2020 02 Внутренний аудитор июнь...обращайтесь в Институт...

Внутренний аудитор

Организация системы управления операционным риском в кредитной организации

«Рост компетенций внутренних аудиторов возможен только благодаря постоянному обмену опытом»Интервью сМарией Кедровой

Издание Ассоциации «Институт внутренних аудиторов»

№ 2 (10), 2020

Аудит НИОКР

Аудит процессов интернет-торговли

Аудит кол-центра

Влияние эпидемии на деятельность СВА

НОВОСТИ

……………………………………………………………………………………………………………………………………………………………..… 4

ИССЛЕДОВАНИЕВлияние эпидемии коронавируса на деятельность служб внутреннего аудита ……………………..……...…. 14

ПРАКТИКА

Типовые нарушения при планировании и документировании работ по техническому обслуживанию и ремонту оборудования (авт. Никита Масюк, Ирина Михайлова) .……………………………………………….…... 26

Практические аспекты формирования консолидированной базы событий комплаенс-риска в

холдинге (группе компаний) (авт. Элла Евдокимова) ……......................................................................... ................... 33

Эволюция механизмов интегрированного риск-менеджмента (авт. Александр Красильников) .......… 38

Аудит НИОКР (авт. Станислав Хомяков)…………………………………………………………....………………………...……… 42

Аудит кол-центра. Основные риски и методика проведения (авт. Кайрат Кусунгалиев, Сергей Хренников) ………………………………………………………………………………………………………………………………………….. 48

Аудит процессов интернет-торговли (E-commerce) (авт. Светлана Кон, Василий Ряховский) …...….…. 53

Выявление налоговых и экономических рисков при ведении ФХД: как защитить бизнес. Кейс из практики (авт. Валентин Есипов)………………………………………………………………………………………………………... 61

Создание службы внутреннего контроля и аудита с нуля (авт. Михаил Поляков) …………………...…......... 66

ЛИЦА ПРОФЕССИИ Александр Московкин ……………………………………..………………………………………………………………...…………..….... 71

ИНТЕРВЬЮ

Мария Кедрова, директор управления внутреннего аудита АО «Группа Ренессанс Страхование» .…. 73

ТЕОРИЯ

Использование подходов критического мышления для оценки информации в ходе выполнения

аудиторского задания (авт. Андрей Кочанов) ……………………………………………………………………………………. 80

Организация системы управления операционным риском в кредитной организации: основные

понятия и подходы к регистрации инцидентов (авт. Ольга Кашанова, Ольга Разина) ..………………...…. 85

Методология проведения аудиторского проекта (авт. Светлана Яковлева) …..…………………..…………….. 94

2

В НОМЕРЕ

Внутренний аудитор № 2 (10), 2020

Содержание

3

О НОМЕРЕ


О номере

«Внутренний аудитор» № 2 (10), 2020

Издание Ассоциации «Институт внутренних аудиторов»

Выпускающий редактор: Елена Фролова-Иванова

Редактор-консультант: Денис Малыхин, CIA, член Совета Ассоциации «Институт

внутренних аудиторов», руководитель Программы сертификации Ассоциации

«ИВА»

Дизайн, верстка: Елена Фролова-Иванова

Над номером работали: Олег Ажимов, Дмитрий Бочаров, Артем Горлов, Леонид

Душатин, Элла Евдокимова, Валентин Есипов, Елена Иванова, Мария Кедрова,

Светлана Кон, Андрей Кочанов, Ольга Кашанова, Александр Красильников,

Кайрат Кусунгалиев, Татьяна Кутакова, Никита Масюк, Ирина Михайлова,

Александр Московкин, Денис Овсянников, Михаил Поляков, Ольга Разина,

Василий Ряховский, Вероника Семенова, Анна Сергеева, Алексей Сонин, Елена

Фролова-Иванова, Станислав Хомяков, Сергей Хренников, Алексей Чепайкин,

Светлана Яковлева

Адрес: Москва, Нарышкинская аллея, д. 5, строение 1

Телефон: +7 (495) 748-05-32

Выпуск: июнь 2020 года

Мнения, оценки и рекомендации в материалах, размещенных в издании,

отражают точку зрения их авторов и могут не совпадать с позицией

Ассоциации «Институт внутренних аудиторов».

Ассоциация «ИВА» и авторы материалов не несут ответственности за

возможные последствия, которые могут наступить в результате использования

или невозможности использования данных материалов.

Читатель/пользователь самостоятельно оценивает риски совершения

юридически значимых действий на основе размещенной в журнале

информации и несет ответственность за возможные неблагоприятные

последствия.

4

НОВОСТИ


Новое Дополнительное руководство

«Аудит управления кредитным риском»

На сайте Института внутренних аудиторов опубликовано новое Дополнительное

руководство «Аудит управления кредитным риском» (PG: Auditing Credit Risk Management) от

марта 2020 года. Новое Руководство пока доступно только на английском языке.

Кредитный риск всегда считался ключевым риском для организаций, оказывающих

финансовые услуги, и для многих организаций, возможно, самым критическим риском. После

мирового финансового кризиса регуляторы и надзорные органы сосредоточили свое

внимание на этом риске, подчеркнув необходимость наличия точных моделей, позволяющих

измерить влияние кредитной деятельности на капитал, риск заемного финансирования и

риск контрагентов.

Эти новые требования и расширенные ожидания надзорных органов дают внутреннему

аудиту более актуальную и активную роль в оценке кредитного риска. Кроме того, совет

директоров организации несет прямую ответственность за надзор за кредитными рисками и

управление ими, поэтому внутренний аудит должен предоставлять независимые гарантии в

соответствии с Миссией, Основными принципами и Стандартами (как это предусмотрено

Международными профессиональными стандартами внутреннего аудита)

соответствующему руководящему органу.

Цель нового Руководства состоит в том, чтобы предоставить внутренним аудиторам базовый

набор навыков, позволяющий им тестировать и оценивать эффективность системы и

процессов управления кредитными рисками организации.

Новое Дополнительное руководство «Аудит управления кредитным риском» можно найти в

области «Личный кабинет» сайта Института внутренних аудиторов.

Путь: Личный кабинет → Материалы и информация → Основы профессиональной практики

→ Практические руководства (Practice Guides). Таблица «Дополнительные руководства для

финансовых организаций» (вторая сверху)

Это и другие Руководства доступны членам ИВА в качестве преимущества членства.

5

НОВОСТИ


Новое Дополнительное руководство

«Разработка риск-ориентированного плана внутреннего аудита»

На сайте Института внутренних аудиторов опубликовано новое Дополнительное

руководство «Разработка риск-ориентированного плана внутреннего аудита» (PG: Developing

a Risk-based Internal Audit Plan) от мая 2020 года. Новое Руководство пока доступно только на

английском языке.

В современных условиях ведения бизнеса эффективный внутренний аудит требует

тщательного планирования в сочетании с гибким реагированием на быстро меняющиеся

риски. Для того чтобы повысить ценность и эффективность организации, приоритеты

внутреннего аудита должны согласовываться с целями организации и учитывать риски,

которые в наибольшей степени могут повлиять на способность организации достичь этих

целей. И в новом Руководстве описан системный подход к созданию и ведению риск-

ориентированного плана внутреннего аудита.

Новое Дополнительное руководство «Разработка риск-ориентированного плана внутреннего

аудита» можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.


→ Практические руководства (Practice Guides). Верхняя таблица

Это и другие Руководства доступны членам ИВА в качестве преимущества членства.

6

НОВОСТИ


IIA выпустил новое Практическое руководство

по аудиту рисков, связанных с поведением сотрудников

Организационная культура ― и то, как организация относится к поведению своих

сотрудников, ― определяет, как осуществляется бизнес. Она также лежит в основе

эффективности среды контроля, которая поддерживает достижение целей организации.

Плохая культура и неэффективное управление поведением сотрудников способствовали

многочисленным неудачам в бизнесе и были определены в качестве основной причины ряда

серьезных проблем. В ответ на это ключевые заинтересованные стороны в сфере

финансовых услуг, включая советы директоров и регулирующие органы, отвечающие за

надзор за контрольной средой, усилили свое внимание на уместности организационной

культуры и эффективности управления рисками поведения.

Вопрос о поведении сотрудников нелегко отделить от культуры организации; скорее, это

отдельный сегмент культуры в целом. Цель Руководства «Аудит рисков, связанных с

поведением сотрудников» заключается в оказании помощи внутренним аудиторам в

понимании и оценке управления рисками поведения.

Внутренние аудиторы могут повысить свою эффективность за счет оценки и представления

отчетности по управлению рисками поведения организации. Внутренний аудит может

способствовать созданию прочных систем управления рисками внутреннего контроля

(включая риски поведения), которые согласуются с ожиданиями заинтересованных сторон,

вспомогательных советов, комитетов по аудиту и исполнительного руководства в их

надзорных ролях.

Новое Руководство включает в себя следующие темы:

· Регуляторная среда

· Определенные ожидания

· Измерение и отчетность

· Последствия неправомерного поведения

· Планирование и выполнение аудиторского задания

Новое Руководство доступно на английском языке в области «Личный кабинет» сайта

Института внутренних аудиторов.


→ Практические руководства (Practice Guides), вторая таблица сверху (Дополнительные

руководства для финансовых организаций)

Это и другие Руководства доступны членам Института внутренних аудиторов в качестве

преимущества членства.

7

НОВОСТИ


Опубликованы переводы Заявлений позиции

На сайте Института внутренних аудиторов опубликованы переводы на русский язык трех

Заявлений позиции IIA (IIA Position Papers) от 2019 года – «Доверительное отношение.

