии", независимые расследования; доводятся ли результаты расследований до сведения соответствующего уровня руководства и (или) представителей собственников?

Правильно организованная Горячая линия позволяет своевременно выявить сигналы и принять необходимые меры по их урегулированию по таким рискам, как:• коррупционные риски,• риски мошенничества,• репутационные риски,• риски неэффективности системы внутреннего контроля (СВК) отдельных бизнес-процессов и компании в целом,• риски нарушений информационной безопасности, защиты конфиденциальных данных, инсайдерской информации, персональных данных,• риски, связанные с утечкой из компании талантов и квалифицированного персонала,• риски нарушения этических норм и правил, корпоративной культуры и др.

Возвращаясь к упомянутому в начале докладу Ричарда Чемберса OnRisk2020, хотел бы заметить, что проведенное им исследование об осведомленности (“knowledge”) трех различных

групп – совета директоров, менеджмента и руководителя внутреннего аудита – показало относительно невысокую осведомленность именно членов совета директоров по сравнению с менеджментом и внутренними аудиторами. Такая тенденция отмечается в упомянутом докладе для большинства рассматриваемых в исследовании рисков. Члены совета директоров проводят в 2 раза больше времени за изучением информации, получаемой от менеджмента компании, нежели получаемой ими из внешних источников. Соответственно, в силу своей недостаточной осведомленности о деталях, относящихся к рискам и риск-факторам, представители совета директоров нередко склонны переоценивать способность своих компаний противостоять этим рискам. Излишне говорить, насколько такое неведение со стороны совета директоров может негативно отразиться на способности компаний к непрерывности бизнеса и самой жизнеспособности компаний.

Информация, поступающая на Горячую линию и своевременно доводимая до акционеров, совета директоров, высшего руководства компании, повышает осведомленность всех задействованных в этих бизнес-процессах участников, а значит, и устойчивость компании к такого рода риск-факторам. «Кто предупрежден – тот вооружен!».

Надеемся, что наш опыт в организации и использовании Горячей линии совета директоров поможет коллегам из других компаний сделать этот инструмент более эффективным, приносящим ощутимую пользу совету директоров и акционерам, высшему исполнительному руководству компании в решении проблем, связанных с предотвращением мошенничества, коррупции и других противоправных действий.

Краткое послесловие: приведенные в настоящей статье примеры сообщений являются условными, имена, даты и другие детали сообщений, используемых в качестве примеров, также являются условными. Просим с пониманием к этому отнестись, поскольку мы не хотели ни малейшим образом поставить под сомнение или скомпрометировать принцип конфиденциальности, заложенный в основу работы Горячей линии совета директоров. Этот принцип хорошо известен внутренним аудиторам, т.к. входит в один из 4 главных принципов Кодекса этики Международного Института внутренних аудиторов (IIA).∞


ПРАКТИКА

73


31 декабря заканчивается прием заявок на участие в Национальной премии «Внутренний аудитор года»!

Процедура подачи заявок в номинации «Служба внутреннего аудита года» существенно упростилась!

Премия была учреждена Институтом внутренних аудиторов в 2013 году. Сейчас соорганизаторами Премии выступают РСПП и Московская биржа.

Как и ранее, Национальная премия вручается в трех номинациях: • Служба внутреннего аудита года• Руководитель службы внутреннего аудита года• Внутренний аудитор года

Участие бесплатное.

Церемония награждения победителей и лауреатов состоится в первый день Национальной конференции Института внутренних аудиторов «Внутренний аудит в России» 17 марта 2020 года в Москве.

По всем вопросам, касающимся участия в Премии, пожалуйста, обращайтесь к Елене Фроловой-Ивановой, тел.: (495) 748-05-32, [email protected]

mailto:[email protected]

74

Лица профессии

ЛИЦА ПРОФЕССИИ


Дмитрий БочаровДолжность: вице-президент по внутреннему контролю и аудитуКомпания: «Сегежа Групп» Волонтерская позиция: эксперт Института внутренних аудиторов, автор и ведущий тренингов и мастер-классов

Пришел в профессию по воле случая. В 23 года работал консультантом в Big4, и за споры с руководством был «сослан» на проект для внутреннего аудита «ТНК-ВР». Через пару месяцев перекупили. И слава богу! Именно в той компании и в той команде я сформировался как внутренний аудитор и консультант в одном флаконе.

Искренне верю, что внутренний аудитор – это не ревизор и не полицейский в кустах.

Внутренний аудит обладает уникальными возможностями. У нас есть необходимые знания, навыки, компетенции и видение, чтобы быть драйверами изменений в своих компаниях. Выбор за нами.

Мой главный помощник – команда. Ребятам важен и процесс, и результат. Их заводит возможность взять сложную задачу, препарировать её, понять причины недостатков и предложить решение. Приятно смотреть на них за работой.

Необходимо создавать комфортные условия для сотрудников. Для талантливого человека нужна правильная атмосфера, чтобы раскрыть и реализовать свой потенциал. Гибкий график, неформальное общение, возможность высказать свою точку зрения, даже парковочное место, когда оно не положено по грейду. Из таких мелочей складываются отношения.

Внутренний аудитор – безусловно творческая профессия. Методики, выборки, контрольные мероприятия, работа с «первичкой» и прочее – лишь инструменты.

«Не давайте гордыне овладеть вами» (высказывание академика и лауреата Нобелевской премии И.П. Павлова, Письмо к молодежи, 1935 год). Одна из любимых цитат, которая актуальна для профессии. Если менеджмент быстро согласился с вашими выводами, не дайте гордыне овладеть вами. Возможно, вы не туда смотрели и самое интересное не нашли.

Важен результат работы. И дело не в оценках комитета по аудиту или выполнении своих КПЭ. Речь о реальных изменениях. Когда благодаря идеям аудиторской команды снижаются затраты, внедряются инновации и новые технологии, растет капитализация бизнеса. Сразу возникает желание взяться за новые и более сложные вызовы.

Простой совет – пишите коротко. Если итоги аудита не умещаются на страницу, значит вы до конца не понимаете, что хотите донести до читателя.

Получаю удовольствие от общения с коллегами по профессии. В этом году получилось выступить на мероприятиях ИВА в Санкт-Петербурге и Самаре. Не смог сказать лично, поэтому пишу сейчас: коллеги, ваше желание двигаться вперед вызывает уважение. Спасибо за вовлеченность, дискуссию, огромное количество вопросов и неподдельный интерес.

Внутренний аудит – профессия будущего. Но только при условии, что мы будем на передовой и активно помогать бизнесу в решении конкретных задач.

75

ЛИЦА ПРОФЕССИИ


«Наша профессия – это постоянный вызов себе, своим навыкам и работоспособности»

Внутренний аудитор № 4 (8), 2019 76

Интервью с Артемом Сокольским, к.э.н., CIA, CRMA, MICA, менеджером по внутреннему аудиту, победителем Национальной премии «Внутренний аудитор года» 2018 г. в номинации «Внутренний аудитор года»

ИНТЕРВЬЮ

77

- Начнем с нашего традиционного вопроса: как Вы пришли во внутренний аудит?

- До своего перехода во внутренний аудит я работал в компаниях «большой четверки» в подразделениях аудита компаний ТЭК. В то время мне посчастливилось несколько раз принять участие в проектах по направлению «форензик», и именно тогда и появился интерес к внутреннему аудиту, который имеет широкий спектр задач и требует постоянного совершенствования навыков. С 2011 по 2017 гг. работал на должностях старшего внутреннего аудитора/ ведущего аудитора в АО «Каспийский Трубопроводный Консорциум-Р». Это была прекраснейшая школа для меня как теперь уже внутреннего аудитора: именно в КТК я смог проверять на практике получаемые знания, обмениваться опытом с коллегами из иностранной и российской компаний-акционеров. Отдельная благодарность моим наставникам, которые постоянно держали меня в тонусе и подогревали интерес к профессии, давали интересные, новые задания и поручения, ставили амбициозные задачи. В 2017 году я принял непростое решение о том, что надо двигаться дальше и приобретать новый опыт в качестве руководителя и одновременно исполнителя поставленных перед функцией внутреннего аудита задач, но уже в другой организации.

- Расскажите подробнее о своем образовании и сертификациях.

- На мой взгляд, образование и постоянное повышение квалификации очень важно в нашей профессии. Я получил высшее образование в Государственном университете Министерства финансов (в настоящее время – «Финансовый университет»), диплом с отличием. Далее последовала аспирантура: защитил диссертацию на соискание ученой степени кандидата экономических наук (специальность – 08.00.10 – «Финансы, денежное обращение и кредит»). К настоящему моменту завершил сертификации –CIA, CRMA, а также MICA (Master in Compliance Acts, Великобритания; специалист по обеспечению соответствия требованиям в области противодействия легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма).

- Почему Вы решили получить сертификации CIA и CRMA? Как они Вам помогли в развитии карьеры?

- Успешное прохождение сертификации существенно повышает гарантии для будущего работодателя (в случае внутреннего аудита – это собственники и высшее руководство), что внутренний аудитор обладает минимальным (базовым) набором профессиональных компетенций, имеет подтвержденный опыт работы в области внутреннего аудита, а также несет ответственность перед профессиональным сообществом за результаты своей работы. Все это стало для меня определяющими факторами при решении вопроса о прохождении непростого процесса сертификации. Что касается CIA, немаловажным моментом является то, что это единственная программа сертификации в области внутреннего аудита, признанная во всем мире. CRMA я получил для более глубокого понимания вопросов управления рисками и оценки результативности системы управления рисками. При поступлении на работу к нынешнему работодателю наличие CIA было одним из требований, на котором был сделан акцент представителями компаний-акционеров.


ИНТЕРВЬЮ

78

- Для внутреннего аудитора важно профессиональное развитие. Как Вы подходите к этому вопросу?

- Профессиональное развитие – ключевой элемент в работе внутреннего аудитора, его профессиональной пригодности. Я не сторонник позиции «на рабочем месте всему научится, зачем тратить время на сертификации и т.д.». Поэтому стараюсь сам ответить на вопрос, какие именно задачи/ мероприятия будут выполняться внутренним аудитором через 3-5 лет с учетом изменений в мировой экономике и превалирования отдельных сегментов, тенденций все большего распространения ИТ, роботизации процессов, наличия угроз в области обеспечения кибербезопасности и т.д. Обсуждаю с коллегами по профессии свои выводы, участвую во встречах и конференциях ИВА и таким образом формирую критерии поиска программ повышения квалификации/ сертификации. Далее определяю их сроки, финансовые затраты и необходимое на них время.

