Ассоциация «Институт внутренних аудиторов» и компания «Технологии Доверия» («ТеДо») провели совместное исследование, посвященное текущему состоянию и тенденциям развития внутреннего аудита нефинансовых организаций в России за 2023 год.
В опросе этого года приняли участие руководители служб внутреннего аудита (СВА) российских компаний нефинансового сектора различных отраслей экономики.
В рамках исследования были рассмотрены вопросы использования современных технологий, включая автоматизацию работы СВА, а также применение средств анализа данных. Исследование показало ряд тенденций в развитии практики внутреннего аудита, связанной с ИТ.
Использование технологических решений
Несмотря на общий тренд на цифровизацию и автоматизацию бизнес-процессов организаций всех секторов экономики, 25% респондентов отметили, что СВА на текущий момент не использует технологические решения.
Среди 75% респондентов, ответивших об использовании технологических решений в деятельности СВА, наиболее популярным (52%) оказалось использование инструментов извлечения и анализа данных, отличных от MS Excel (например, ACCESS, SAS, SAP, SQL, Python и т.п.), на втором месте (46%) – инструменты для визуализации данных (Tableau, Power BI, Qlik Sense и т.п.), на третьем – собственные разработки (например, скрипты) для автоматизированного выполнения отдельных аудиторских процедур (32%).
Павел Нагорнов, директор по внутреннему аудиту ПАО «ФосАгро», уточняет: «Использование инструментов, отличных от Excel, требуется в случаях, когда нет подходящего стандартного отчета в информационной системе, когда требуется доставать сырые данные из источника и обрабатывать их. Если стандартные отчеты содержат все необходимое, то Excel вполне достаточно. Когда требуются сложные расчеты, а в особенности, когда они регулярно повторяются, то тут уже на помощь приходят инструменты сложнее (типа Python)».
Айк Карамян, директор внутреннего аудита ПАО «Вымпелком» (Билайн), уверен, что в фокусе руководителей внутреннего аудита должно быть постоянное увеличение и улучшение инструментария по аналитике данных, а также повышение навыков и квалификации сотрудников ВА в этом направлении.
Процессную аналитику (Process Mining) используют 12% опрошенных, решения класса GRC – 8%, RPA (программные роботы) для выполнения аудиторских процедур – еще 8%.
Варвара Солодилова, руководитель направления аналитики, ГК «Иннотех», отмечает, что в текущем году в части автоматизации процессов внутреннего аудита вырос спрос на решения с применением искусственного интеллекта, однако полезность и эффективность применения технологий ИИ остается дискуссионной и требующей тщательной подготовки к полноценному использованию.
Василий Чесалов, менеджер по управлению рисками, управление по внутреннему контролю и аудиту, АО «АВТОВАЗ», так прокомментировал результаты исследования: «Использование СВА технологических решений зависит от специфики компании и уровня её цифровизации, а также от структуры плана внутреннего аудита. Например, такие решения как RPA применимы в тех случаях, когда в плане аудита из года в год присутствуют стандартизованные проверки с большим количеством рутинных операций, часто связанных со сбором и первичной обработкой новой информации. Наоборот, использование SQL характерно для нестандартных аналитических задач на хорошо структурированных данных.
Другое интересное наблюдение состоит в том, что применение аудиторами систем класса Business Intelligence (таких как SAS или Power BI) может говорить об активном взаимодействии СВА с менеджментом в рамках предоставления консультационных услуг.
Можно предположить, что в условиях международных санкций использование аудиторами проприетарных систем (включая бренды Microsoft) будет неуклонно снижаться в пользу открытого ПО или собственных разработок, этот тренд уже виден сейчас».
При этом Денис Беляев, генеральный директор компании «Технологии и Бизнес» («Технологии. Автоматизация. Бизнес», ТАБ), затрагивает очень важный аспект автоматизации – наличие самих данных и в нужном качестве: «Несмотря на акцент на «модных» инструментах, у нас не хватает на сегодня базового инструментария автоматизации корпоративного управления. Мы говорим про визуализацию данных, но необходимых данных нет. Мы говорим, про автоматизацию с помощью process mining, но нет даже списка процессов. Мое мнение, что нужно сначала доорганизовать и автоматизировать базовые функции корпоративного управления. Должна быть база данных, содержащая контроли, процессы, виды рисков, ключевые индикаторы рисков (КИР), меры и потом их расширять «модным» инструментарием. Например, должен быть централизованный реестр контролей, дат и результатов их выполнения, тогда можно воспользоваться визуализацией на основе BI, чтобы обработать эти данные быстро и эффективно».