Укрепление связей между комитетом по аудиту и внутренним аудитом», «Мошенничество

(фрод) и внутренний аудит» и «Роль внутреннего аудита в органах управления и рабочих

комиссиях организации».

Институт внутренних аудиторов благодарит Александра Губина (дирекция внутреннего

аудита ПАО «ФосАгро»), волонтера из числа членов ИВА, за перевод Заявлений позиции

«Доверительное отношение. Укрепление связей между комитетом по аудиту и внутренним

аудитом» и «Мошенничество (фрод) и внутренний аудит».

Институт внутренних аудиторов благодарит Александра Московкина, директора по

внутреннему контролю и аудиту, волонтера из числа членов ИВА, за перевод Заявления

позиции «Роль внутреннего аудита в органах управления и рабочих комиссиях организации».

Заявления позиции IIA можно найти в области «Личный кабинет» сайта Института

внутренних аудиторов.


→ Заявления позиции (Position Papers)

Эти и другие материалы основ профессиональной практики доступны членам ИВА в качестве

преимущества членства.

8

НОВОСТИ


Опубликован перевод исследования

«Будущее кибербезопасности во внутреннем аудите»

На сайте Института внутренних аудиторов опубликован перевод на русский язык

исследования «Будущее кибербезопасности во внутреннем аудите» (The Future Of

Cybersecurity In Internal Audit), выпущенного в 2018 году. Исследование было подготовлено

Фондом внутреннего аудита (The Internal Audit Foundation) Международного Института

внутренних аудиторов (IIA) и компанией Crowe Horwath.

Документ описывает действия, которые помогут отделам внутреннего аудита подготовиться

к решению проблемы киберрисков путем выстраивания отношений, адаптирования своей

роли, а также развития и приобретения знаний, необходимых для работы.

Институт внутренних аудиторов благодарит Марию Клевцову, менеджера по внутреннему

аудиту дирекции внутреннего аудита компании «ЛЕНТА», за перевод исследования «Будущее

кибербезопасности во внутреннем аудите».

Перевод можно найти в области «Личный кабинет» сайта Института внутренних аудиторов.

Путь: Личный кабинет → Материалы и информация → Прикладные материалы → Аудит

ИС/ИТ

Этот и другие переводы материалов доступны членам ИВА в качестве одного из

преимуществ членства.

Если вы хотите стать переводчиком-волонтером и внести свой вклад в развитие профессии,

обращайтесь в Институт внутренних аудиторов к Елене Фроловой-Ивановой ([email protected]).

Участие в переводах дает СРЕ-часы.

mailto:[email protected]

9

НОВОСТИ


Опубликован перевод брифа

«Дистанционный аудит в период пандемии COVID-19 и в дальнейшей перспективе»

На сайте Института внутренних аудиторов опубликован перевод на русский язык брифа

«Дистанционный аудит в период пандемии COVID-19 и в дальнейшей перспективе» (Global

Knowledge Brief «Remote Auditing for COVID-19 and Beyond»), выпущенного в апреле 2020 года.

Бриф был подготовлен Международным Институтом внутренних аудиторов (IIA).

В Брифе представлены рекомендации по удаленному аудиту, три примера реализации

дистанционного аудита в компаниях, а также плюсы и минусы удаленного аудита.

Институт внутренних аудиторов благодарит Антона Краснопольского – волонтера из числа

членов ИВА – за перевод на русский язык брифа «Дистанционный аудит в период пандемии

COVID-19 и в дальнейшей перспективе».


Путь: Личный кабинет → Материалы и информация → Прикладные материалы →

Внутренний аудит







10

НОВОСТИ


Опубликован перевод брифа

«Гибкий внутренний аудит»

На сайте Института внутренних аудиторов опубликован перевод на русский язык брифа

«Гибкий внутренний аудит – внутренний аудит по методу аджайл» (Global Knowledge Brief

«Agile Internal Audit»), выпущенного в ноябре 2019 года. Бриф был подготовлен

Международным Институтом внутренних аудиторов (IIA).

Аджайл-процесс возник в мире разработки программного обеспечения как альтернатива

традиционному линейному процессу проектной работы, но также он был воспринят в других

видах деятельности как способ повышения эффективности, достижения большей гибкости и

как ответ на стремительно меняющиеся условия окружающей среды.

В отличие от традиционного линейного процесса, включающего стадию планирования,

оперативную работу на объекте, анализ и составление и предоставление отчета [по

результатам], внутренний аудит по методике аджайл использует «спринты», в рамках

которых все перечисленные 4 компонента выполняются параллельно в рамках цикла от 1 до

2 недель.

Аджайл-аудиты динамичны, цикличны и делают упор на полную прозрачность и

сотрудничество всех заинтересованных сторон, а также самоорганизацию команд аудита.

Аджайл-аудит как процесс дает очевидные преимущества с точки зрения скорости и

эффективности, но его внедрение может оказаться существенным вызовом, особенно для

самих команд аудиторов, которые могут сопротивляться переменам.

Институт внутренних аудиторов благодарит Снежану Газиян, CIA, AIRC, волонтера из числа

членов ИВА, за перевод на русский язык брифа «Гибкий» внутренний аудит – внутренний

аудит по методу аджайл».



Внутренний аудит







11

НОВОСТИ


Опубликован перевод документа

«Оптимизация управления талантами в меняющемся ландшафте аудита»

На сайте Института внутренних аудиторов опубликован перевод на русский язык документа

из серии «Понимание глобальных перспектив» «Оптимизация управления талантами в

меняющемся ландшафте аудита» (Global Perspectives and Insights. Optimizing Talent

Management in an Evolving Audit Landscape), выпущенного в 2019 году. Материал был

подготовлен Международным Институтом внутренних аудиторов (IIA).

В наши дни на рынке талантов руководители подразделений внутреннего аудита озабочены

поисками того, как наилучшим образом обеспечить наличие компетенций, способствующих

выполнению все расширяющегося списка обязанностей, которые акционеры компаний и

другие заинтересованные стороны ожидают от аудиторов. По мере того, как бизнес-риски

продолжают меняться со все возрастающей скоростью, движимые новыми технологиями,

макроэкономикой, геополитикой и т.д., функциям внутреннего аудита поручено как-то

ориентироваться на рынке талантов, который сильно рассредоточен и требует уровня

компенсации далеко за пределами того, что могут предложить некоторые функции аудита.

Эта комплексная проблема может быть решена с помощью всеобъемлющей стратегии

управления талантами, охватывающей весь жизненный цикл управления талантами – от

подбора персонала до развития и долгосрочного удержания. Необходимо понимать факторы,

которые создают волатильную среду для талантов, а также давать обоснованную оценку

стратегии управления талантами, которую следует последовательно применять на практике.

Институт внутренних аудиторов благодарит Сергея Григоряна, CIA, CRMA, CCSA, CFSA,

руководителя направления по внутреннему аудиту, волонтера из числа членов ИВА, за

перевод на русский язык документа «Оптимизация управления талантами в меняющемся

ландшафте аудита»!

Перевод опубликован в области «Личный кабинет» сайта Института внутренних аудиторов.


Компетенции и профессиональный рост







12


Стартовала подготовка к Национальной премии «Внутренний аудитор года». На сайте Премии было опубликовано новое Положение о Премии.

Премия была учреждена Институтом внутренних аудиторов в 2013 году. Сейчас соорганизаторами Премии выступают РСПП и Московская биржа.

Как и ранее, Национальная премия вручается в трех номинациях: • Служба внутреннего аудита года• Руководитель службы внутреннего аудита года• Внутренний аудитор года

Прием заявок начнется 1 ноября и продлится до 31 декабря 2020 года. Участие бесплатное и не зависит от членства в ИВА.

Церемония награждения победителей и лауреатов состоится в первый день Национальной конференции Института внутренних аудиторов «Внутренний аудит в России» в 2021 году в Москве.

По всем вопросам, касающимся участия в Премии, пожалуйста, обращайтесь к Елене Фроловой-Ивановой:

тел.: (495) 748-05-32, [email protected]


Центр оценки квалификаций Института внутренних аудиторов (ЦОК ИВА) проводит независимую оценку квалификации на соответствие профессиональным стандартам:

➢«Внутренний аудитор»утвержден приказом Министерства труда и социальной защиты Российской Федерации от «24» июня 2015 г. № 398н;

➢«Специалист по внутреннему контролю (внутренний контролер)» утвержден приказом Министерства труда и социальной защиты Российской Федерации от «22» апреля 2015 г. № 236н.

ПОДТВЕРЖДЕНИЕ КВАЛИФИКАЦИИ – ЭТО ВОЗМОЖНОСТЬ ПОДНЯТЬ ВАШ ПРОФЕССИОНАЛЬНЫЙ СТАТУС И ОТКРЫТЬ НОВЫЕ КАРЬЕРНЫЕ ПЕРСПЕКТИВЫ!

ЦЕНТР ОЦЕНКИ КВАЛИФИКАЦИЙ ИНСТИТУТА ВНУТРЕННИХ АУДИТОРОВ

Адрес:125167, Москва,Нарышкинская аллея, дом 5, строения 1, 2

Телефоны:+7 (495) 748-05-22+7 (495) 748-05-32

Сайт:http://cok.iia-ru.ru/

http://cok.iia-ru.ru/

14Внутренний аудитор № 2 (10), 2020

Предисловие

Предлагаем вашему вниманию материал, основанный на результатах двух опросов – Ассоциации

«Институт внутренних аудиторов» [1] и Международного Института внутренних аудиторов

(IIA)[2] – посвященных влиянию пандемии и связанных с ней мер на функционирование служб

внутреннего аудита.

Полные версии результатов опросов в ПДФ вы можете найти на сайте ИВА[3].