- Чем Вам нравится внутренний аудит? Чем он Вам близок?- Наша профессия – это постоянный вызов себе, своим навыкам и работоспособности. Внутренний аудит требует непрекращающегося расширения кругозора и кропотливой работы с возрастающим массивом информации.

- Что, на Ваш взгляд, помогает выстраивать хорошие, конструктивные отношения с высшим руководством компании – топ-менеджментом, советом директоров, комитетом по аудиту?

- Честность, умение слушать и задавать вопросы. На мой взгляд, общение в формате монолога непродуктивно, однако монологи иногда случаются. Полагаю, что внутреннему аудитору нужно начинать диалог с вопроса акционерам: «какие цели/ ожидания поставлены перед функцией?». И даже если ответ на него совсем короткий, диалог возможен. Честность важна, когда внутреннего аудитора нанимают для того, «чтобы был» или чтобы соответствовать требованиям о наличии внутреннего аудита. Это позволит сэкономить как на зарплате будущего работника, так и на времени всех участников процесса. При диалоге с топ-менеджментом применимы те же критерии: честность, умение слушать и задавать вопросы. Иногда представителям руководства полезно кратко рассказать о том, что такое внутренний

аудит, кому подчиняется внутренний аудитор,полномочиях, т.к. не редки ситуации амнезии или недопонимания. Честность важна, когда определяется объем работы внутреннего аудитора, сроки. В зависимости от количества работников, занятых в функции внутреннего аудита, нужно быть честным о сроках выполнения работы, детализации и помнить о предотвращении ситуаций конфликта интересов, если уже внутренний аудитор(-ы) выполнили тот или иной проект, то проверять/ оценивать его результаты будет не совсем корректным.

- Что надо делать, чтобы к тебе прислушивались и чтобы совет директоров/ комитет по аудиту применял рекомендации внутреннего аудита?

- Полагаю, что в данном вопросе важна исполнительность: поставлена задача – значит, нужно выполнить и кратко сообщить о полученных результатах. От внутреннего аудитора также могут ожидать и немного большего, например, его мнения о ситуации в целом, о том, какие перед компанией могут быть угрозы, или наиболее существенных рисках, на что нужно обратить внимание акционерам или какие решения нужно дополнительно рассмотреть. Полагаю, что внутренний аудитор должен сообщать (возможно, отразить лишь в пакете презентационных материалов) о профессиональных достижениях, полученных навыках, а также ежегодно осуществлять (организовывать) самооценку функции внутреннего аудита, не опасаться указывать на области, требующие дополнительной работы. Не всегда внутренний аудитор может и должен говорить только о достижениях, важно и то, как и когда он может сказать и об областях, несущих в себе риск или угрозу для организации. Очевидно, что любые оценки и суждения внутреннего аудитора должны быть достаточно обоснованы максимально объективными данными.

- Как выстраивать доверительное, открытое и конструктивное общение с аудируемыми?

- Если обстоятельства не требуют конфиденциальности, то лучше заранее уведомить об аудите, рассказать о его целях, о том, каким образом определялся круг лиц для интервью, что после проведения интервью будет сформирован запрос на предоставление информации. Важно объяснить, что недостатки/ несоответствия – не есть результат неудовлетворительной работы аудируемого (хотя и такое бывает), и что перед тем,


ИНТЕРВЬЮ

79

как информация появится в финальной версии отчета, будет проводиться ее совместное рассмотрение и обсуждение. Как правило, такой подход «из учебника» работает. Сложнее, если к аудитору уже сформировано определенное отношение (по разным причинам); в таких случаях методы могут различаться, а применение каждого из них требует творческого подхода, который определяется конкретной ситуацией. Точно могу сказать, что не стоит допускать лишних неожиданностей для аудируемого и стараться выбирать нейтральное место для первого интервью.

- Ваш совет: как выстроить эффективное управление всеми ресурсами ВА для гарантии того, что цели аудиторского задания, годовой план по аудиту и внеплановые задания будут выполнены?

- Ответ на данный вопрос приходит с опытом. Я сторонник «старой школы» и уже накопил определённую статистику по количеству часов, требуемых для выполнения типовых мероприятий, предусмотренных программой аудиторских проверок (заданий). Нестандартные мероприятия требуют дополнительной оценки ресурсоемкости, иногда приходится брать дополнительное время, но это, скорее, исключение из правил. Также я не сторонник стандартной продолжительности рабочего дня внутреннего аудитора, ведь это профессия, которую нужно любить, иначе надолго в ней остаться не сможешь. Годовой план по аудиту формирую, как правило, на основании предыдущих лет с точки зрения количества аудитов и проверок, также принимаю во внимание сложность рассматриваемых процессов, уровень их формализации, а также присущие им риски. Если система управления рисками прозрачна и имеет хороший уровень цифровизации, то план также будет понятен при его обсуждении с представителями руководства и акционеров. Если на результаты оценки рисков положиться нельзя, то процесс формирования плана усложняется, а сам план либо становится громоздким, либо результаты его выполнения могут быть поверхностными и бесполезными.Внеплановые задания, если касаются проверок или срочных консультаций представителей акционеров или линейного руководителя, – в приоритете; далее выполняются остальные мероприятия, которые запланированы, желательно, без нарушения графика. Я не раз приходил к выводу, что направления для оптимизации/ совершенствования мероприятий, предусмотренных программой

проверки, появляются именно в процессе работы в условиях цейтнота, когда задумываешься о необходимости применения программного обеспечения, либо написания макросов, необходимости более пристального внимания к вопросам мониторинга результатов функционирования проверяемого процесса и т.д.

- Еще один, уже ставший традиционным для наших интервью, вопрос: как Вы подходите к составлению аудиторского отчета? Кто является Вашим основным заказчиком?

- Мой основной заказчик – представители компаний-акционеров – я и учитываю их пожелания к предоставлению информации в отчете. Стараюсь в презентации кратко отразить наиболее существенные результаты работы. В приложениях отражена детальная информация по каждому рассмотренному вопросу. На отдельном слайде всегда содержится информация о полном перечне приложений, а в тесте приведены ссылки по каждому рассматриваемому вопросу. Не всегда получается использовать презентацию в качестве иллюстрации, поскольку бывают вопросы, которые требуется отразить на слайде с достаточно высоким уровнем детализации и предоставить комментарии. Продолжаю учиться навыкам подготовки презентаций…

- Как Вы относитесь к консалтинговой функции ВА?

- Поддерживаю ее при выполнении двух условий: заинтересованность высшего руководства и четкое определение роли внутреннего аудитора (как правило, координатор проекта; а если функция располагает достаточным количеством работников, то, возможно, участник). Однако вопрос полноценного участия рекомендуется рассматривать с учетом обеспечения независимости внутренних аудиторов и необходимости выполнения согласованных планов в установленные сроки.

Полагаю, что руководитель функции внутреннего аудита может стать хорошим советником генерального директора по вопросам внутреннего аудита, внутреннего контроля и управления рисками, а также построения системы обеспечения соответствия деятельности организации. При этом следует помнить о сохранении независимости и не становиться «адвокатом дьявола»… подобные случаи были известны практике.


ИНТЕРВЬЮ

80

- Применяются ли в вашей организации общепризнанные концепции при построении системы внутреннего контроля и управления рисками? Можете что-то сказать о COSO ERM?

- В нашей компании положение по управлению рисками учитывает основные положения COSO ERM, я бы сказал даже больше: фундамент процедурно-нормативного документа построен согласно приведенной концепции. По моему мнению, «Управление рисками организации: интеграция со стратегией и эффективностью деятельности» еще раз в структурированной форме позволяет осознать необходимость наличия функционирующей системы управления рисками и ее периодической оценки. В документе содержится детальная информация о компонентах и принципах управления рисками, акцентируется внимание на необходимости интеграции данного процесса с определением стратегии организации, успешная реализация которой формирует дополнительную стоимость и конкурентные преимущества, что безусловно важно в эпоху глобализации экономических процессов и обостряющейся конкуренции. И, конечно, особая благодарность Институту внутренних аудиторов за перевод COSO ERM на русский язык, что позволило значительно расширить аудиторию читателей, а это, в свою очередь, положительно влияет на процесс формирования единообразного понимания между участниками процесса управления организацией.

- Позволю себе задать щекотливый вопрос. На Ваш взгляд, как оставаться профессионалом от внутреннего аудита в полном смысле этого слова, когда акционерам/ владельцам бизнеса ВА нужен только «для галочки»?

- Главное в данном вопросе – это честность. Безусловно, на этапе собеседования об этом вряд ли будут говорить открыто или прозрачно намекать. Однако данный вопрос необходимо озвучить самому внутреннему аудитору, если он имеет основания так полагать. Поддержание профессионализма – это дело рук самого внутреннего аудитора. Помимо требований, установленных для сертифицированных специалистов, нужно постоянно оценивать перспективы самой профессии и вызовы, которые будут ей брошены в эпоху все большего распространения компьютерных технологий. Даже работая «для галочки», можно найти области, где внутренний аудитор может быть полезен, либо области, которые позволят аудитору поддерживать свой профессионализм.

- Каковы особенности работы внутренним аудитором в единственном лице, и что Вы можете посоветовать коллегам, карьерный вектор которых может завернуть на тропу «одиночества»?

- Это прекрасный тест вашего профессионализма, стойкости духа и уровня эмоциональной зрелости. Тест непростой, а иногда и не имеющий правильного ответа. Советы коллегам просты: следуйте профессиональным Стандартам внутреннего аудита, постарайтесь получить от представителей акционеров структурированную информацию о целях вашей деятельности и ожиданиях, выслушайте представителей руководства организации-работодателя и начинайте строить диалог с ними, предложив обсудить поставленные перед вами цели и пути их достижения, а также то, что вы могли бы предложить руководству самой организации. С учетом изменений в федеральном законодательстве в отношении внутреннего аудита в публичных акционерных обществах я уверен, что данный диалог будет построить легче.