Технологические решения, которые СВА планируют начать использовать в ближайшие 3 года
42% опрошенных отметили, что в ближайшие три года планируют начать использовать инструменты извлечения и анализа данных, отличные от MS Excel, процессную аналитику (37%) и разрабатывать собственные скрипты для автоматизированного выполнения отдельных аудиторских процедур (37%).
По мнению Полины Сусловой, руководителя направления внедрения информационных систем компании «Квадриум-Системы», хотя данные технологические инструменты напрямую и не предназначены для генерации прибыли организации, но они при этом позволяют повысить качество и прозрачность процессов внутреннего аудита, оцифровать и снизить затраты на проведение аудита, а также уменьшить потери от реализации рисков, в том числе за счет превентивного выявления недостатков и ускорения реагирования на выявленные нарушения.
Варвара Солодилова («Иннотех»), комментирует, что драйверами внедрения автоматизированных решений для задач СВА может быть повышение эффективности выявления областей для улучшения в процессах организации: GRC-система помогает усилить вовлечение первой и второй линии защиты к анализу рисков, повышает прозрачность информации, помогает выявить взаимосвязи, что позволяет обеспечить полноту информации и получить более качественные выводы. Совместная работа 3-х линий защиты в едином инструменте – один из источников более быстрого внедрения изменений.
Среди 25% СВА, которые не используют технологические решения, 2/3 не планируют их внедрять в ближайшие 3 года. В качестве основных причин, почему СВА не применяют или не планируют применять технологические решения в своей работе, респонденты указывали следующие причины:
- Недостаточный уровень автоматизации процессов в организации, чтобы обеспечить эффективное использование таких инструментов (71%)
- Недостаточный бюджет внутреннего аудита для приобретения/ разработки таких инструментов (41%)
- Недостаточный уровень компетенций внутренних аудиторов для применения таких инструментов (41%)
- Неочевидные преимущества использования таких инструментов по сравнению с затратами на их внедрение и применение (35%)
- Низкое качество данных в информационных системах организации, не позволяющее эффективно использовать такие инструменты (25%)
Николай Шумилов, начальник управления внутреннего аудита ГК «Мангазея», особо подчеркивает проблему недостаточного уровня автоматизации процессов во многих российских организациях (включая строительные компании) в части именно отсутствия цифровых следов проверяемых процессов (бумажный документооборот). Вдобавок присутствуют проблемы разрозненных источников хранения информации и неинтегрируемые базы данных. По мнению Николая Шумилова, именно это является основной причиной того, почему СВА не применяют технологические решения в своей работе.
С Н.Шумиловым и Д.Беляевым согласен и Василий Чесалов («АВТОВАЗ»), и делится собственной практикой: «Недостаточный уровень автоматизации бизнес-процессов и низкое качество данных действительно препятствуют использованию технологических инструментов и повышению эффективности внутреннего аудита. По нашему опыту, использование технологических решений необязательно сталкивается с бюджетными ограничениями. Например, связка SQL и скриптов собственной разработки (например, на Python) не требует дополнительных затрат и обладает достаточной гибкостью и мощностью для решения огромного числа задач. Для применения подобных инструментов требуется определенный уровень компетенций, однако необходимые навыки можно вырастить внутри СВА за разумное время, в пределах 1-2 лет».
Павел Нагорнов («ФосАгро»), поддерживает коллег в том, что основная проблема при организации непрерывного аудита – отсутствие архива данных, особенно в системах, связанных с производством, и уточняет, что сейчас повсеместно идет процесс импортозамещения ПО, аудиторам необходимо держать «руку на пульсе», чтоб при внедрении новых систем были учтены и их требования к качеству и полноте данных.