Дополнительно руководители СВА из компаний разных сфер деятельности (производство,

медицина, непродуктовая розничная торговля, энергетика, телеком, страхование, авиаперевозки)

рассказали о работе в период эпидемии. Их комментарии[4] представлены в виде вставок в

основной текст и не являются частью повествования.

……............................[1] Данные об опросе Ассоциации «Институт внутренних аудиторов»: Опрос был проведен в конце апреля – начале мая 2020 года. Участники: Россия (100%). Общее число участников – 45 руководителей по внутреннему аудиту российских компаний и организаций разных секторов экономики.

[2] Данные об опросе Международного Института внутренних аудиторов (IIA):

Опрос был проведен 9-13 апреля 2020 года. Участники: США (90%), Канада (9%), страны Карибского бассейна (1%). Общее число участников – 401. Отрасли: Финансы и страхование – 29%, Образование – 12%, Производство – 12%, Физические объемы производства (кроме обрабатывающей промышленности): коммунальные услуги (20); добыча полезных ископаемых, добыча нефти и газа (11); транспортировка и складирование (10); строительство (2); сельское хозяйство, лесное хозяйство, рыболовство и охота (1) – 11%Прочие услуги (кроме государственного управления) (14); профессиональные, научные и технические услуги (10); недвижимость, аренда и лизинг (6); информация (5); оптовая торговля (5) управление компаниями и предприятиями (1); административные, вспомогательные, утилизационные, рекультивационные услуги (1)) – 11%Государственное управление – 9%, Здравоохранение и социальная помощь – 9%, Ориентация на потребителей (например, розничная торговля, продукты питания, путешествия): искусство, развлечения и отдых (13); розничная торговля (11); услуги проживания и питания (6)– 7%.

[3] Опрос ИВА: https://www.iia-ru.ru/inner_auditor/issledovania/Опрос IIA: Личный кабинет → Материалы и информация → Прикладные материалы → Внутренний аудит

[4] Опрос руководителей СВА проводился во второй половине мая. Информация, приведенная в комментариях, соответствует ситуации в компаниях на тот момент.

Влияниеэпидемии коронавируса

на деятельность служб внутреннего аудита

ИССЛЕДОВАНИЕ

https://www.iia-ru.ru/inner_auditor/issledovania/

15Институт внутренних аудиторов

Сегодня мир столкнулся с очень серьезной ситуацией. И хотя это пока не самая большая эпидемическая

угроза, с которой приходилось иметь дело человечеству, тем не менее, нельзя недооценивать

происходящее. Ведь пока никто не знает, как быстро все закончится и каков будет урон. Но вполне

очевидно, что все организации уже почувствовали или еще почувствуют прямо или косвенно влияние

эпидемии на своей деятельности, своих целях и планах.*

Результат опроса, проведенного Международным Институтом внутренних аудиторов (IIA) в середине

апреля показывает, что отрасль, которая высказывает наименьшую озабоченность по поводу

долгосрочной финансовой жизнеспособности организаций в связи с COVID-19 – это «Финансы и

страхование», а наибольшую – «Производство» и «Компании, ориентированные на потребителя

(например, розничная торговля, продукты питания, путешествия)» (см. таблицу 1).

Таблица 1. Озабоченность по поводу долгосрочной финансовой жизнеспособности организаций

из-за COVID-19 (опрос IIA)

Примечание: Каков ваш уровень беспокойства по поводу долгосрочной финансовой жизнеспособности вашей

организации в результате эпидемии COVID-19? n = 36 для оказания медицинской и социальной помощи. n = 47 для образовательных услуг. n = 46 для производства. n = 38 для государственного управления. n = 44 для физических

результатов. n = 29 для потребительских услуг. n-116 по финансам и страхованию. Всего n = 397.

................*А.Сонин «Пандемия – вызов для внутреннего аудита. Глобальные задачи и переход на дистанционную работу»https://www.audit-it.ru/articles/finance/a106/1011004.htmlhttps://gaap.ru/articles/Pandemiya_vyzov_dlya_vnutrennego_audita/


https://www.audit-it.ru/articles/finance/a106/1011004.html

https://gaap.ru/articles/Pandemiya_vyzov_dlya_vnutrennego_audita/

16

В текущей ситуации СВА фокусируются на содействии в сокращении/ оптимизации расходов, переоценке/ оценке рисков, а также изменении бизнес-процессов (см. таблицу 3).



Таблица 3. На чем фокусируется СВА в текущей ситуации (Россия):

Примечание: респонденты отмечали все подходящие варианты.

Таблица 2. Насколько служба внутреннего аудита вовлечена в мероприятия по реагированию на ситуацию (Россия):

Конечно, эпидемия не могла не повлиять на деятельность внутреннего аудита. В начале мая Институт внутренних аудиторов провел опрос руководителей СВА российских компаний, чтобы выяснить степень этого влияния. Его результаты показали, что изменилось в работе департаментов внутреннего аудита во время пандемии, как они отреагировали на вызовы и как помогают менеджменту в решении текущих задач.

Реагирование на ситуацию

Только 40% респондентов обсуждали (очно или дистанционно) с собственником/ советом директоров вопрос, как служба внутреннего аудита может быть в наибольшей степени полезна организации в условиях пандемии, 60% сделали это с высшим исполнительным руководством.В более чем половине компаний-респондентов (55%) служба внутреннего аудита вовлечена в мероприятия по реагированию на ситуацию, связанную с пандемией, из них 33% СВА вовлечены существенно, а 23% – время от времени (см. таблицу 2). При этом у 16% СВА значительно изменился функционал, у 44% он изменился незначительно, а 40% вообще не почувствовали изменений.

Содействие в сокращении/ оптимизации расходов 62%Содействие в изменении/ реинжиниринге бизнес-процессов 44%Содействие в предотвращении злоупотреблений/ фрода 36%Содействие в переоценке/ оценке рисков 53%Содействие в сборе информации и отслеживании ситуации с пандемией 27%Другое (работа в соответствии с планом; внедрение процессов обеспечения

непрерывности деятельности; наблюдение за использованием всех возможностей при

реализации товара по новым каналам)

16%

Существенно 33%

Время от времени 23%

Несущественно 42%

Другое (внесены коррективы в программы и планы текущих аудитов и аудиторских

заданий с учетом ситуации)

2%

17

Василий Ряховский, руководитель отдела внутреннего аудита компании ООО «Монэкс Трейдинг» (бренды Mothercare, The Body Shop, M.A.C., Jo Malone, Victoria’s Secret и др.):

Бизнес компании, как и многих других операторов розничной торговли, существенно пострадал от пандемии после принятия решения властями о закрытии непродовольственной розницы и предприятий общественного питания (ресторанов, кофеен, кафе и т.п.). По сути, весь розничный офлайн-бизнес был с тем или иным интервалом времени остановлен по всей России и странам СНГ. В компании был создан антикризисный штаб, куда вошли в том числе представители СВА. В первую очередь стояла задача обеспечить безопасность людей. Поэтому уже со второй половины марта сотрудники службы внутреннего аудита, как и многие другие сотрудники компании, были переведены на удаленный режим работы.

Параллельно с переводом сотрудников на удаленный режим работы решался вопрос изменения утвержденного на уровне главного исполнительного директора Группы компаний и акционеров плана проверок на год. В результате было принято решение закончить только те проекты, которые находились в высокой стадии готовности и могли быть полезны бизнесу с точки зрения экономии затрат или оптимизации бизнес-процессов как во время пандемии, так и сразу после ее окончания. Все остальные проекты с «отложенным» потенциальным эффектом было решено отложить до возобновления операционной деятельности. Проверки текущего статуса реализации ранее согласованных рекомендаций было решено осуществлять в полном объеме, но также с учетом их приоритетности и существенности.

Вместе с этим, отдел внутреннего аудита был глубоко вовлечен в мониторинг ситуации в СМИ (компания представлена в разных регионах России и Казахстане), отслеживание нормативных актов, принимаемых как Правительством Российской Федерации (особенно касательно арендных договоров и платежей) так и на местах, с целью оперативного информирования руководства компании для принятия мер по адаптации бизнеса к постоянно меняющимся условиям.

Также на уровне компании был создан инструмент обратной связи для всех сотрудников всех карьерных уровней, которые смогли делиться своими идеями/ предложениями с конкретными шагами,

направленными на увеличение продаж онлайн, создание иных каналов сбыта продукции компании или на оптимизацию затрат. Сотрудники внутреннего аудита выступили первичным буфером, анализирующим поданные идеи и предложения с точки зрения их актуальности, масштабности и потенциального экономического эффекта. Также добавляли свои идеи по сохранению и развитию бизнеса в столь непростое время. Шорт-лист данных мер регулярно передавался и передается по настоящее время руководству компании для выбора лучших идей и их воплощения в жизнь. Через некоторое время были также согласованы с главным исполнительным директором Группы компаний специальные проверки, направленные на предоставление высшему руководству и акционерам уверенности в том, что необходимые меры, направленные на оптимизацию затрат в новых условиях, предпринимаются локальным менеджментом в полном объеме.

Вся работа ведется в удаленном формате с доступом ко всем информационным базам компании и тесном контакте с ответственными сотрудниками в форме Skype, Teams-звонков, звонков мобильной связи, корреспонденции по электронной почте.Благодаря тому, что в компании достаточно высокий уровень автоматизации, эффективность работы удалось сохранить на прежнем уровне, а местами даже улучшить за счет появления новых интересных консультационных проектов и более свободного графика работы. Хотя формально график работы остался стандартным, по важным вопросам отдел стал доступен практически 24/7.Для поддержания командного духа были созданы чаты в Teams и WhatsApp для обмена идеями, как сконцентрироваться на работе в новых условиях, и поднятия настроения. Возросшее количество бесплатных вебинаров и конференций онлайн не осталось без внимания, мы стали более активно использовать данный инструмент для повышения профессионального уровня и знаний как в аудите, так и в целом в индустрии розничной торговли.