- Вы уже дважды становились призером Национальной премии «Внутренний аудитор года» в номинации «Внутренний аудитор года»: первый раз Вы стали лауреатом в 2016 году, а по итогам 2018 года Вам присудили победу. Стоило ли это затраченных усилий?

- Не могу сказать, что требовались дополнительные старания и подготовка. Я просто выполнял свою работу, общей информацией о результатах выполнения которой было принято решение поделиться с профессиональным сообществом. Признание профессионального сообщества приятно, и я его высоко ценю. Также для меня это является и определенным «кредитом доверия», т.е. на протяжении всего своего карьерного пути в каждый момент времени я должен помнить о миссии и целях внутреннего аудитора, возложенном уровне ответственности, уделять пристальное внимание обеспечению соответствия требованиям профессиональных стандартов и качеству своей работы. Премия для меня также служит и вдохновением: ты приобретаешь дополнительные силы в совершенствовании знаний, навыков и получении новых квалификаций. ∞


ИНТЕРВЬЮ


Успейте приобрести COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM)!

Издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» можно приобрести в книжном интернет-магазине Totbook.

Подробнее об издании: на сайте ИВА

Спешите! Количество экземпляров ограничено!

COSO ERM

https://totbook.ru/catalog/345/1136970/

https://www.iia-ru.ru/inner_auditor/news/kontseptsiya-coso-upravlenie-riskami-organizatsii-integratsiya-so-strategiey-i-effektivnostyu-deyate/

82

Многие говорят, что внутреннему аудиту необходимо становится более гибким, приспособленным к быстро меняющейся бизнес-среде. Обычно такой аудит называют аджайл-аудитом. Давайте попытаемся разобраться, что же такое аджайл и как его можно применить к внутреннему аудиту.

Что такое аджайл?

Слово agile переводится с английского как гибкий, адаптивный, быстрый, верткий. В современном языке у этого слова появилось новое значение: общее название для гибких методологий разработки программного обеспечения. Аджайл-методологии пришли на смену традиционной методологии управления проектами – waterfall, или «водопаду».

Дело в том, что у «водопада» есть несколько серьезных недостатков. Первый: «водопад» плохо работает с изменениями. Представьте себе строительство здания. И на этапе возведения здания вы решили поменять проект – изменить размеры помещений. И даже если изменение незначительное, потребуется фактически пересматривать всю проектную документацию, сносить что-то из того, что уже построено, и т.д. В случае строительства такой подход к изменениям оправдан. Но в других проектах – правильно ли, если на запрос «добавьте здесь кнопку», нам отвечают: «Для этого нам надо пересмотреть весь проект»?


МНЕНИЕ

Аджайл-аудит

Алексей Коряков, CIA, ACCA, Prince 2, преподаватель Учебного центра Института внутренних аудиторов. Последние 4 года работал проектным менеджером. Внедрил первую в компании Х5 Retail Groupразработку по методикам аджайла.

83

Второй недостаток – для работы по «водопаду» необходимо в самом начале хорошо представлять себе конечный результат. Если это стандартное здание, то такой проблемы нет. Но если нужно создать что-то новое, то, чего раньше не было? А если при этом еще и меняется рынок и процессы, то «водопад» показывает не очень хорошие результаты.

В результате, в феврале 2001 года был выпущен Манифест аджайла (англ. Agile Manifesto), в котором были сформулированы его идеи и принципы. Сейчас аджайл как идеология включается в себя несколько методологий, таких как скрам (SCRUM), канбан, экстремальное программирование и другие.

Аджайл-методологии оказались очень эффективными. Проекты идут быстрее и успешнее. Так, методология «скрам» примерно в 4 раза эффективнее стандартного «водопада». Поэтому интерес к аджайлу оправдан.

Применим ли аджайл к внутреннему аудиту? Изначально Манифест касался разработки программного обеспечения. И ряд методологий применимы только к этой сфере. Но сами идеи, принципы и ряд методологий могут реализовываться и в других проектах. Так, компания Saab заявила, что разработала истребитель Saab JAS 39 E/F по методологии скрам.

Аудиторские проверки — это тоже проекты. Международные стандарты аудита, от 2000 до 2500, описывают, как выполнять проект методом водопада. Можно ли тогда внедрить аджайл-идеи или принципы во внутреннем аудите?

Основная проблема в том, что внедрить аджайл не так-то просто. Даже в ИТ-компаниях есть много примеров неправильного внедрения методологий аджайла. То есть, вроде все делают, как написано, а результата нет. Обычно это происходит, когда внедряют методологию, не понимая идей и принципов аджайла. Поэтому мы рассмотрим вначале основы идеологии аджайла и потом перейдем в конкретные техники.

Идеология аджайла

Идеология аджайла зафиксирована в Манифесте. Он достаточно короткий и состоит из 4 идей и 12 принципов. Полный текст цитировать не будем, поскольку его можно найти в Интернете.

Идеи сформулированы следующим образом: 1. люди и взаимодействие важнее процессов и инструментов;2. работающий продукт важнее исчерпывающей документации;3. сотрудничество с заказчиком важнее согласования условий контракта;4. готовность к изменениям важнее следования первоначальному плану.

В формулировке идей ключевым словом является «важнее». Это не значит, что аджайл отрицает вторую часть, аджайл не говорит, что документация не нужна. Суть в том, что, если есть выбор следовать документации или сделать рабочий продукт, то надо сделать рабочий продукт. Документацию можно будет сделать позже.

Ценность / полезность

И это приводит нас к тому, что для аджайла ключевым параметром является ценность того, что делает рабочая группа. Любые действия должны приносить пользу, повышать ценность продукта.

Возникает вопрос: а что такое ценность? Ценность не существует просто так – это то, что имеет значение для кого-то. В методологии скрам выделяется специальная роль – владелец продукта – он отвечает за определение того, что есть ценное для продукта, а что – нет. В идеале, должна быть какая-то конкретная метрика определения ценности, например, количество пользователей, доход от продукта или что-то подобное.

Внутренний аудит оставляет после себя несколько продуктов: рабочие бумаги, отчет аудита, оценка СВК, улучшение деятельности и т.п. Можно сюда причислить и отчет по результатам консалтингового поручения. Для каждого продукта можно и нужно ответить на следующие вопросы: 1. Для кого мы делаем этот продукт? 2. Как наши клиенты используют этот продукт?3. Что для них ценно в этом продукте?4. Есть ли какая-либо метрика, как мы можем померять эту ценность?5. Как мы можем изменить продукт, чтобы он приносил больше ценности?

Такой анализ (только он должен быть честным) может помочь существенно улучшить качество самого продукта и его полезность.


МНЕНИЕ

84

Взаимодействие

Другой важной частью аджайла является эффективная команда. Чтобы ее создать, необходимо наладить открытое, прозрачное и максимальное полное взаимодействие как внутри команды, так и между командой и заказчиками (клиентами) проекта.

Для этого во внутреннем аудите не должно быть информационных барьеров между командой и клиентами. Очень часто встречи проводятся в ограниченном составе. Например, в одном подразделении внутреннего аудита отчет согласовывали следующим образом: руководитель проекта и группа работали непосредственно на объекте, смотрели процесс, тестировали контроли. Далее руководитель группы обсуждал пункты отчета с рецензентом. И уже рецензент обсуждал (без кого-либо из команды) пункты отчета с директором проверяемой функции.

Представьте, сколько информации теряется при каждой передаче? Для всех очень важно понимать, в том числе личность директора, что он думает про пункты, как он видит процесс. И хотя схема нацелена на повышение качества, на самом деле, приводит к его потере.

Конечно, вопрос в том, как вести начинающего аудитора на встречу. И очень часто можно услышать: «Ну как я позову его на встречу? А если он ляпнет там чего-нибудь?».

Давайте подумаем. Да, действительно молодой сотрудник может сказать что-то не то. Но если не брать его на встречи, то как он научится разговаривать с директорами? По идее, внутренний аудитор должен быть независим и уметь отстаивать свою точку зрения перед начальством. Но если его не приучать разговаривать с начальством, как он сможет это сделать? И какова вероятность того, что он скажет «что-то не то»? Зато сколько полезной информации внутренний аудитор может уяснить на такой встрече.

Методология скрама говорит, что вся команда должна сидеть рядом. И в том числе рядом с клиентом (заказчиком). Это помогает быстро узнавать ответы на различные вопросы.

Самоуправление

Другим важным моментом для работы команды является самоуправление. Команда сама решает, как и что она будет делать. Это может выглядеть довольно странно: «Как так? Все сами будут решать, что делать? Они же так разберут все самые хорошие задачи, а все плохое никто делать не будет!». Или: «Должно существовать распределение, руководитель лучше понимает, кому куда надо развиваться» и так далее. Но команда сама эффективней решит, что и как делать. Если распределение задач прозрачно, а цели понятны, то команда сама понимает, как решения влияют на общую работу команды и как – на общий процесс. И что также важно – у аудиторов повышается вовлеченность. Все видят, как их решения приводят к общей цели, и это работает прекрасным мотиватором.

Особенности аудита

Внутренний аудит, безусловно, отличается от разработки программного обеспечения. Одно из отличий в том, что у внутреннего аудита обычно есть два заказчика, или два клиента. С одной стороны, внутренние аудиторы выполняют задание аудиторского комитета, например, по тестированию какого-либо процесса. С другой стороны, аудит должен быть полезным компании и помочь, в частности, директору функции/ подразделения.

Техники аджайла

Если рассматривать техники в аджайле, то можно обратиться к скраму. Скрам – одна из самых известных методологий в аджайл-семействе. Название происходит от спортивного термина: скрамом в регби называется схватка за мяч. Суть методологии проста. Задается интервал времени («спринт») – обычно это 1-4 недели, – в течение которого команда выполняет ограниченный ряд задач. После завершения спринта команда показывает результаты спринта заказчику, получает обратную связь и начинает следующий спринт. В результате, цикл планирования очень короткий, всегда можно откорректировать текущие задачи и так далее. Далее мы рассмотрим 2 техники, которые используются в скраме – это бэклог и канбан.