Алексей Чернышев, директор по продуктам АВАКОР компании «Диджитал Дизайн», отмечает: «Действительно, для эффективного использования инструментов data и process mining, критически важно, чтобы данные и процессы были оцифрованы, что зависит от общего уровня зрелости ИТ-систем организации. Тем не менее, за границами нейросетей, роботов, аналитики данных и process mining, есть и такие, на первый взгляд более «скучные» и «нетехнологичные» решения, как автоматизация рабочих процессов СВА, отслеживание исполнения корректирующих мероприятий, управление аудиторскими проектами. Подобные автоматизированные системы не требуют ИТ-компетенций от аудиторов, но при этом являются «корневыми», формирующими экосистему и единую среду для взаимодействия СВА, служб внутреннего контроля, управления рисками и менеджмента организации. Ценность таких средств автоматизации заключается в снижении рисков, повышении сумм обнаружений, сплошном контроле внедрения рекомендаций, постоянном развитии и совершенствовании работы СВА».
Денис Беляев («Технологии и Бизнес»), видит проблему в том числе в низком уровне знаний о корпуправлении в целом: «Думаю, основная проблема недостатка финансирования СВА или эффективного применения инструментария – это низкий уровень знаний корпоративного управления на уровне менеджмента, причем критичны знания именно советов директоров и исполнительного органа. Мы видим даже в ведущих ВУЗах, что задачам корпоративного управления отводится малая часть курса, а в каких-то учебных учреждениях – отсутствует вовсе. Независимые директора не знают, что такое управление рисками, внутренний контроль и внутренний аудит, не умеют читать соответствующую отчетность, не то, чтобы требовать какого-либо исполнения на уровне исполнительного органа и руководителей подразделений. Мое мнение, сперва нам надо сконцентрироваться на развитии риск-культуры, интегрировать ее в корпоративное управление, обеспечить внутренние учебные курсы и аттестации, а технологические инструменты могут только помочь в проставлении акцентов у некоторых технологически ориентированных ответственных лиц управления организацией. А сперва нужно сосредоточиться на простых недорого внедряемых технологических инструментах, помогающих здесь и сейчас конкретно службе внутреннего аудита выполнять свою прямую работу».
Типы аудитов, для которых используются средства анализа данных
Средства анализа данных главным образом используются СВА для проверки закупок (71%), запасов (46%) и бухгалтерского, управленческого учета и отчетности (35%).
15% респондентов не используют средства анализа данных, отличные от MS Excel. Около 1/3 служб внутреннего аудита используют инструмент анализа данных для осуществления непрерывного аудита.
Полина Суслова («Квадриум-Системы») подтверждает, что инструменты автоматизации могут существенно повысить эффективность и расширить сферу применения непрерывного аудита: например, формировать готовые интерактивные панели мониторинга и дашборды для оперативного анализа информации, выявлять отклонения от заданных целевых значений, аномалии и негативные тренды по наблюдаемым бизнес-процессам и зонам внимания, которые включены в периметр наблюдения службы внутреннего аудита.
По мнению Дениса Беляева («Технологии и Бизнес»), такая статистика показывает смешение функций внутреннего контроля с функцией внутреннего аудита: «При организованном внутреннем контроле нет необходимости делать акцент на конкретных операционных процессах, уделяя больше времени корпоративному управлению и деятельности компании в целом. По закупкам может быть больше процедур внутреннего контроля или автоматизированных инструментов на уровне менеджмента, но это не должно сказываться на объеме и инструментарии СВА. Скорее всего, статистика демонстрирует прямое указание менеджментом фокуса службе внутреннего аудита на конкретные операционные процессы. Считаю, что эту тенденцию надо ломать, возлагая соответствующий контроль на «первую» и «вторую» линию защиты. Лично мое ожидание, что в списке процессов должны быть акценты на процессы корпоративного управления, а не непосредственно операционной деятельности».
Использование специализированного программного обеспечения для целей внутреннего аудита
Около половины респондентов (48%) указали, что СВА не использует специализированное программное обеспечение для целей внутреннего аудита, что сопоставимо с данными 2021 года. Увеличилась доля использования ПО собственной разработки – в настоящее время его используют 17% СВА, в 2021 году – лишь 7%.
При этом 61% компаний-респондентов из не использующих специальное программное обеспечение для ВА, не планируют его внедрять в ближайшие два года. По мнению Павла Нагорнова («ФосАгро»), необходимость в таком ПО возникает при территориальной разобщенности команды, большой численности персонала.