В настоящее время не произошло никаких изменений численности персонала внутреннего аудита, что, на мой взгляд, является проявлением доверия и высокой оценки работы СВА высшим руководством Группы. Однако на определенные жертвы по сокращению бюджета подразделения пришлось пойти также как и всем остальным подразделениям компании.



18

Дмитрий Бочаров, вице-президент по внутреннему контролю и аудиту «Сегежа Груп»:

Безусловно, сложившаяся ситуация отразилась на внутреннем аудите, как и на других подразделениях «Сегежа Групп». С начала ввода ограничений в Москве мы в полном составе перешли на удаленную работу. Каких-то проблем в работе нет, более того, сейчас проходим независимую внешнюю оценку. Практически 80% времени занимаемся консультированием, поскольку сейчас это востребовано и важно. Запросы связаны с оптимизацией процессов и затрат, поиском резервов и новых идей. Любой кризис –это не только проблемы, но и возможности. Внутренний аудит может продемонстрировать свою гибкость, скорость реакции на изменения и ценность для бизнеса. Ограничения также позволяют посмотреть на свою работу под другим углом. После завершения пандемии будем думать, не остаться ли нам на удаленной работе на постоянной основе.

Российские данные отличаются от результатов опроса IIA: почти половина всех респондентов отметила увеличение усилий по планированию непрерывности бизнеса. Кроме того, более 40% респондентов сообщили об увеличении усилий, связанных с кибербезопасностью, ERM, мошенничеством и контролем/ сокращением затрат (см. таблицу 4).



Таблица 4. Изменение усилий внутреннего аудита (опрос IIA):

Примечание: Как изменились ваши аудиторские усилия в следующих областях в результате влияния COVID-19? Опрос IIA. n = 401.

19

Елена Иванова, начальник департамента внутреннего аудита клиники «Скандинавия» и «АВА-ПЕТЕР»:

Пандемия существенно повлияла на деятельность частных медицинских организаций. Решением регулятора было приостановлено оказание плановой медицинской помощи. Сократился поток пациентов, часть медицинского персонала выведена в простой, клиники формата «у дома» были временно законсервированы. Однако, кризис принес с собой и новые возможности. Мощный импульс развития получили телемедицинские технологии и онлайн-сервисы. В связи с перепрофилированием городских стационаров возрос спрос на неотложную стационарную помощь.Клиника в период пандемии предприняла беспрецедентные меры для обеспечения безопасности медицинской помощи как для пациентов, так и для медицинских работников. Внутренний аудит не мог остаться в стороне в сложный для клиники период, было организовано проведение регулярных проверок соблюдения противоэпидемиологических требований, установленных как регулятором, так и внутренними регламентами клиники. Основной целью проверок является оценка применения средств индивидуальной защиты, дезинфекции, дистанцирования и разобщения потоков пациентов и персонала, а также применение средств визуализации для пациентов и персонала (информационных плакатов, знаков, напоминаний).

Опросы ИВА и IIA показали, как СВА демонстрируют гибкость в условиях пандемии COVID-19. В 33% российских компаний-респондентов работа службы внутреннего аудита частично или существенно (24% и 9%) переориентирована на помощь менеджменту в решении операционных задач, у 29% СВА увеличилась доля заданий по предоставлению консультаций руководству (консультирование). 31% отмечает, что у них не произошло изменений в календарных планах работы внутреннего аудита.



Таблица 5. Какие изменения были внесены в календарный план работы внутреннего аудита (включая изменения, которые не были формально утверждены)?

Примечание: респонденты отмечали все подходящие варианты. Опрос ИВА.

Число аудиторских заданий сокращено 15%

Число аудиторских заданий увеличено 15%

Объем аудиторских заданий сокращен 4%

Объем аудиторских заданий увеличен 11%

Сокращена доля заданий по предоставлению гарантий (проверки) 9%

Увеличена доля заданий по предоставлению гарантий (проверки) 4%

Сокращена доля заданий по предоставлению консультаций (консультирование) 4%

Увеличена доля заданий по предоставлению консультаций (консультирование) 29%

Работа службы внутреннего аудита частично переориентирована на помощь

менеджменту в решении операционных задач

24%

Работа службы внутреннего аудита существенно переориентирована на помощь

менеджменту в решении операционных задач

9%

Внесены существенные изменения в программы (методики) аудиторских заданий 20%

Изменений не произошло 31%

Другое (внесены несущественные изменения в программы (методики) аудиторских

заданий, связанные с осуществлением проверки непосредственно «в полях»; часть

аудиторских заданий отложена; произошло изменение в плане аудитов в пользу

проверок, которые не требуют физического посещения объектов компании;

очередность задач изменена)

9%

20

Александр Московкин, директор по внутреннему контролю и аудиту АО «РТИ»:

В нашей компании выполнялись все предписания Правительства Москвы и руководителей субъектов нашего присутствия, что повлекло за собой необходимость пересмотра задач для всех сотрудников, а не только внутреннего аудита. Офисы опустели, достаточно быстро была развернута удаленная работа в тех бизнес-процессах, которые возможно выполнять в таком виде.

Сотрудники внутреннего аудита вне офиса были переориентированы на выполнение аналитических задач по оптимизации деятельности компании. За время самоизоляции удалось выполнить несколько аналитических упражнений, до которых раньше не доходили руки, а эффект от которых составил несколько десятков миллионов рублей.

Часть сотрудников выполняла проекты, связанные с оценкой рисков изменения принципов работы информационной системы компании, поскольку ранее удаленная работа в корпоративной ИС не была так активно востребована, и это повлекло необходимость обратиться к помощи внутренних аудиторов в этой части.

Что касается изменения фокуса СВА, то мы тоже начали концентрироваться на оптимизации расходов, поскольку хотя мы и смогли эффективно перейти на другие формы деятельности (удаленная работа, формирование пула необходимых должностей в офисе и т.п.), но не все представители внешнего окружения смогли достичь того же. Наш заказчик существенно приостановил деятельность подразделений, контактирующих с нами.

Переговорные процессы, в т.ч. международные, были заморожены. В такой ситуации все понимали, что после выхода будет непросто, поэтому готовились к поиску внутренних резервов, в т.ч. и силами внутреннего аудита.

Что касается бюджета службы, то мы тоже ощутили естественное его сокращение, поскольку были отменены запланированные командировки и очные обучающие мероприятия.

Вероника Семенова, глава внутреннего аудита энергетической компании «Юнипро»:По поручению аудиторского комитета проводится аудит, направленный на оценку эффективности принятых антикризисных мер в связи с коронавирусной инфекцией. Стоит задача оценить решения/ меры, принятые руководством по обеспечению непрерывности бизнеса, переводу сотрудников на удаленную работу, проведению мероприятий по выявлению коронавирусной инфекции, влияния на текущую деятельность компании и т.д. Таким образом, СВА будет дана оценка по сути новых процессов, ранее не тестируемых. На наш взгляд, данный аудит позволит СВА принести максимальную полезность руководству компании, независимым взглядом оценить новые риски.В реагирование на ситуацию с пандемией СВА была вовлечена несущественно. В компании был создан антикризисный штаб, который принимает решения в условиях кризисной ситуации. Сотрудники СВА не входят в его состав, тем самым избегается конфликт интересов, и возможно проводить аудиты, связанные с оценкой эффективности принятия штабом решений.Функционал внутреннего аудита не изменился, СВА сосредоточена на выполнении аудита по оценке эффективности мер, связанных с пандемией, содействии в предотвращении злоупотреблений/ риска мошеннических действий, а также выполнении аудитов, которые возможно сделать дистанционно. План аудитов на этот год был актуализирован: аудиты, которые невозможно провести дистанционно, были перенесены на следующий год; на их место добавлены новые аудиты, учитывающие специфику пандемии. При этом в методику выполнения аудитов существенных изменений не внесено, кроме того, что все интервью при удаленном режиме работы проводились по Skype.Во время объявленного карантина СВА полностью перешла на удаленную работу. С нашей точки зрения, эффективность работы Службы возросла, так как сотрудники не тратили время на перемещения, а также появилась возможность выстроить баланс работы и личного времени. Как и раньше, мы активно используем ИТ-инструменты в своей работе: конференции проводятся через Skype и Teams, отслеживание рекомендаций – через вновь созданный инструмент для мониторинга. Пандемия коронавируса на данный тренд не повлияла.Ситуация не повлияла и на численность СВА, а бюджет будет сэкономлен за счет сокращения командировок на проведение аудитов.



21

Артем Горлов, управляющий директор по операционным аудитам ПАО АФК «Система»:

В компаниях Группы АФК «Система» те подразделения внутреннего аудита, у которых до пандемии было налажено взаимодействие с менеджментом и советом директоров, уже в начале апреля были интегрированы в антикризисные планы компаний. В условиях кризиса мы рекомендовали подразделениям сфокусировать свою работу на сокращении операционных затрат и непроектных инвестиций, а также повышении ликвидности запасов. Почти все подразделения компаний Группы смогли безболезненно перейти на удаленную работу без ущерба для эффективности, за исключением тех компаний, где качество управленческого учета не позволяет внутренним аудиторам выполнять аналитические процедуры.Из неожиданных последствий пандемии можно отметить кратный рост запросов менеджмента на консультационные услуги; в частности, менеджмент привлекал внутренних аудиторов для анализа и пересмотра долгосрочных стратегий компаний, а также разработки антикризисных мероприятий.

Изменения в режиме работы

Что касается изменений в режиме работы персонала, то в 71% опрошенных российских компаний департаменты внутреннего аудита полностью перешли на удаленный режим работы, лишь у 2% не произошло никаких изменений (см. таблицу 7).