МНЕНИЕ

85

Бэклог

Это способ планирования. Бэклог – это просто список задач, которые нужно сделать. Все. Как работают с таким списком?1. Задачи в бэклог может добавлять только один человек. И это не разработчик. Это либо скрам-мастер, либо владелец продукта. 2. Задачи декомпозируются до элементарных. То есть, в бэклоге не будет задачи: «написать портал». Она обязательно будет разбита на конкретные, четкие задачи: «сделать логотип», «сформировать первую страницу» и т.д.3. Задачи в бэклоге проранжированы по важности. Первой идет самая важная задача, потом следующая по важности и т.д. Тем самым достигается то, что команда всегда делает только то, что нужно именно сейчас. 4. Задачи из бэклога переходят в работу. Это те задачи, которые исполняются на данный момент. Основное правило – в работу переходит то, что находится в начале списка – то есть самое важное. 5. Владелец продукта может переоценить важность задач в любой момент, до передачи задачи из бэклога в исполнение.

Бэклог может быть расписан на год вперед. Но из списка планируемых в статус реализуемых переводится то, что может принести наибольшую ценность сейчас.

Такое планирование позволяет всегда делать то, что нужно. Дело в том, что «любой план хорош до первого столкновения с реальностью». И никто не в силах сказать, что будет актуально через 3 месяца или через год. Здесь же мы не тратим силы на попытки предсказать, что будет актуально через полгода. Никто этого не знает. С помощью бэклога планирование гораздо эффективнее.

Как можно применять бэклог во внутреннем аудите? Во внутреннем аудите есть 2 уровня планирования: длительное (на год и на 3-5 лет) и краткосрочное (планирование заданий). Проблема составления вселенной аудита наталкивает на следующий парадокс:Аудиторская вселенная – это обещание аудита проверить заданный пул процессов за какое-то время. Обычно это 3-5 лет. Из этого пула каждый год, если следовать риск-ориентированному подходу будут выбираться всегда самые рискованные области. И в какой-то год наступит следующий парадокс:

1. согласно аудиторской вселенной, надо проверять непроверенные области, а именно – самые нерискованные. 2. запрос от менеджмента будет как всегда – идти на самые рискованные области.

Далее, что делать если в течении года риск-профиль поменялся? Необходимо пересматривать вселенную или годовой план?

Как здесь можно использовать бэклог? Все проверяемые процессы заносятся в бэклог. Им присваивается уровень риска. Каждый квартал руководитель ВА, аудиторский комитет и СЕО просматривают оценку риска и переносят процессы для проверки в категорию для исполнения. Также руководитель ВА может добавлять задания в течение квартала либо по согласованию с комитетом по аудиту, либо сам в определенных пределах.

Канбан

Канбан – это просто доска. Причем ее используют и как часть методологии скрам, так и в качестве отдельной методологии. Канбан используется для визуализации хода проекта. То есть, бросив взгляд на канбан становится понятно, где находится проект или работа. Самый простой канбан представляет собой доску с тремя частями: План, Выполнение, Сделано. И задачи передвигаются между частями в зависимости от их статуса. Во внутреннем аудите канбан можно применять при планировании проекта, годовом планировании и для наглядной демонстрации работы над процессами комитету по аудиту.


Безусловно, это не все идеи, принципы и методы работы аджайла. Аджайл из методологии разработки ПО уже превратился в эффективный инструмент работы над проектами в целом, в разных отраслях и профессиональных сферах. Можно ли применять идеи и методы аджайла во внутреннему аудите и нужно ли это делать? На мой взгляд, да. Какие именно методы и как применять –зависит уже от нас. Может быть, через пару лет у нас уже будет несколько разработанных и опробованных аджайл-методологий исключительно для проектов внутреннего аудита? ∞


МНЕНИЕ


ТЕОРИЯ

Кластерный анализ: способ формирования

экспертной выборки из больших совокупностей

учетной информации

Евгений Зверев, CIA

Андрей Никифоров, риск-менеджер

87

В работе внутреннего аудитора постоянно возникает необходимость анализа больших объемов числовой информации. Порой такая задача становится достаточно трудоёмкой или просто невыполнимой, в связи с чем актуальным является вопрос о выборе из всей совокупности небольшого, но достаточного объема данных для детальной проверки.

Автором подробно[1] описаны методы отбора элементов генеральной совокупности (далее – совокупности) с целью формирования обоснованной аудиторской выборки (далее –выборки [2]). Основное внимание в этой статье было уделено методам отбора элементов для статистически обоснованной аудиторской выборки, анализ элементов которой позволяет сделать достоверные выводы обо всей совокупности.

Описательная статистика и ее практические ограничения

Как известно, при формировании статистической выборки, применяются инструменты теории вероятности и математической статистики:• статистически случайный отбор элементов выборки, размерность которой определяется с помощью теории вероятности;• методы теории вероятности для оценки результатов выборки, включая количественное определение риска выборки и распространение его на совокупность.

Применение указанных выше инструментов позволяет аудитору построить репрезентативную выборку [3], которая с достоверностью (90%, 95%, 99%) опишет совокупность (см. рисунок 1).

Описательная статистика основывается на предположении о нормальном распределении элементов совокупности, т.е. набор данных, анализируемых аудитором, подчиняется закону Гаусса. Как известно, нормальное распределение – наиболее часто встречающийся вид распределения и модель теоретического распределения, наиболее часто применяемая в аудиторской практике.Однако, по мнению авторов, применение описательной статистики в практической деятельности внутреннего аудитора не всегда оправдано:

• не каждая совокупность элементов финансово-хозяйственной деятельности подчиняется нормальному распределению[4], и в этом случае выборка перестанет быть репрезентативной, а правило Стёрджеса[5] не будет обосновано формировать страты;• современные информационные технологии позволяют аудитору «работать» со всеми элементами совокупности.

……............................[1] Зверев Е. МСА 530 «Аудиторская выборка»: способы отбора элементов совокупности. // МСФО и МСА в кредитной организации. №3. 2018.[2] Аудиторская выборка (аудиторское выборочное исследование) определяется как применение аудиторских процедур к менее (значительно) чем к 100% единиц одного вида (например, сделок или статей баланса), но с возможностью обобщать их результаты на все единицы одного вида, из которых она была собрана.[3] Зверев Е. Атрибутивная выборка: формирование с учетом возможного мошенничества. // Внутренний контроль в кредитной организации. № 1. 2018.[4] Зверев Е., Никифоров А. Распределение Бенфорда: выявление нестандартных элементов в больших совокупностях финансовой информации // Внутренний контроль в кредитной организации. № 4. 2018. https://iia-ru.ru/inner_auditor/publications/articles/member_articles/raspredelenie-benforda-vyyavlenie-nestandartnykh-e/[5] Метод стратификации совокупности (правило Стёрджеса) основан именно на предположении о нормальности распределения её элементов.


ТЕОРИЯ

https://iia-ru.ru/inner_auditor/publications/articles/member_articles/raspredelenie-benforda-vyyavlenie-nestandartnykh-e/

88

Альтернативный способ формирования выборки

МСА 500 «Аудиторские доказательства» предусматривает, как один из способов сбора аудиторских доказательств, отбор конкретных объектов, и обычно это специфические (с нестандартным поведением) элементы совокупности. Эксперт отбирает элементы для тестирования, основываясь на своём опыте и профессиональном суждении. Выборку, формируемую подобным образом, будем называть экспертной. Если перед внутренним аудитором поставлена задача проверки эффективности контролей, то в выборке его интересует не ее репрезентативность, а экспертное мнение о присутствии в ней «черных» элементов, и поэтому экспертная выборка здесь более информативна (эксперт сосредотачивает внимание именно на них).

Для больших объемов данных, когда отбор элементов из совокупности на основе опыта и профессионального суждения эксперта становится затруднительным, авторы предлагают применить альтернативный способ формирования экспертной выборки.Она формируется из элементов совокупности с нестандартным поведением, выявляемых с помощью изменения коэффициента корреляции[1] или отклонения от теоретического распределения Бенфорда[2], причем эта выборка не будет репрезентативной (см. рисунок 2), однако вероятность наличия в ней «плохих» элементов выше, чем в статистически обоснованной.

……............................[1] Зверев Е., Никифоров А. Сравнение данных учетных систем: как выявить манипуляции с бухгалтерской отчетностью? // Внутренний контроль в кредитной организации. 2018. № 2.https://iia-ru.ru/inner_auditor/publications/articles/member_articles/sravnenie-dannykh-uchetnykh-sistem-kak-vyyavit-man/[2] Зверев Е., Никифоров А. Распределение Бенфорда: выявление нестандартных элементов в больших совокупностях финансовой информации. // Внутренний контроль в кредитной организации. № 4. 2018. https://iia-ru.ru/inner_auditor/publications/articles/member_articles/raspredelenie-benforda-vyyavlenie-nestandartnykh-e/


ТЕОРИЯ

Репрезентативная выборка -соотношение «плохих» и «хороших» элементов в выборке соответствует их соотношению в совокупности.

Совокупность

Описательнаястатистика

Рисунок 1. Репрезентативная выборка описывает совокупность и сохраняет ее параметры.

https://iia-ru.ru/inner_auditor/publications/articles/member_articles/sravnenie-dannykh-uchetnykh-sistem-kak-vyyavit-man/

https://iia-ru.ru/inner_auditor/publications/articles/member_articles/raspredelenie-benforda-vyyavlenie-nestandartnykh-e/

89

По сути, этот подход дает возможность совместить возможности современных ИТ и экспертный отбор, где профессиональное суждение заменяется величиной отклонения от некоторого теоретического критерия, что позволяет полностью автоматизировать формирование экспертной выборки.В этой статье авторы показывают возможность применения кластерного анализа в качестве критерия отбора «нестандартных» элементов совокупности.

Описание критерия отбора «нестандартных» элементов

Чтобы выявить наличие нестандартных элементов в совокупности финансово-экономической информации, необходимо разработать критерий.Его суть сводится к выделению случаев, когда элемент наибольшим образом отличается от обычных (стандартных) элементов для рассматриваемой совокупности. Метод, предлагаемый нами, относится к статистическим – это метод кластеризации[1] данных. ……............................[1] Здесь кластерный анализ (от англ. cluster — гроздь, скопление) – многомерная статистическая процедура, выполняющая сбор данных, содержащих информацию о выборке объектов, и затем упорядочивающая объекты в сравнительно однородные группы. Задача кластеризации относится к статистической обработке.