Алексей Чернышев «Диджитал Дизайн»), подтверждает, что исходя из практики в последние 2-3 года значительного роста новых проектов автоматизации, т.е. начала использования специализированного ПО теми службами внутреннего аудита, которые его ранее не использовали, не наблюдается: «Такой рост гораздо более заметен в области внедрения ПО для управления рисками. Крупные службы внутреннего аудита начали автоматизировать процессы достаточно давно, и во многих службах соответствующие решения успешно эксплуатируются несколько лет. Но это не значит, что в области автоматизации процессов СВА ничего не происходит – напротив, в последние полтора года очень активно идет процесс импортозамещения ушедших или уходящих решений западных вендоров на российские. Мы наблюдаем взрывной рост числа российских решений для автоматизации служб корпоративного контроля, и в настоящий момент именно российские продукты являются средствами «первого выбора» для тех, кто планирует автоматизацию».
Специализированное ПО главным образом применяется для мониторинга процесса исправления замечаний и исполнения рекомендаций по результатам аудитов (38%), оформления рабочих бумаг аудиторов (34%) и хранения рабочих бумаг аудиторов (34%). Только 25% респондентов используют программное обеспечение для годового планирования и 28% для планирования аудиторских проверок.
Варвара Солодилова («Иннотех»), делится опытом в части автоматизации процессов ВА: комплексная GRC-платформа позволяет автоматизировать все ключевые процессы ВА – долгосрочное планирование, планирование проверок, управление методологическими документами, проведение проверок, разработка и мониторинг рекомендаций, учет рабочего времени, проведение опросов и самооценок, управление событиями реализации рисков, управление ESG и непрерывностью бизнеса.
По словам Василия Чесалова («АВТОВАЗ»), ранее в компании использовалось ПО TeamMate для планирования и контроля аудиторских проверок, но несмотря на положительный опыт использования, не планируется внедрять специализированное программное обеспечение в ближайшее время в связи с санкционными рисками.
Из-за ухода иностранных вендоров резко вырос спрос на создание современного отечественного ПО для служб внутреннего аудита. Как говорит Денис Беляев («Технологии и Бизнес»), крупные консалтинговые компании до 2022 года предпочитали работать с иностранными вендорами, но ситуация резко изменилась и сейчас они активно делится своим опытом для создания действительно серьезных типовых отечественных решений. Непосредственно ТАБ планирует выпуск массового доступного решения с применением современных технологий, в т.ч. искусственного интеллекта, уже весной 2024 г.
Полина Суслова («Квадриум-Системы») отмечает, что в последние годы в фокусе внимания менеджмента также стоит задача по расчету стоимости функции внутреннего контроля и внутреннего аудита, для реализации которой возникает запрос на программное обеспечение. Оно необходимо, чтобы аккумулировать и систематизировать сведения о расходах на проведение внутреннего аудита, аллоцировать трудозатраты на предметы и задания аудита, рассчитать стоимость мероприятий по устранению выявленных нарушений и контроль эффекта проведенных мероприятий на уровень рисков (насколько снизились стоимость риска и уровень потерь после проведенных мероприятий).
Владимир Серкин, руководитель департамента внутреннего аудита, ПАО «Вымпелком» (Билайн), уверен, что современные функции внутреннего аудита (особенно в крупных компаниях) не могут больше основывать на выборочном тестировании, потому что оно трудоемко и не эффективно. В связи с этим, целесообразно разово вложить трудовые и финансовые ресурсы в развитие сотрудников, приобретение ПО, найм специализированных дата-аналитиков, чтобы перевести работу внутреннего аудита на рельсы автоматизации и сплошных проверок с помощью дата-аналитики, что в будущем существенно повысит эффективность.
Информация об участниках исследования
В опросе приняли участие 65 служб внутреннего аудита разных отраслей экономики и разного масштаба деятельности (кроме финансового сектора). 45% компаний, участвующих в опросе, являются публичными акционерными обществами.
Отрасли:
Выручка в 2022 году, млрд руб. в год:
Организаторы исследования:
Ассоциация «Институт внутренних аудиторов» ( Ассоциация «ИВА») — является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.
Компания «Технологии Доверия» — предоставляет аудиторские и консультационные услуги компаниям разных отраслей.
Опубликовано 28.12.2023