Таблица 7. Какие изменения были внесены в режим работы персонала внутреннего аудита (Россия):

Частичный переход на удаленный режим работы 31%Полный переход на удаленный режим работы 71%Переориентирование на выполнение задач, не связанных с проведением интервью

(анализ данных, изучение документации, изучение лучших практик и т.п.)

31%

Переориентирование на развитие персональных навыков (самообучение) 24%Изменений не произошло 2%Другое (сокращение процедур, связанных с непосредственным выездом на объект

аудита; удаленные интервью, отказ от посещения объектов; частичный вывод в

простой вместе с другими службами (финансы, юристы))

7%

Примечание: респонденты отмечали все подходящие варианты.

Таблица 6. Корректировка плана внутреннего аудита в связи с COVID-19 (опрос IIA):

Прекращение/ прерывание некоторых аудиторских заданий или сокращение их объема 56%Отмена некоторых аудиторских заданий 48%Добавление некоторых новых аудиторских заданий 39%Перенаправление аудиторского персонала для выполнения неаудиторской работы 38%Расширение сферы охвата некоторых аудиторских заданий 15%Ничего из вышеперечисленного 13%

Более половины респондентов опроса IIA прекратили или сократили некоторые аудиторские задания и почти половина их отменила. Там, где руководители внутреннего аудита демонстрируют гибкость, отмечается, что почти 4 из 10 респондентов добавили новые обязательства в связи с COVID-19 и 4 из 10 перенаправили персонал, чтобы отложить свою обычную аудиторскую работу и помочь своим организациям в это кризисное время, выполняя неаудиторскую работу (см. таблицу 6):

22

Мария Кедрова, директор управления внутреннего аудита, «Ренессанс Страхование»:В нашей компании СВА вовлекалась и вовлекается в мероприятия по реагированию как ранее, так и сейчас. Пару лет назад мы провели комплексный тематический аудит по оценке BCP* и DRP** . По итогам аудита в качестве рекомендаций мы предлагали менеджменту дополнительные инструменты по совершенствованию процессов обеспечения непрерывности бизнеса, например, детализированный формат BIA (Business Impact Аnalysis), который также использовался в нынешней ситуации с пандемией при переходе на удаленный режим работы. Поскольку внутренний аудит очень глубоко погружен в бизнес-процессы компании, мы активно участвовали в подготовке перехода компании на удаленку: предоставляли рекомендации оперативному штабу по независимой оценке критичности бизнес-процессов и рисковым аспектам (в т.ч. по оценке рисков мошенничества), которые необходимо было предусмотреть.В удаленный формат работы перешла вся компания, и существенных изменений в деятельности СВА не произошло: как и прежде, мы отправляем запросы на получение информации в электронном виде, а очные встречи с аудируемыми заменили онлайн-конференции.

Олег Ажимов, руководитель службы аудита ПАО «РусГидро», поделился опытом работы СВА в условиях самоизоляции ***:

«В целом служба внутреннего аудита компании безболезненно и оперативно перешла на дистанционную работу, вначале частично, но со второй недели уже в полном составе. Этому способствовало наличие ноутбуков у большинства сотрудников СВА, электронный документооборот, дистанционный доступ к сервисам компании через Citrix (включая сетевые диски, программы), четкий план работ сотрудников СВА на ближайший период и др.В компании был создан штаб, который оперативно решает все возникающие вопросы.

................* Business Continuity Plan – план обеспечения непрерывности бизнеса** Disaster Recovery Plan – план восстановления инфраструктуры компании после чрезвычайной ситуации*** А.Сонин, О.Ажимов «Пандемия – вызов для внутреннего аудита. Глобальные задачи и переход на дистанционную работу»https://www.audit-it.ru/articles/finance/a106/1011004.htmlhttps://gaap.ru/articles/Pandemiya_vyzov_dlya_vnutrennego_audita/

Дополнительно к режиму дистанционной работы вместо оперативных совещаний и планерок я, как руководитель СВА, ввел еженедельное почасовое планирование задач для каждого сотрудника и еженедельный отчет об их выполнении (с информацией о потраченном времени, внеплановых поручениях, возникших сложностях).Нашей СВА немного повезло, что начало самоизоляции совпало с окончанием выездных этапов проверок, поэтому внутренние аудиторы были заняты подготовкой рабочей документации и результирующих документов. В будущем возможны сложности, связанные с отсутствием первичных документов в электронном виде у некоторых объектов аудита, а также дистанционной работой сотрудников объектов аудита, но мы надеемся, что сможем это наверстать после режима самоизоляции.Также у нас был ряд отложенных задач, связанных с внесением изменений в ЛНА и разработкой новых ЛНА, регламентирующих деятельность внутреннего аудита. И на самоизоляции есть возможность заняться этими вопросами.В начале режима самоизоляции я договорился с нашим корпоративным университетом, чтобы для сотрудников СВА открыли доступ ко всем курсам по повышению Soft Skills, но Минтруд разъяснил, что «режим каникул», объявленный Президентом РФ, не распространяется на ПАО «РусГидро» (организация, эксплуатирующая гидротехнические сооружения), и повышение Soft Skills пришлось отложить, поскольку все работают, и работать приходится не менее интенсивно, чем обычно.

Что касается неожиданного перехода на дистанционную работу из дома, то здесь выявились некоторые нюансы:1. Существенно увеличилось время на письменные коммуникации посредством электронной почты, раньше часть вопросов решалась путем устных сообщений.2. Некоторая сложность ощущается у сотрудников с детьми: маленькие дети требуют постоянного внимания, детям-школьникам необходимо делать уроки (им также нужны компьютеры и рабочие поверхности). В целом, многие ощутили нехватку столов и ноутбуков для каждого члена семьи. Есть сложности с работой с таблицами на небольшом экране ноутбука, иногда требуется принтер и сканер, которые есть не у всех.3. Все москвичи отмечают огромную экономию времени на дорогу; сотрудники стали позже просыпаться.4. Всем очень не хватает живого общения с коллегами.



https://www.audit-it.ru/articles/finance/a106/1011004.html

https://gaap.ru/articles/Pandemiya_vyzov_dlya_vnutrennego_audita/

23

Денис Овсянников, директор по внутреннему аудиту ТЕЛЕ2:

Переход на дистанционный режим работы технически прошел для нас довольно гладко, поскольку еще два года назад мы добавили возможность удаленной работы в графики и трудовые договоры внутренних аудиторов. Тогда же были отработаны технические аспекты, такие как доступ к информационным системам, правила на случай тех или иных ситуаций. В условиях удаленной работы одной из распространенных сложностей стала работа с бумажными документами. Не находясь в офисе, сотрудник часто не имеет доступа к печати и оргтехнике. В нашей компании в апреле были сформированы рабочие группы, нацеленные на перевод документооборота, как внешнего, так и внутреннего в электронную форму. Внутренние аудиторы вошли в состав этих групп, поскольку знание СВК и кросс-функциональный опыт помогают ускорить изменение процессов, не потеряв эффективности контролей.Переход на удаленную работу подразумевает массовое внедрение средств удаленного доступа к конфиденциальной информации. Для сотрудников ИТ-подразделений и Информационной безопасности весенние месяцы стали временем ускоренного преобразования ИТ-инфраструктуры. Все вопросы информационной безопасности тщательно прорабатывались и перепроверялись. Аудит информационной безопасности, как третья линия защиты, в это время большую часть своих ресурсов перенаправил на проверку контролей вновь настраиваемых систем.

Удаленный режим предполагает наличие у сотрудников необходимой техники (компьютеры, ноутбуки, принтеры, сканеры). И если сукомплектованием ноутбуками/ компьютерами традиционно проблем не возникает, то отсутствие в квартирах/ домах сотрудников сканеров и принтеров приносит заметные неудобства. Также успешная работа в удаленном формате зависит от активного использования различных ИТ-инструментов и программ (облачные сервисы, системы электронного документооборота, системы коммуникаций, организация доступа к сетевым ресурсам компаний и проч.) – см. таблицу 8. Среди отрицательных моментов удаленки, связанных с ИТ, внутренние аудиторы отметили: отсутствие доступа к сетевым ресурсам; некорректную работу ИТ-систем; ошибки/ сбои в работе облачных сервисов; проблемы с организацией онлайн-коммуникаций с сотрудниками и представителями объектов проверки; отсутствие доступа к базам 1С дочерних обществ вне корпоративной сети*; невозможность сделать и передать большой объем скан-копий документов**.

Бюджет и кадры

Что касается кадровых вопросов и бюджетирования функции ВА, то в апреле прогнозы были достаточно оптимистичными. 82% участников российского опроса говорят о том, что текущая ситуация не повлияла/ не повлияет на численность службы внутреннего аудита, 9% заявили, что численность уже была или будет сокращена на постоянной основе. Опрос IIA показал схожую картину: 74% респондентов говорят об отсутствии влияния на численность СВА, 21% – о сокращении персонала (в т.ч. временного, на аутсосре или ко-сорсе), 3% – об увеличении, 2% затруднились ответить.

*В т.ч. по причине отсутствия лицензии, которая автоматически авторизуется в корпоративной сети (вопрос был решен установкой локальной лицензии).**Вместо доступа к первичным документам объекта проверки.



Существенно 16%Несущественно 31%Влияния нет 49%Другое (возрос интерес к инструментам обработки и визуализации данных; высокий

уровень автоматизации и цифровизации СВА, достигнутый ранее, позволил оперативно

перейти на дистанционный режим без потери качества)

4%

Таблица 8. Насколько текущая ситуация оказала влияние/ изменила подход в части использования современных ИТ-инструментов во внутреннем аудите (автоматизированные системы внутреннего аудита, программные роботы (RPA), специализированное ПО для получения, обработки и анализа данных и т.п.) (Россия):

24

69% опрошенных российских компаний сообщают, что ситуация пока не повлияла на бюджет СВА, но некоторые респонденты отмечают, что расходы сократятся естественным образом из-за отсутствия командировок и сокращения очного обучения. 27% заявили, что годовой бюджет уже был или еще будет сокращен.