ТЕОРИЯ

Экспертнаявыборка

Совокупность

Альтернативный способ отбора

Рисунок 2. В экспертной выборке соотношение «плохих» (черных) и «хороших» (белых) элементов будет больше, чем в совокупности.

90

Этот метод проще воспринять некую как стратификацию[1] элементов совокупности. Как известно, стратификация представляет собой процесс «расслаивания» совокупности на сравнительно однородные совокупности (страты) таким образом, что каждый ее элемент может принадлежать только одной страте в зависимости от применяемых для этого критериев. «Расслаивание» на страты элементов совокупности может осуществляться с использованием формулы Стерджеса (по стоимостному признаку элемента совокупности) или по какому-то еще признаку, но стратификация всегда проводится только по одной изменяемой характеристике элемента.

Метод кластеризации обеспечивает стратификацию одновременно по нескольким изменяемым характеристикам, то есть анализирует поведение совокупности в разрезе ее элементов путем создания некоторой обобщающей модели.Это обеспечивает кластерам максимальное различие между собой по присущим им заданным характеристикам, что позволяет более точно кластеризовать элементы совокупности и выявлять неочевидные, объективные закономерности. В качестве характеристик поведения элементов можно выбрать остатки и движение объектов, сумм, оценок, величин в любой области деятельности, например сальдо на начало и окончание периода, оборот за этот период денежных средств или активов. При этом необходимо понимать, что выявить нестандартные (возможно, связанные с мошенничеством) элементы совокупности можно, только если они не похожи по своим характеристикам (своему поведению) на ее другие элементы.

Кластерный анализ позволяет из большой совокупности однородных данных выделить, одновременно по нескольким критериям, элементы с нетипичным поведением, причем из совокупности выделяются и объединяются в кластер объекты, которые с одной стороны максимально отличаются от прочих, а с другой — (внутри кластера) максимально схожи. Выделение кластеров тем более продуктивно, чем больше[2] независимых параметров для кластеризации будет применено.

……............................[1] Достаточно подробно о стратификации написано в статье: Зверев Е. МСА 530 «Аудиторская выборка»: способы отбора элементов совокупности // МСФО и МСА в кредитной организации. 2018. № 3.

Методология применения кластерного анализа в качестве критерия нестандартности

Кластерный анализ для целей контроля выполняется в такой последовательности:1) отбор объектов для кластеризации;2) определение множеств признаков для формирования кластеров;3) нормализация данных;4) выбор алгоритма и проведение кластерного анализа;5) интерпретация результатов.

Существует более ста алгоритмов кластерного анализа. В статье[3] авторы весьма подробно описали один из алгоритмов — так называемый метод g-means. В итоге формируются кластеры, количество которых обеспечивает нормальность распределения значений параметров в каждом отдельном кластере. Данный подход методологически соответствует предположению, что отклонение от нормального распределения может быть связано с нетипичным поведением.

Применения кластерного анализа в качестве критерия нестандартности

Пример 1.Рассмотрим результат проведения кластерного анализа на примере реальных данных о движении товарно-материальных ценностей (ТМЦ) за период более двух лет (в случае анализа движения имущественных активов рекомендуется рассматривать остатки, приход и расход в суммовом выражении).

……............................[2] Однако необходимо иметь в виду, что наилучшее разделение кластеров возникает при выборе параметров, которые достаточно сильно отличаются для разных объектов. При увеличении количества параметров, не имеющих отличия среди объектов, границы между кластерами будут менее явные.

[3] Зверев Е., Никифоров А. Кластерный анализ: формирование индикатора риска для больших совокупностей учетной информации. // Внутренний контроль в кредитной организации. №3. 2018.https://iia-ru.ru/inner_auditor/publications/articles/member_articles/klasternyy-analiz-formirovanie-indikatora-riska-dl/


ТЕОРИЯ

https://iia-ru.ru/inner_auditor/publications/articles/member_articles/klasternyy-analiz-formirovanie-indikatora-riska-dl/

91

Совокупность данных составляет 6 932 номенклатурные единицы, она была кластеризована указанным выше методом в 194 кластера (см. рисунок 3).


ТЕОРИЯ

Рисунок 3. Результат кластеризации движения ТМЦ

-5

0

5

10

15

20

25

30

Сальдо на начало Оборот, дебет Оборот, кредит Сальдо на конец

Ряд1 Ряд2 Ряд3Ряд4 Ряд5 Ряд6Ряд7 Ряд8 Ряд9Ряд10 Ряд11 Ряд12Ряд13 Ряд14 Ряд15Ряд16 Ряд17 Ряд18Ряд19 Ряд20 Ряд21Ряд22 Ряд23 Ряд24Ряд25 Ряд26 Ряд27Ряд28 Ряд29 Ряд30Ряд31 Ряд32 Ряд33Ряд34 Ряд35 Ряд36Ряд37 Ряд38 Ряд39Ряд40 Ряд41 Ряд42Ряд43 Ряд44 Ряд45Ряд46 Ряд47 Ряд48Ряд49 Ряд50 Ряд51Ряд52 Ряд53 Ряд54Ряд55 Ряд56 Ряд57Ряд58 Ряд59 Ряд60Ряд61 Ряд62 Ряд63Ряд64 Ряд65 Ряд66Ряд67 Ряд68 Ряд69Ряд70 Ряд71 Ряд72Ряд73 Ряд74 Ряд75Ряд76 Ряд77 Ряд78Ряд79 Ряд80 Ряд81Ряд82 Ряд83 Ряд84

Потенциальный интерес для внутреннего аудитора будут представлять кластеры с относительно небольшим количеством позиций, но выделяющиеся нетипичным поведением, выпадающим из общих тенденций, свойственных всей рассматриваемой совокупности объектов. Интерес представляют кластеры, поведение которых представлено нижеперечисленными рядами (см. рисунок 4), всего 64 элемента (напомним, что в совокупности содержится 6 932 номенклатурные единицы).Вообще, на основании рисунка 3 и личном опыте авторов можно утверждать, что нестандартным поведением обладают не более 1-2 десятка кластеров, на которые и имеет смысл обратить свое внимание внутреннему аудитору, учитывая при этом их стоимостную составляющую.

92

При выборе признаков (параметров) объекта анализа необходимо учитывать предположение внутреннего аудитора о том, какой вид нарушения (риска) предполагается обнаружить.

При интерпретации результатов следует учитывать, что в большинстве случаев кластерный анализ не выявляет нарушение (риск) в «чистом» виде, но позволяет сконцентрировать внимание внутреннего аудитора на небольшой выборке (кластере), причем ее элементы будут заметно отличаться от элементов остальных кластеров.Различные кластеры имеют поведенческую схожесть (например, ряд 4 и ряд 5, ряд 1 и ряд 6), но на разном стоимостном уровне, что объясняется потребностью в различных ТМЦ при неизменности процесса производства.


ТЕОРИЯ

Рисунок 4. Кластеры (ТМЦ) с нетипичным поведением

93

Таблица 1. Описание кластеров ТМЦ

Пример № 2.Рассмотрим результат проведения кластерного анализа на примере характеристик расходных договоров, т.е. договоров, на основании которых предприятие приобретает все необходимое для производственной деятельности. Период анализируемой деятельности – полтора года, количество анализируемых договоров – 2 632 единицы. Количество характеристик к договорам, заключенным с применением ERP/SRM-систем достаточно большой, и отбор действительно значимых становится непростой задачей. Кроме того, дополнительные соглашения (далее – Д.С.), являющиеся неотъемлемой частью договоров, еще более усложняют анализируемую совокупность. Авторы использовали следующие параметры для проведения кластерного анализа:

Таблица 2. Параметры кластеризации совокупности договоров

Рекомендации по применению метода

1) Применение метода полезно в тех случаях, когда из большой совокупности данных необходимо сделать выборку, содержащую признаки нестандартного поведения.2) Метод не ограничен рамками априорных предположений о структуре выборки и виде распределений значений анализируемых показателей.3) Результаты (элементы, распределенные по кластерам) применения метода необходимо анализировать именно внутреннему аудитору, поскольку метод является не более чем индикатором риска, и необходима профессиональная интерпретация результата.Для этого нужен более детальный анализ, в котором возрастающее значение будет иметь профессиональное суждение контролера.4) Метод будет эффективнее, если выбирать возможно большее количество параметров/ элементов генеральной совокупности и в суммовом, и в количественном выражении. Увеличение количества кластеров позволяет точнее выявлять неочевидные закономерности.5) Количество кластеров зависит от количества параметров кластеризации, но эта зависимость не жесткая. Внутренний аудитор должен установить оптимальное количество кластеров, анализ которых будет понятен.


ТЕОРИЯ

Ряд Характеристика

1Конечное сальдо кластера самое

значительное из всех.

3Полное использование ТМЦ из этого

кластера без восполнения запаса.

4 Дорогостоящее оборудование.

5Значительное поступление и полное

списание.

6Движение материалов, приход равен

расходу.

28

Полное использование ТМЦ из этого

кластера без восполнения запаса, похоже на

ряд №3

4

Сумма исполненных

обязательств по

договору

Итог исполнения

договора

5

Окончательная сумма

исполненных

обязательств по

договору

С учетом всех Д.С. к

договору

6

Начальная

максимальная цена

(далее – НМЦ)

конкурентных

процедур

Предлагаемая

максимальная цена на

начало тендера

7Наличие доп.

соглашений у договора

Рабочая

характеристика

№

Наименование

параметра

кластеризации

Характеристика

1 Цена договораИтог проведенного

тендера

2Окончательная цена

договора

С учетом всех Д.С. к

договору

3 Сумма аванса договораИтог проведенного

тендера

94

6) Для кластерного анализа рекомендуется выбирать однородные объекты с одинаковым набором параметров. Важно не «смешивать» разнородные объекты/операции, для которых заранее понятно, что они попадут в разные кластеры.7) Кластерный анализ очень чувствителен к качеству данных, поэтому надо очень ответственно подходить к процессу их подготовки. Совокупность должна быть проверена на предмет применяемых форматов цифр, полное отсутствие каких-либо текстовых записей или прочерков в ячейках (их нужно оцифровать в соответствии с логикой совокупности). Договора должны быть проанализированы на предмет изменений, вносимых в них Д.С., а изменения учтены в соответствующих ячейках.


Кластерный анализ предназначен для разбиения совокупности элементов на однородные группы (кластеры или страты), можно сказать, что это многомерная стратификация данных. Внутренний аудитор, получив методом кластеризации выборки из общей совокупности и зная, что поведение элементов внутри схоже на уровне установленной доверительной вероятности, может значительно минимизировать количество элементов для детального тестирования, тем самым снизив трудоемкость проверки.

Авторы применили его для целей внутреннего аудита, поставив перед собой задачу сделать процедуры контроля более эффективными, более результативными, более оперативными за счет получения возможности целенаправленного анализа нестандартных элементов совокупности. ∞


ТЕОРИЯ

Рисунок 3. Результат кластеризации движения ТМЦ

-5,000

0,000

5,000

10,000

15,000

20,000

25,000

30,000

35,000

40,000

45,000

Ряд1 Ряд2 Ряд3Ряд4 Ряд5 Ряд6Ряд7 Ряд8 Ряд9Ряд10 Ряд11 Ряд12Ряд13 Ряд14 Ряд15Ряд16 Ряд17 Ряд18Ряд19 Ряд20 Ряд21Ряд22 Ряд23 Ряд24Ряд25 Ряд26 Ряд27Ряд28 Ряд29 Ряд30Ряд31 Ряд32 Ряд33Ряд34 Ряд35 Ряд36Ряд37 Ряд38 Ряд39Ряд40 Ряд41 Ряд42Ряд43 Ряд44 Ряд45Ряд46 Ряд47 Ряд48Ряд49 Ряд50 Ряд51Ряд52 Ряд53 Ряд54Ряд55 Ряд56 Ряд57Ряд58 Ряд59 Ряд60Ряд61 Ряд62 Ряд63Ряд64 Ряд65 Ряд66Ряд67 Ряд68 Ряд69Ряд70 Ряд71 Ряд72Ряд73 Ряд74 Ряд75Ряд76 Ряд77 Ряд78Ряд79 Ряд80 Ряд81Ряд82 Ряд83 Ряд84

Рисунок 3. Результат кластеризации договоров

95

Внутренний аудитор, помогая организации в достижении поставленных целей, использует разнообразный арсенал. Зачастую, выявляя и документируя отклонения/ нарушения в деятельности организации, он фактически запускает механизм привлечения к дисциплинарной ответственности конкретных работников.Рассмотрим два аспекта, имеющие практическое значение: ряд общих концептуальных вопросов; проблемы привлечения к дисциплинарной ответственности по результатам аудита, связанные как с особенностями правового регулирования внутреннего аудита, так и судебной практики.

С точки зрения права, дисциплинарный проступок относится к правонарушениям. Любое правонарушение, с одной стороны, имеет состав, наличие и доказанность которого напрямую влияет на возможность привлечения к ответственности за его совершение, с другой стороны, вид правонарушения (по степени общественной опасности) позволяет корректно определить сроки давности привлечения к ответственности. Сказанное очерчивает круг основных функциональных задач внутреннего аудитора.*

В ст. 192 ТК РФ под дисциплинарным проступком понимается неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей. Внутренний аудитор формирует доказательства наличия совокупности всех поименованных признаков состава дисциплинарного проступка, а именно:

……............................*Если указанная деятельность по правилам компании не выделена в отдельную функцию.


ТЕОРИЯ

Отдельные вопросы привлечения к дисциплинарной ответственности по результатам

внутренних аудиторских проверок

Андрей Васильев, к.ю.н., заместитель главного контролера АО «Концерн Росэнергоатом»


ТЕОРИЯ

Элемент состава Содержание Подтверждение наличия

Объект(то, на что направлено правонарушение)

- внутренний трудовой распорядок;- трудовая дисциплина (финансовая, производственно-технологическая, общехозяйственная и т.д.);- установленные нормы труда;- требования по охране труда и обеспечению безопасности труда;- имущество работодателя.

Факт подтверждения посягательства на объект практически неотделим от описания объективной стороны, поэтому подтверждается при ее описании, а также путем указания ссылок на конкретные законодательные требования, локальные нормативные акты (далее –ЛНА) (пункты/ статьи) и проч.

Объективная сторона –внешнее проявление(действие/ бездействие, вредные последствия, время, место)

Юридически значимые действия/ бездействия по неисполнению или ненадлежащему исполнению трудовых обязанностей (нарушение требований законодательства, обязательств по трудовому договору, ПВТР, должностных инструкций, положений, приказов работодателя, технических правил и т.п.*).Объективная сторона состава дисциплинарного проступка законодателем ограничена деянием (действием/ бездействием) и для привлечения к ответственности его достаточно, при этом фактическое наступление последствий либо реальный, прогнозируемый риск наступления негативных последствий влияет на определение тяжести проступка и, соответственно, выбор конкретного дисциплинарного взыскания.

- Документы- Записи в информационных системах- Фото-, видео-, аудиофиксация- Результаты натурных осмотров- Любые иные доступные, верифицируемые источники информации.Важно отметить, что деяние должно быть связано с трудовыми обязанностями. В одном из судебных решений содержится яркий пример: «Некорректное поведение в отношениях с сотрудниками, проведение религиозных обрядов в здании компании, хранение оружия в сейфе по месту работы не относятся к нарушениям, связанным с неисполнением либо ненадлежащим исполнением трудовых обязанностей, в связи с чем не могут быть учтены как нарушения, влекущие применение дисциплинарного взыскания»**.

Субъективная сторона –внутреннее психическое отношение к содеянному (в различных сочетаниях: осознание опасности деяния, предвидение негативных последствий, желание их наступления).

Вина. ТК РФ не конкретизирует вид и форму вины (как, например, УК РФ) и, по сложившейся судебной практике, для наличия дисциплинарного проступка признается достаточной любая форма виновного поведения (умысел и неосторожность).

Психическое отношение работника к совершенному проступку устанавливается путем получения пояснений, объяснений как у него самого, так и у других участников соответствующего процесса. Суды зачастую оперируют понятием сознательность действий, признавая достаточным/ отождествляя осознание и вину.***

……............................*п. 35 Постановление Пленума Верховного Суда РФ от 17.03.2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации» / ИПС «Гарант» **Кассационное определение СК по гражданским делам Хабаровского краевого суда от 17.08.2011 по делу № 33-

5757/2011 / ИПС «Гарант»***Например, Апелляционное определение Свердловского областного суда от 25.10.2017 по делу № 33-18055/2017 /

ИПС «Гарант»

97

Предложенное описание и документирование в логике состава дисциплинарного проступка имеет сугубо практическое значение, так как структурирование в данной логике позволит аудитору решить комплекс прикладных задач: формулирование объекта чаще всего описывает тяжесть совершенного проступка, для обоснования тяжести также служат негативные последствия (несмотря на то, что они не входят в юридически значимый состав дисциплинарного проступка) – их наличие/ риск наступления. Оценка наличия признаков субъекта позволяет как избежать необоснованного привлечения к ответственности конкретного работника, так и обнаружить пробелы/ недостатки контролей при допуске работников, надлежащем ознакомлении их с трудовой функцией и т.д.

Вышеуказанное достаточно просто можно оформить в виде стандартного описания либо чек-листа.

Достаточно часто в деятельности организаций, включая службы внутреннего аудита, некорректно трактуется день обнаружения проступка. Важно учитывать, что согласно разъяснениям, содержащимся в п. 34 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2* днем обнаружения проступка, с которого начинается течение месячного

……............................*О применении судами Российской Федерации Трудового кодекса Российской Федерации. В ред. от 28.09.2010


ТЕОРИЯ

Элемент состава Содержание Подтверждение наличия

Субъект Работник, допущенный с ведома работодателя к труду. С точки зрения субъекта дисциплинарного проступка работник должен быть надлежащим образом проинформирован о характере, содержании и объеме трудовых обязанностей, неисполнение/ ненадлежащее исполнение которых ему ставится в вину.

- Наличие оформленных трудовых отношений/ сложившихся в силу фактического допущения к труду (ст. 16 ТК РФ).- Подтверждение ознакомления с должностной инструкцией. В случае, если работник не ознакомлен с должностной инструкцией, документами, регламентирующими порядок выполнения им трудовой функции (правила, порядки, регламенты, технологические карты), а также если работодатель назначил на должность при отсутствии надлежащего образования, соответствующих допусков, регламентированного опыта работы, возможности признания такого работника надлежащим субъектом дисциплинарного проступка и, соответственно, наложение на него дисциплинарного взыскания существенно ограничиваются.

98

срока, считается день, когда лицу, которому по работе (службе) подчинен работник, стало известно о совершении проступка, независимо от того, наделено ли оно правом наложения дисциплинарных взысканий.

Суды не всегда относят контрольные мероприятия, проводимые внутренним аудитом, к проверкам финансово-хозяйственной деятельности или аудиторским проверкам в понимании ТК РФ.

При этом указанный вопрос имеет принципиальное значение, т.к. согласно ч. 4 ст. 193 ТК РФ, по общему правилу, дисциплинарное взыскание не может быть применено позднее шести месяцев со дня совершения проступка, а по результатам ревизии, проверки финансово-хозяйственной деятельности или аудиторской проверки – позднее двух лет со дня его совершения.

На нормативном уровне порядок проведения проверок финансово-хозяйственной деятельности и/ или аудиторских проверок применительно к внутренним аудиторам не определен.

Согласно п. 3 ст. 1 Федерального закона от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности» (далее – Закона об аудиторской деятельности), аудит – независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. Деятельность по проведению аудита, а также конкретные требования к оформлению и содержанию аудиторского заключения также определены в Законе об аудиторской деятельности. В частности, согласно ст.6 Закона об аудиторской деятельности аудиторское заключение – официальный документ, предназначенный для пользователей бухгалтерской (финансовой) отчетности аудируемых лиц, содержащий выраженное в установленной форме мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности аудируемого лица. Подробно определено и содержание аудиторского заключения.