Похожую картину показывает и апрельский опрос IIA: 59% респондентов заявили, что ситуация не влияет на их бюджет, 30% отметили сокращение бюджета, 2% – его увеличение, 9% затруднились ответить. Ожидаемо, что наибольшее сокращение бюджетов произошло в компаниях, ориентированных на потребителей (например, розничная торговля, продукты питания, путешествия) – об этом заявили 50% респондентов из этой отрасли.

В заключение

Алексей Чепайкин, директор по внутреннему контролю и аудиту – главный контролер АО «Концерн Росэнергоатом», полагает, что для каких-либо обобщающих выводов время еще не настало, поскольку ситуация требует изучения. Но, по его мнению, определенные наблюдения уже есть:

1. Любой субъект экономики в апреле – мае функционировал в режиме антикризисного управления. Место внутреннего аудита в новом «боевом распорядке» организаций находилось интуитивно, готовых сценариев не было.2. Главное не мешать, не распылять силы людей, которые реально занимаются антикризисным управлением, на свои активности, не являющиеся по-настоящему важными в данный момент.3. Быстрые внутренние консультации менеджменту и содействие ему в решении антикризисных задач в данной ситуации важнее проводимых системных последовательных оценок. 4. Важно определить уровень достаточных действий для решения сохранившихся задач «нормального периода», в т.ч. корректирующих мероприятий. Перенести «вправо» то, что за уровнем достаточности. 5. Работа коллективом должна продолжаться. Если высвободилось время нужно делать то, что можно сделать и в самоизоляции, например, исполнить мероприятия программы повышения и обеспечения качества, запланированные на более поздний период.

Институт внутренних аудиторов


25

Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот»,Татьяна Кутакова, начальник отдела методологии, финансового и операционного аудита департамента внутреннего аудита ПАО «Аэрофлот»:

Нет сферы бизнеса, компании или коллектива, которые остались бы в стороне от изменений, диктуемых пандемией. Авиационная сфера одна из первых приняла удар коронавирусной стихии на себя, и «Аэрофлот» не остался в стороне. В компании создан оперативный штаб, который занимается выработкой предложений по проведению мероприятий, направленных на предупреждение распространения инфекции. Основная часть офисных сотрудников была переведена на удаленную работу.

В текущей ситуации ДВА работает в режиме удаленной работы, аудиты выполняются в соответствии с планом на 2020 год. Функционал департамента не изменился, мы продолжаем выполнение задач, утвержденных советом директоров компании и предусмотренных Положением о ДВА.

Единственное, что изменилось – это форма выполнения аудитов. Удаленная работа обеспечивается информационными системами коммуникации и инструментом автоматизации функции внутреннего аудита. Команда ДВА широко использует такие программы как Skype для бизнеса, Zoom, SAP AM, SAP ERP и корпоративные информационные системы, которые используются в аудируемых бизнес-процессах.

Эффективность работы в условиях карантина напрямую зависит от уровня цифровизации вашего бизнеса, управляемого вами процесса. ДВА оказался во всеоружии, т.к. уже несколько лет все процессы аудита полностью автоматизированы на базе SAP AM. И текущая ситуация подтвердила правильность и актуальность решения по автоматизации функции внутреннего аудита. Во время работы в удаленном режиме мы успешно завершили миграцию на новую платформу SAP АМ 1.3., в которой работают все внутренние аудиторы Группы Аэрофлот.В рамках удаленной работы на первый план выходят также вопросы коммуникации – как внутри команды аудиторов, так и с проверяемыми подразделениями. Мы организовали еженедельные видеоконференции с ключевыми сотрудниками и руководством ДВА для

решения текущих задач, информирования сотрудников и поддержания командного духа. Мы придерживаемся стандартного рабочего графика, что позволяет оперативно решать рабочие вопросы, т.к. одновременно все сотрудники находятся «на связи». Кроме того, работа в привычном графике рабочего дня позволяет внутренним аудиторам сохранить баланс рабочего и личного времени для каждого из них. С исполнительным руководством ДВА находится также на связи в режиме онлайн.Современные средства коммуникации позволяют не только своевременно выполнять аудиторские проекты, не выходя из дома, но и повышать свой профессиональный уровень, проходя онлайн-обучение. За организацию вебинаров для внутренних аудиторов хочется отдельно поблагодарить Институт внутренних аудиторов.

Основа работы ДВА – риск-ориентированный подход при планировании и выполнении аудитов. Безусловно, риски, которые стали особенно актуальными для компании в текущей ситуации, не остаются без внимания ДВА. Внесены изменения в программы и планы проведения текущих аудитов с учетом новых факторов риска, связанных с пандемией. Кроме того, ежегодно в июле-августе ДВА актуализирует Модель аудита. В рамках данного процесса осуществляется оценка полноты и актуальности рисков, разрабатывается План аудитов на очередной период. В текущем году данная работа будет особенно важной и ответственной. Вектор направленности аудитов на очередной период определенно будет учитывать вызовы, с которыми столкнулась компания.

Основные уроки, которые мы извлекли в текущей ситуации:• цифровизация является жизнеобеспечивающим трендом, соответствие которому является залогом не только успеха, но и выживания в непростых условиях;• внутреннему аудиту очень важно быть актуальным в оценке рисков и быть готовым оперативно реагировать на изменения как внутренней, так и внешней среды компании. От этого зависит польза продукта функции внутреннего аудита; • ИТ-грамотность, профессионализм, гибкость, наряду с навыками эффективной коммуникации, становятся «спасательным жилетом» для внутренних аудиторов в условиях пандемии и карантина.




ПРАКТИКА

Типовые нарушения при планировании и

документировании работ по техническому обслуживанию

и ремонту оборудования

Никита Масюк начальник управления внутреннего аудита АО «Россети Тюмень»

Ирина Михайловаведущий специалист Управления внутреннего аудита АО «Россети Тюмень»

27

Стратегической целью электросетевых организаций является долгосрочное обеспечение надежного, качественного и доступного энергоснабжения потребителей. Доля основных средств в составе внеоборотных активов таких компаний всегда существенно преобладает над иными факторами производства. Именно поэтому достижение стратегической цели невозможно без регулярного и качественного проведения технического обслуживания и ремонта электросетевых объектов (далее – ТОиР).

На уровне государственного регулирования ТОиР электросетевые организации руководствуются, например, следующими документами:

• Приказ Министерства энергетики Российской Федерации (Минэнерго России) от 08.07.2002 № 204 «Об утверждении глав Правил устройства электроустановок». Правила содержат общие требования к устройству электроустановок, систем электроснабжения и электрических сетей, требования к защитным мерам электробезопасности и устройству заземлений, к выбору изоляции электроустановок,• Приказ Минэнерго России от 13.01.2003 № 6 «Об утверждении Правил технической эксплуатации электроустановок потребителей». Правила направлены на обеспечение надежной, безопасной и рациональной эксплуатации электроустановок и содержание их в исправном состоянии,• Приказ Минэнерго России от 25.10.2017 № 1013 «Об утверждении требований к обеспечению надежности электроэнергетических систем, надежности и безопасности объектов электроэнергетики и энергопринимающих установок «Правила организации технического обслуживания и ремонта объектов электроэнергетики». Правила устанавливают требования к организации технического обслуживания, планирования, подготовки, производства ремонта и приемки из ремонта объектов электроэнергетики, входящих в электроэнергетические системы, а также требования по контролю за организацией ремонтной деятельности указанных объектов субъектами электроэнергетики.


ПРАКТИКА

28

Комплекс работ по ТОиР позволяет достигнуть цели по обеспечению надежности и работоспособности оборудования, постоянного и периодического контроля, оценки технического состояния оборудования, определения необходимости и сроков проведения ремонтов оборудования, поддержания и восстановления работоспособности оборудования, ведения технической документации на эксплуатируемое оборудование, определения состояния основного оборудования.

При планировании внутренних аудиторских процедур подпроцессов «Планирование ремонтных и эксплуатационных работ», «Выполнение ремонтных и эксплуатационных работ» в программу проверки целесообразно включить следующие вопросы:

• проверка полноты и обоснованности включения в ремонтную программу объектов, подлежащих ремонту согласно требованиям локальных нормативных актов (далее – ЛНА), нормативной периодичности проведения ТОиР с учетом произведенных в предыдущем периоде ремонтов и работ;• проверка корректности планирования затрат на выполнение ремонта объектов, в том числе проверка корректности локальных сметных расчетов, анализ применения справочников сметно-нормативной базы;• проверка правильности разработки смет действующей нормативной документации, в том числе корректности коэффициентов, индексов;• проверка своевременности заключения и исполнения договоров на ТОиР, сроков исполнения графика ТОиР;• анализ соответствия условий договоров требованиям законодательства и ЛНА;• анализ соблюдения условий заключенных договоров;• проверка соблюдения норм и правил при производстве ТОиР;• проверка соответствия первичных документов выполненных работ сметам и условиям договоров по объему выполнения работ в физическом выражении;• проверка соответствия актов, справки о стоимости выполненных работ сметам и условиям договора по цене, применяемой к номенклатуре работы;• проверка соответствия списаний материалов на ремонт хозяйственным способом фактическому выполнению работ, в том числе проверка обоснованности списанных объемов материалов и пр.

Подготовка к проверке

Выполнение работ по ТОиР может осуществляться как силами собственного персонала (хозяйственным способом), так и силами сторонних организаций (внешним подрядом), и в случаях, установленных законом, посредством проведения закупочных процедур.

Решение о способе выполнения работ должно учитывать сложность и объем работ, обеспеченность трудовыми и материально-техническими ресурсами, экономический эффект, а также наличие на рынке подрядных организаций, готовых в установленный срок выполнить полный комплекс ТОиР в полном соответствии с условиями заключенного договора. Приоритетом при определении способа выполнения работ (хозяйственный или подрядный) в рамках реализации программы ТОиР целесообразно считать полную загрузку собственного электротехнического и ремонтного персонала. Работы, требующие привлечения узкоспециализированного персонала и технологий, следует передавать на внешний подряд.

При этом, в зависимости от уровня оснащения собственными производственными ресурсами, можно выделить работы, рекомендуемые к выполнению хозяйственным способом, например: • ремонт оборудования трансформаторных подстанций (далее – ТП) 10/0,4 кВ и 6/0,4 кВ или распределительных пунктов (далее – РП) 6-35 кВ; • ремонт линий электропередачи (далее – ЛЭП) всех классов напряжения, валка опасно стоящих деревьев, угрожающих падением на провода ЛЭП; • покраска оборудования подстанций (далее – ПС), например 110/35/10 кВ или 110/35/6 кВ, за исключением порталов, мачт и отдельностоящих молниеотводов; • ремонт транспортабельного оборудования или его узлов агрегатным методом в специализированных мастерских.

Работы более продолжительного цикла и требующие большей оснащенности производственных подразделений, рекомендуемые к выполнению подрядным способом: • капитальный ремонт силовых трансформаторов, автотрансформаторов, шунтирующих реакторов, высоковольтных вводов, измерительных трансформаторов тока и напряжения 35 кВ и выше;


ПРАКТИКА

29

• капитальный и средний ремонты масляных выключателей 110 кВ и выше; • капитальный ремонт комплектных распределительных устройств, элегазовых* и вакуумных коммутационных аппаратов, измерительных трансформаторов и пр.

Основой для планирования ремонтной программы должны выступать перспективные (многолетние) графики ремонтов оборудования. Планирование ремонта оборудования включает в себя разработку:• перспективных (многолетних) графиков ремонта оборудования ПС, воздушных линий (далее – ВЛ);• годовых планов-графиков ремонта оборудования ПС, ВЛ в соответствии с принятыми подходами к проведению ремонтов;• месячных планов-графиков ремонта оборудования ПС, ВЛ.

При подготовке графиков и планов ремонтов учитываются:• установленная требованиями правил, стандартов, нормативных документов периодичность по видам ремонтов оборудования ПС, ВЛ;• нормы и нормативы выполнения плановых ремонтов оборудования;• требования руководящих документов (противоаварийных, эксплуатационных циркуляров и др.); • данные отчетных документов предыдущих капитальных (средних) ремонтов;• данные о повреждении конкретного оборудования и его составных частей; • наличие неисправностей и дефектов, подлежащих устранению при ремонте, повторяемость дефектов; • вероятность, последствия отказа оборудования и пр.

Аудиторские доказательства

Источниками информации для проведения аудиторских процедур могут быть:

• для работ, выполняемых силами подрядных организаций: акт о приемке выполненных работ по форме КС-2, справка о стоимости выполненных работ и затрат по форме КС-3, технический акт и иные документы в соответствии с утвержденным графиком документооборота;

……............................* Элегаз – электротехнический газ – представляет собой шестифтористую серу SF6 (шестифтор). Элегаз является основным изолятором в элементах ячеек с элегазовой изоляцией.

• для работ, выполняемых хозяйственным способом: первичные документы, ведомость учета выполненных работ и технический акт (далее – ТА) и иные документы в соответствии с утвержденным графиком документооборота.

Результаты осмотров, проверок и измерений заносятся в листки осмотра, ведомости и журналы, формы которых должны быть утверждены ЛНА.

Основным документом, устанавливающим не только ценовые ориентиры при проведении ремонтных работ, но и состав таких работ является локальный сметный расчет (далее – ЛСР). Смета содержит в себе информацию о фонде заработной платы; расходах на приобретение материалов, комплектующих изделий; транспортных расходах.

Стоимость работ по ТОиР, выполняемых как хозяйственным, так и подрядным способом, должна формироваться с применением релевантных расценок сметно-нормативной базы.

Исполнительная документация представляет собой текстовые и графические материалы, отражающие фактическое исполнение в процессе капитального ремонта объектов капитального строительства. В состав исполнительной документации включены документы, отражающие фактическое исполнение проектных решений и выполненных ремонтных работ.

Табель учета рабочего времени предназначен для внесения сведений о фактически отработанном работниками филиалов времени. Применяется для учета времени, фактически отработанного и неотработанного каждым работником филиала, для контроля за соблюдением работниками установленного режима рабочего времени, для получения данных об отработанном времени, расчета оплаты труда, а также для составления статистической отчетности по труду.

Отметки в табеле о причинах неявок на работу, работе в режиме неполного рабочего времени или за пределами нормальной продолжительности рабочего времени по инициативе работника или работодателя, сокращенной продолжительности рабочего времени производятся на основании документов, оформленных надлежащим образом.


ПРАКТИКА

30

Типовые нарушения

Аудиторские проверки процесса ТОиР предполагают проведение анализа документации по планированию ремонтных работ, а также данных, подтверждающих их фактическое выполнение.

При проверке документации целесообразно проводить сравнение содержащихся сведений одного документа с другим на предмет соответствия перечня работ, размера трудозатрат, сроков выполнения работ, объемов выполненных работ и др.

В первом столбце и первой строке таблицы приведены документы:• применяемые при планировании объема и стоимости ремонтных работ ( __ - план-график, ЛСР), • подтверждающие фактическое выполнение ремонтных работ ( __ - акт по форме КС-2, технические акты, листы осмотров).

При сравнении исходных данных анализируемых документов внутренние аудиторы должны установить отклонения или подтвердить их отсутствие в рамках анализируемой выборки. Например, при сравнении плана-графика выполнения работ с дефектными ведомостями, оформленными после проведения планового ремонта, могут быть выявлены неустраненныенедостатки в работе оборудования, что можно расценивать (при отсутствии других объективных причин) как невыполнение запланированных работ.


ПРАКТИКА

Наименование

документа

План-график

выполнения работ

Технический акт,

журналы, листы

осмотра, дефектные

ведомости,

протоколы

Локально-сметный

расчет Акт по форме КС-2

План-график

выполнения

работ

Х

Невыполнение

запланированных

работ

Подготовка ЛСР, не

учитывающих

сезонность

выполнения работ

Выполнение

незапланированных

работ

ТА, журналы,

листы осмотра,

дефектные

ведомости,

протоколы

Включение в

ремонтную

программу объектов,

не требующих

проведения ремонта

Х

Несоответствие

статей затрат виду

ремонтных работ

Признание в учете

затрат при

фактическом

невыполнении

работ

Локально-

сметный расчет

Включение в ЛСР

незапланированных

объемов работ

Отсутствие ЛСР по

выполненным

работам согласно ТА

Х


актов сметам по

цене, применяемой

к номенклатуре

работ

Акт по форме

КС-2

Неисполнение

сроков выполнения

плана-графика ТОиР

Приемка

выполненных работ

ранее фактического

выполнения


объема фактически

отремонтированных

объектов

плановым в ЛСР

Х

31

Комплекс работ по ТОиР должен обеспечивать надежность и работоспособность оборудования, постоянный и периодический контроль, оценку технического состояния оборудования, определение необходимости и срока проведения ремонтов оборудования, поддержание и восстановление работоспособности оборудования, ведение технической документации на эксплуатируемое оборудование, определение состояния основного оборудования. Риск-ориентированный подход анализа выявленных нарушений позволяет соотнести нарушения, риски и их последствия.


ПРАКТИКА

Наименование нарушений Сопутствующий риск Описание последствий

Подготовка смет, несоответствующих

нормативной документации, в том

числе некорректное применение

коэффициентов, индексов

Риск финансовых потерь Неэффективные или необоснованные расходы

на основе корректного пересчета смет

Ненадлежащее оформление первичных

документов, подтверждающих

выполнение работ

Риск финансовых потерь Доначисление налогов, штрафные санкции

Отсутствие первичных документов,

подтверждающих выполнение работ

Коррупционный риск Уголовное преследование виновных лиц

Ненадлежащее оформление

технической, исполнительной

документации в соответствии с

требованиями законодательства,

внутренних нормативных документов

Риск финансовых потерь

Риск потери контроля

Проведение повторных ремонтных работ из-за

некачественного выполнения (невыполнения)

необходимых скрытых работ.

Отсутствие документального

подтверждения выполненных работ в

полном объеме

Административный риск Возможное привлечение к административной

ответственности юридического лица и

сотрудников компании, виновных в

недостаточном контроле за неподтвержденный

объем выполненных работ

Невыполнение (не полное

выполнение) технического

обслуживания и ремонтных работ

Коррупционный риск


Административный риск

Актирование невыполненных работ по

техническому обслуживанию и ремонту, как

правило, имеет коррупционную основу. При

проведении внешних проверок технического

надзора возможно привлечение к

административной ответственности

Включение в ремонтную программу

объектов, не требующих проведения

ремонта, в том числе ситуации, когда

ремонты произведены в предыдущем

периоде

Риск финансовых потерь Увеличение операционных расходов компании,

снижение прибыли

Отсутствие в ЛСР и иных первичных

документах идентифицируемого

объекта ремонта



Искажение данных бухгалтерского учета и

управленческого учета

Приемка выполненных работ ранее их

фактического выполнения



Отвлечение денежных средств предприятия,

убытки в сумме недополученных доходов от

размещения свободных денежных средств

32

Классификация типовых нарушений по ТОиР позволит минимизировать трудозатраты подразделений внутреннего аудита, а предоставление результатов такой классификации держателям бизнес-процессов и топ-менеджменту повысит культуру риск-ориентированного управления и будет способствовать минимизации ряда существенных рисков, связанных с ТОиР: рисков финансовых потерь, рисков потери контроля, рисков фактических потерь (убытков), рисков несчастного случая, рисков снижения надежности электроснабжения, рисков технологических нарушений, а также коррупционных рисков.