При этом деятельность внутренних аудиторов не регламентирована указанным законом, что ограничивает применение напрямую его

понятийного аппарата в отношении служб внутреннего аудита.

Для акционерных обществ порядок проведения проверок финансово-хозяйственной деятельности установлен главой 12 «Контроль за финансово-хозяйственной деятельностью общества» Федерального закона от 26.12.1995 № 208-ФЗ «Об акционерных обществах» (далее – Закон об АО).В соответствии с ч. 1 ст. 85 Закона об АО для осуществления контроля за финансово-хозяйственной деятельностью непубличного общества в таком обществе создается ревизионная комиссия, за исключением случая, если уставом непубличного общества предусмотрено ее отсутствие.

Согласно п. 3 ст. 85 Закона об АО проверка (ревизия) финансово-хозяйственной деятельности общества осуществляется по итогам деятельности общества за год, а также во всякое время по инициативе ревизионной комиссии общества, решению общего собрания акционеров, совета директоров (наблюдательного совета) общества или по требованию акционера (акционеров) общества, владеющего в совокупности не менее чем 10% голосующих акций общества.

В силу п. 5 ст. 67.1 ГК РФ, ст. 88 Закона об АО, ст. 5 Закона об аудиторской деятельности, акционерное общество для проверки и подтверждения правильности годовой бухгалтерской (финансовой) отчетности должно ежегодно привлекать аудитора, не связанного имущественными интересами с обществом или его участниками.

В соответствии со ст. 87 Закона об АО по итогам проверки финансово-хозяйственной деятельности общества ревизионная комиссия или аудитор составляет заключение.

Напрямую о статусе проверок, проводимых внутренним аудитом, также указания отсутствуют. Вместе с тем, приведенные нормы законов не исключают проведение аудиторских проверок и проверок финансово-хозяйственной деятельности органами внутреннего аудита организации.При таких обстоятельствах основой правового регулирования и определения статуса контрольных мероприятий/ их результатов и в целом статуса внутреннего аудита становятся Профессиональные стандарты и локальные-нормативные акты хозяйствующих субъектов.


ТЕОРИЯ

99

Согласно Профессиональным стандартам* внутренний аудит наделен правом проведения внутренних аудиторских проверок.

Одновременно в компании должны быть приняты ЛНА, предусматривающие осуществление внутренним аудитом проверок и внутренних аудитов, в т.ч. по вопросам финансово-хозяйственной деятельности, соблюдения установленного порядка ведения бухгалтерского учета и составления бухгалтерской отчетности, эффективности использования имущества и иных ресурсов, эффективности системы управления рисками, эффективности системы внутреннего контроля финансовой отчетности, в области формирования и исполнения бюджета и другим вопросам в зависимости от специфики компании.

При наличии таких ЛНА контрольные мероприятия внутреннего аудита приобретают соответствующий статус проверок финансово-хозяйственной деятельности в трактовке ст. 193 ТК РФ.

При рассмотрении дел о привлечении к дисциплинарной ответственности работников по результатам внутренних аудитов в случае истечения 6 месяцев после совершения проступка суды признают контрольные мероприятия проверками финансово-хозяйственной деятельности при наличии совокупности атрибутов.

Например, за нарушения, допущенные в 2013-2014гг. суд подтвердил законность наложения дисциплинарного взыскания на работника на основании результатов аудиторской проверки, проведенной отделом внутреннего аудита 13.11.2015. В качестве подтверждения распространения на аудит положений ст. 193 ТК РФ суд указал на то, что в соответствии с аудиторским заданием и планом работы отдела внутреннего аудита на 2015 г. проведена аудиторская проверка финансово-хозяйственной деятельности, оформлен Отчет о результатах внутренней аудиторской проверки финансово-хозяйственной деятельности.** Аналогичная позиция суда: увольнение работника не позднее двух лет с момента совершения проступка признано обоснованным; мотивировка

……............................*Приказ Минтруда России от 24.06.2015 № 398н «Об утверждении профессионального стандарта «Внутренний аудитор»**Решение Новоуренгойского городского суда Ямало-Ненецкого автономного округа от 15.06.2016 по делу № 2-1968/2016 / ИПС Консультант-Плюс

была следующей: Департамент внутреннего аудита «по сути провел проверку финансово-хозяйственной деятельности», в служебной записке директор ДВА указал о проведении проверки финансово-хозяйственной деятельности и рекомендовал создать комиссию и инициировать проведение служебного расследования. По результатам служебного расследования, основанного на фактах проверки ДВА, работник уволен 05.05.2017 за проступок, совершенный 22.03.2016. Датой обнаружения проступка суд посчитал дату утверждения отчета комиссии по служебному расследованию (10.04.2017).*

Судебные органы также при определенных обстоятельствах относят ревизии подразделений внутреннего контроля и аудита к проверкам финансово-хозяйственной деятельности и признают законным наложение дисциплинарных взысканий в течение двухлетнего срока с даты совершения проступка по их результатам.**

Признание проверок внутреннего аудита, не подпадающими под действие ст. 193 ТК РФ, происходило чаще всего, когда в наименовании проверки, отчетных документах отсутствуют слова «проверка финансово-хозяйственной деятельности», отсутствовали ссылки на ЛНА компаний о наличии задач и полномочий служб внутреннего аудита по проведению таковых проверок. Поэтому, во избежание проблем по доказыванию соответствующего статуса контрольных мероприятий в суде, рекомендуется в ЛНА компании по организации и проведению проверок службами внутреннего аудита, наименованиях самих проверок, актах и отчетах о них обеспечить терминологическое единство с указанными нормами ТК РФ. ∞

……............................*Апелляционное определение Свердловского областного суда от 25.10.2017 по делу № 33-18055/2017, Апелляционное определение Оренбургского областного суда от 25.12.2012 по делу № 33-7783/2012, Апелляционном определении Свердловского областного суда от 25.04.2018 по делу № 33-7612/2018 / ИПС «Гарант»**Апелляционное определение Курского областного суда по делу № 33-3005/2013 / ИПС Консультант Плюс


ТЕОРИЯ


ТЕОРИЯ

Коррупция во внутреннем аудите

Сухроб Курбонов, директор департамента внутреннего аудита ЗАО "Альфа-Банк" (Беларусь)

Меняющаяся бизнес-среда диктует новые условия и новые парадигмы жизни и деятельности людей. Желание определенной части получить больше благ, руководствуясь принципом "быстро и наименее затратно", становится одним из вызовов и угроз современного корпоративного мира. И для достижения своих целей эта категория вырабатывает различные конструкции по использования занимаемой должности.

Внутренние аудиторы как часть деловой экосистемы не ограждены от риска быть вовлеченными в корыстное использование своего положения. Значительная часть профессионального сообщества придерживается позиции: внутренние аудиторы – это эталонные, с безупречной этикой и ценностями люди, которые, придя в эту профессию, никак и никогда не могут быть подвержены коррупции/коррупционным рискам, а наоборот, работают над ее/ их искоренением. Отчасти это соответствует действительности в силу различных причин: отбор во внутренний аудит во многих компаниях и финансовых организациях более

ТЕОРИЯ

101

серьезный и строгий, чем отбор в иные подразделения; функционал внутренних аудиторов напрямую не касается операционной деятельности компаний; система установленных ключевых показателей эффективности для аудиторов и система их мониторинга на уровне аудиторского комитета, наблюдательного совета также минимизируют риск коррупции. Если в вышеперечисленные митигирующие инструменты добавить еще предварительный, текущий и последующий контроль деятельности аудиторов в ходе работы над аудиторскими заданиями, то комментарии профессионального сообщества о неподверженности внутренних аудиторов коррупции принимают завершенный вид и являются логичными. При этом, как мы знаем, никогда нельзя предоставлять абсолютную гарантию, как минимум потому, что внутренний аудитор – это тоже человек, и ему не чужды человеческие соблазны.

Концептуально раскрытие темы коррупции во внутреннем аудите усложняется тем, что публичные исследования по данной теме по сути отсутствуют, как следствие, предоставить статистическую и иного характера информацию по коррупции во внутреннем аудите не представляется возможным.

Ввиду этого, будет сделана попытка раскрыть данную тему через другую призму (посредством выстраивания логической цепочки подверженности коррупции: страна – отрасль/ компания –внутренний аудит). Безусловно, используемый подход не является единственно правильным, и такой путь раскрытия темы дискуссионен.

Итак, первый уровень, который мы рассмотрим –страновой (ввиду того, что данная статья публикуется в российском журнале, в качестве макроуровня выбрана РФ). В макрокомпоненте глобальными исследованиями, показывающими уровень коррупции в той или иной стране, являются данные Transparency International (TI) – «Индекс восприятия коррупции 2018»* (см. Рисунок №1) и Risk Advisory (RA) – «Индекс коррупционных проблем 2018»**. В соответствии с этими исследованиями, РФ является страной с достаточно высокими коррупционными рисками.

……............................* https://transparency.org.ru/research/indeks-vospriyatiya-korruptsii/rossiya-v-indekse-vospriyatiya-korruptsii-2018-28-ballov-iz-100-i-138-mesto.html

**https://www.riskadvisory.com/campaigns/corruption-challenges-index-2019/


ТЕОРИЯ

Рисунок №1

https://transparency.org.ru/research/indeks-vospriyatiya-korruptsii/rossiya-v-indekse-vospriyatiya-korruptsii-2018-28-ballov-iz-100-i-138-mesto.html

https://www.riskadvisory.com/campaigns/corruption-challenges-index-2019/

102

К примеру, по данным Transparency International, Россия из года в год ухудшает свои позиции: 2016 – 131 место; 2017 – 135; 2018 – 138, к слову, в 2018 году аналогичное с Россией 138 место занимала также Папуа-Новая Гвинея. Что касается исследования Risk Advisory (рисунок №2), то и в соответствии с ним Россия остается страной, где имеются достаточно высокая коррупционная угроза и недостатки в части прозрачности работы с коррупцией (Risk advisory не указывает место страны – дается цветовая индикация, как следствие, четко определить место или использовать точные формулировки затруднительно). Таким образом, два масштабных исследования (TI и RA) показывают не очень позитивную картину на уровне страны. Вопрос, политизированы ли результаты указанных исследований оставляем открытым...

Вызывают определенный интерес результаты исследования Всемирного Банка по «Ведению бизнеса»*. Россия, по данным этого исследования, за последние несколько лет год от года улучшает свои показатели: 2016 – 40 место; 2017 – 35; 2018 – 31; 2019 – 28 место. Т.е., по логике, тренд должен быть однонаправленным (высокий уровень коррупции в стране должен стать фактором усложнения ведения бизнеса, а не улучшения, но по факту, тренд разнонаправленный, что сигнализирует о том, что есть вопросы). ……............................* https://www.doingbusiness.org/en/doingbusiness


ТЕОРИЯ

Рисунок №2

https://www.doingbusiness.org/en/doingbusiness

103

Финализируя этот уровень, можно отметить, что РФ на макроуровне (по данным проанализированных исследований) имеет показатели (по коррупции), требующие улучшения, и, как минимум, эту информацию необходимо учитыватьруководителям подразделений внутреннего аудита.

Второй уровень – это уровень отрасли и подверженности отрасли коррупции. По данным исследования (RA) «Индекс коррупционных проблем 2018»* (рисунок №3), в России три отрасли наиболее подвержены коррупции.……............................* https://www.riskadvisory.com/campaigns/corruption-challenges-

index-2019/


ТЕОРИЯ

Рисунок №4

Рисунок №3

Отрасли наиболее подверженные коррупции в России

Для сравнения: отрасли наиболее подверженные коррупции в Мире

https://www.riskadvisory.com/campaigns/corruption-challenges-index-2019/

104

Как мы видим из вышеуказанных данных (рисунок №3), отрасли, которые подвержены коррупции в России и в мире в 2-х из 3-х случаев разняться, и только в одном – совпадают (Construction & Development). Базово, знание отраслей, наиболее подверженных коррупции, является дополнительным триггером для руководителей служб внутреннего аудита компаний, работающих в этих отраслях, что нужно быть более внимательными в своей деятельности, т.к. вероятность риска коррупции может быть выше, чем в отраслях с менее высоким уровнем коррупции. Еще одно исследование, которое заслуживает внимания, – это «Вытаскивая мошенничество из тени 2018»* компании PWC. Согласно ему, с 2009 г. по 2018 г. уровень экономических преступлений/ мошенничеств в мировом масштабе в разрезе компаний растет (см. рисунок №4); происходит увеличение доли экономических преступлений, совершаемых внутренними субъектами, с 46% в 2016 году до 52% в 2018 году, и резкое увеличение доли этих преступлений, приписываемых высшему руководству, с 16% в 2016 году до 24% в 2018 году.

Динамика изменений в негативную сторону сигнализирует о двух моментах: (1) работы у внутренних аудиторов прибавляется (по предотвращению и выявлению случаев экономических преступлений), и им необходима поддержка членов аудиторских комитетов и наблюдательных советов (в случае, если в злоупотреблениях участвует высшее руководство); (2) увеличивается вероятность вовлечения внутренних аудиторов в коррупционные схемы (внутри корпоративные злоумышленники с целью завуалирования своей противоправной деятельности могут различными способами подкупать/ привлекать внутренних аудиторов на свою сторону).

Подводя итог по страновому и отраслевому уровням, можно отметить, что внутренний аудит и внутренние аудиторы являются частью корпоративной экосистемы, и прежде чем руководителям подразделений внутреннего аудита выстраивать работу по противодействию, выявлению и митигации коррупционных рисков, связанных с внутренними аудиторами, следует как

……............................* https://www.pwc.com/gx/en/forensics/global-economic-crime-

and-fraud-survey-2018.pdf

минимум ознакомиться с особенностями внешней среды (для понимания трендов и веяний).

Третий уровень – это профессиональный уровень, т.е. уровень внутреннего аудита. Обычно внутренние аудиторы (как было сказано в начале статьи) рассматриваются как эталон честности, порядочности, этичности, поэтому раскрывать тему, связанную с коррупцией во внутреннем аудите, непросто. Если абстрагироваться от тезиса «внутренние аудиторы – идеальные личности», то вероятность вовлечения сотрудников внутреннего аудита в коррупционные схемы существует (возможно, она ниже, чем у других профессий, но все же).

Как работать с коррупцией во внутреннем аудите? Полный ответ на этот вопрос может быть объемным, но если кратко и емко: системно, без дублирования, эффективно и экономически обоснованно. Для получения оптимального эффекта, работа должна быть выстроена системным/ процессным образом, с определением целей, задач, зон ответственности и иных компонентов. Процесс можно схематично отобразить примерно следующим образом:

Работа по выявлению и предотвращению коррупции во внутреннем аудите (цикл):

1. Определяем и закрепляем термин, что такое коррупция в ВА, и в целом порядок работы (в т.ч. определяем цели, задачи, влияющие факторы и другие компоненты).

2. Определяем, что именно будет считаться потенциальным/ реальным случаем нарушения.

3. Вырабатываем предотвращающие процедуры –проактивный принцип.

4. Вырабатываем выявляющие процедуры –реактивный принцип.

5. Определяем меры воздействия к лицам, допустившим нарушение (case by case).

6. Периодически калибруем/ пересматриваем термин и иные компоненты.


ТЕОРИЯ

https://www.pwc.com/gx/en/forensics/global-economic-crime-and-fraud-survey-2018.pdf

105

Например, в части процедур, предотвращающих риск коррупции (проактивный подход), значительную роль играет стадия подбора и приема на работу персонала (в т.ч. определение четких критериев отбора, четкая и слаженная работа подразделений HR и служб безопасности). Цель: нанять этически зрелого и одновременно профессионально развитого сотрудника (с учетом требуемой диверсифицированности и амплуа).

Процедуры, выявляющие риск коррупции (реактивный подход), могут быть следующими:• введение контроля качества• анкета обратной связи, Горячая линия• деятельность комплаенса, службы безопасности• контроль траффика в интернете, логов в ПО и т.д.• налаживание доверительных и системных коммуникаций, в т.ч. ротация персонала.

Работа по предотвращению, выявлению и борьбе с коррупцией во внутреннем аудите может вестись разными способами, с применением различных инструментов, но принцип, если говорить честно, должен быть один: цель должна оправдывать средства.

Допускаю, что существует три уровня детализации/ три парадигмы работы с риском коррупции во внутреннем аудите в настоящем и в будущем (рисунок №7). Какой из них использовать, зависит от многих факторов, в т.ч. от уровня зрелости/ подготовленности подразделения и руководителя внутреннего аудита. ∞


ТЕОРИЯ

Рисунок №7

106

До 31 декабря текущего года все сертифицированные специалисты должны сообщить о своих CPE-часах за 2019 год. Ознакомиться с требованиями к CPE, стоимостью и деталями отчетности можно на сайте IIA, на странице CPE Reporting: https://global.theiia.org/certification/certified/Pages/CPE-Requirements.aspxУправление отчетностью осуществляется через систему CCMS (Certification Candidate Management System). Когда сообщаете о своих CPE-часах, не забудьте проверить, что ваш основной адрес электронной почты в CCMS действителен.

По просьбе Института внутренних аудиторов наш постоянный автор Артем Сокольский создал пошаговую инструкцию со скриншотами, которая поможет новичкам разобраться с техническими нюансами подачи формы отчётности по подтверждению СРЕ-часов в CCMS на сайте Международного Института внутренних аудиторов (IIA).

Также читайте статью Артема «Политика в отношении поддержания и повышения квалификации: CPE-часы и отчетность» в журнале «Внутренний аудитор» № 3 (7), 2019.


Артем Сокольский, к.э.н., CIA, CRMA, MICA

CIA

Подтверждение CPE-часов: пошаговая инструкция

https://global.theiia.org/certification/certified/Pages/CPE-Requirements.aspx

107

На электронную почту по адресу, зарегистрированному в CCMS, каждый сертифицированный специалист, начиная с сентября календарного года, получает письмо с уведомлением о необходимости предоставления отчетности по CPE-часам:


CIA

Ссылка, указанная в письме, направляет пользователя на веб-сайт, где можно войти в CCMS:

108

Для доступа в CCMS необходимо указать требуемую информацию:


CIA

В левой стороне личного кабинета выбрать - > «Заполнить форму»:

Выбрать в разделе «Формы» - > Форма для предоставления отчетности по СРЕ-часам:

109

Каждому сертифицированному специалисту будет предложено 5 страниц , которые необходимо пройти, ознакомиться с их содержанием и указать требуемую информацию:


CIA

Страница 2 Формы. Необходимо указать, являетесь ли вы практикующим или непрактикующим сертифицированным аудитором:

Страница 3 Формы. Необходимо подтвердить соответствие с МОПП ВА:

110

Страница 4 Формы. Здесь вас спросят о согласии на отражение информации о вас, как сертифицированном внутреннем аудиторе, на сайте IIA:


CIA

Страница 5 Формы. Необходимо высказать согласие с расценками на предоставление отчетности по СРЕ-часам:

Осуществить оплату с помощью одного из предложенных способов:

111

На электронную почту будет направлено письмо с уведомлением о формировании и оплате по новой заявке (форме):


CIA

Через некоторое время на электронную почту будет направлено письмо с уведомлением о согласовании ранее поданной и оплаченной формы:

Отчетность по СРЕ-часам заполнена и принята IIA. Проверить корректность предоставления отчетности можно в личном кабинете в CCMS; срок действия сертификата будет продлен на один календарный год.

Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 году, является профессиональным объединением 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Институт внутренних аудиторовИВА www.iia-ru.ruFACEBOOK www.facebook.com/iiarus/YouTube

Тренинги ИВА www.iva-edu.ruНациональная конференция ИВА www.iva-conf.ruНациональная Премия ИВА www.iva-ag.ru

http://www.iia-ru.ru/

http://www.facebook.com/iiarus/

https://www.youtube.com/channel/UCaUH9PcdCipz4F-FGsrHv3g?view_as=subscriber

http://www.iva-edu.ru/

http://www.iva-conf.ru/

http://www.iva-ag.ru/

Documents

2019 12 Внутренний аудитор 04 · 3 В НОМЕРЕ Внутренний аудитор № 4 (8), 2019 О номере «Внутренний аудитор» №