Причинами описанных типовых нарушений могут являться: неэффективная организация и регламентация процесса, коррупционные побуждения и конфликт интересов, а также неэффективное управление персоналом.Большинство типовых нарушений являются следствием слабой организации системы внутреннего контроля, в том числе неэффективного дизайна контрольных процедур, выраженного в недостаточном понимании субъектами первой линии защиты необходимости осознанного построения контрольных процедур. Отсутствие взаимодействия между структурными подразделениями, в компетенцию которых входит решение вопросов ТОиР, нарушение связей и соответствия данных приводят к риску недостижения стратегических целей. Система коммуникаций в современном мире, как ни парадоксально, является слабым звеном большинства бизнес-процессов.

Регулярный мониторинг третьей линией защиты эффективности контрольных процедур приведет к снижению таких негативных последствий, как неэффективные или необоснованные расходы; отсутствие документального подтверждения выполненных работ; принятие необоснованных, неэффективных решений; неверная оценка технического состояния оборудования; невключение объекта в программу ремонта; дополнительные затраты на повторное проведение работ по осмотру, проверке, измерениям, дополнительные затраты при выполнении работ и пр. ∞


ПРАКТИКА


ПРАКТИКА

Элла Евдокимоваруководитель службы внутреннего контроля коммерческого банка

Практические аспектыформирования

консолидированной базы событий комплаенс-риска в

холдинге (группе компаний)

Обычно компании различных отраслей практикуют ведение базы рисков, на основании которой формируется карта рисков. База рисков может содержать совокупную информацию обо всех рисках, присущих деятельности компании, а также формироваться в разрезе видов рисков: в частности, комплаенс-риска.В этой статье мы рассмотрим практику формирования консолидированной базы событий комплаенс-риска* с учетом специфики холдинга (группы компаний).

В настоящее время существует практика ведения отдельной базы событий комплаенс-риска; вместе с тем, есть компании, формирующие единую базу событий операционного и комплаенс-риска. Обязательное формирование базы комплаенс-риска (как отдельной базы, так и в составе базы операционного риска) должно присутствовать, например, в коммерческих банках и небанковских кредитных организациях. У каждого из подходов есть свои плюсы и минусы, однако основное различие заключается в том, что при формировании отдельной базы комплаенс-риска реализуется возможность применения отдельной методики оценки риска, не связанной с подходами к оценке операционного риска.

В зависимости от уровня зрелости в компаниях функционируют подразделения внутреннего аудита, внутреннего контроля и управления рисками, которые в том числе осуществляют ведение баз данных в рамках своей деятельности: служба внутреннего аудита – базы данных о проведенных аудитах и консультационных услугах, выявленных в ходе аудитов рисков, планах мероприятий по устранению нарушений и недостатков; служба внутреннего контроля – базы данных о результатах проведенных контрольных процедур и базы событий комплаенс-рисков; служба управления рисками – базы данных операционных рисков, базы рисков компании и т.д.

В целях формирования баз подразделениям необходимо обмениваться данными в рамках запросов, либо на периодической основе в виде отдельных выгрузок. Также могут применяться различные программные комплексы для ведения баз данных: как специализированные (программы для проведения аудита, SAS и др.), так и программы Microsoft Office (формат Excel и Access).

Такова среднестатистическая ситуация в отдельной компании. А если обратиться к практике группы компаний (холдингу), то количество формируемых баз данных подразделениями внутреннего аудита, контроля и управления рисками вырастает в геометрической прогрессии.

При этом доступ к базам данных, как правило, жестко ограничен в силу конфиденциальности информации, а формирование консолидированной базы в разовом порядке требует значительных временных затрат.

……............................* Термин «комплаенс-риск» используется в значении риска применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации в результате несоблюдения норм, касающихся бизнес-деятельности.

34

ПРАКТИКА


35

Таким образом, достаточно часто отсутствует возможность формирования полной картины происходящего в области управления комплаенс-риском в группе компаний/ холдинге в режиме онлайн. А современные подходы в части интеграции управления рисками со стратегией и эффективностью деятельности компании/ группы компаний/ холдинга делают необходимым условием использование консолидированных данных о рисках компании/ группы компаний/ холдинга (в том числе в разрезе отдельных видов риска).

Рассмотрим более детально этапы реализации решения по формированию консолидированной базы комплаенс-риска группы компаний:

1. Принятие решения о формировании консолидированной базы комплаенс-риска

Казалось бы – это самый простой и логичный этап. Однако опыт внедрения показывает, что это решение требует как особого дара убеждения, так и определенного времени «созревания» руководителей подразделений аудита, контроля и управления рисками разных компаний группы/ холдинга для принятия необходимости такого решения.

Основное условие, озвучиваемое руководителями подразделений: применяемый формат базы данных подразделения должен остаться без изменений. А для целей консолидированной базы нужно обеспечить автоматический импорт данных из каждой базы; соответственно, необходима унификация формата.

На первом этапе целесообразно определить основного драйвера процесса – подразделение/ сотрудников, которые фактически станут проектными менеджерами по реализации данного проекта. В качестве проектного менеджера может выступать руководитель и сотрудники подразделения, ответственного за формирование базы комплаенс-риска компании (например, подразделение службы внутреннего контроля в банке, входящем в банковский холдинг), либо возможно выделение отдельного сотрудника из числа риск-офицеров группы.

Залогом успеха является обратная связь от всех заинтересованных подразделений на каждом этапе реализации проекта.

На первом этапе также целесообразно получение обратной связи от менеджмента группы/ холдинга в части понимания необходимости и эффекта консолидированной базы комплаенс-риска (например, на уровне менеджера по вопросам внутреннего контроля и управления рисками).

2. Определение формата консолидированной базы комплаенс-риска

На данном этапе требуется сформировать минимальный набор данных для целей выявления, учета, оценки, мониторинга событий комплаенс-риска с учетом практики формирования базы комплаенс-риска.В случае, если в группе компаний/ холдинге утверждены общие для группы/ холдинга внутренние документы (политика, регламент, положение об управлении комплаенс-риском), регулирующие управление комплаенс-риском, то необходимо обеспечить соответствие формата консолидированной базы комплаенс-риска формату, определенному в указанных документах (при необходимости, внести соответствующие изменения во внутренние документы).

В качестве примера формата базы данных можно привести следующие данные:• уникальный идентификатор события риска• дата• вид контроля• риск• описание события риска;• бизнес-процесс• подразделение• компания• уровень риска• вид потерь• сумма потерь• последствия/перспективы/санкции• доля в общем объеме риск-аппетита по комплаенс-риску (при наличии установленного размера)• план мероприятий по митигации риска (мероприятие, ответственное подразделение, план/ факт срока исполнения, статус исполнения), решение о принятии риска менеджментом, решение о прекращении вида деятельности, операции (при наличии решения).

Предложения по формату консолидированной базы данных согласовываются с представителями заинтересованных подразделений - участников процесса.


ПРАКТИКА

36

3. Определение правил соответствия данных

На данном этапе необходимо проанализировать существующие форматы всех применяемых подразделениями баз данных. Целесообразно реализацию третьего этапа осуществлять параллельно второму этапу, поскольку это позволяет определить оптимальную структуру импортируемых данных. Для этого запрашиваются выгрузки баз данных, проводится анализ каждой исходной базы данных на предмет соответствия ячейки исходной базы данных соответствующей ячейке консолидированной базы комплаенс-риска. Минимальные данные определяются по принципу «что, где, когда»: описание события риска (например, установленное нарушение в ходе аудита), в каком подразделении установлено (вид деятельности, бизнес-процесс, операции и т.д.), когда реализовано и выявлено. Желательно обеспечить импорт исходных данных в части оценки риска (принимая во внимание, что оценка может быть изменена в результате оценки в соответствии с утвержденной методикой по оценке комплаенс-риска группы компаний/ холдинга). Обязательными для импорта являются данные о планах мероприятий по управлению риском, по устранению нарушений/ недостатков с учетом наличия детализации информации об ответственных за реализацию мероприятий, сроках реализации и т.д.Существенный аспект – обеспечить договоренность с заинтересованными подразделениями на введение временного моратория на изменение форматов исходных баз данных.

4. Детализация данных консолидированной базы комплаенс-риска

По итогам реализации второго и третьего этапов необходимо определить для каждого столбца консолидированной базы комплаенс-риска допустимый выбор значения ячейки: выплывающий список с возможностью выбора, выбор даты из календаря, перечень контрольных подразделений и надзорных органов, выявивших риск, перечень направлений деятельности, перечень подразделений компаний (организационная структура), возможность ввода текстовых данных (с ограничением количества символов) – для описания события риска.

Перечни для выбора допустимых значений должны соответствовать подходам и критериям оценки комплаенс-риска, закрепленным внутренними документами группы/ холдинга.

Следует предусмотреть уникальный идентификатор каждого события комплаенс-риска, поскольку это обеспечивает возможность последующего обновления данных по конкретному событию (для исключения дублирования событий), а также определить порядок обновления данных в базе.По результатам четвертого этапа необходима обратная связь от заинтересованных подразделений.

5. Принятие решения о выборе программного комплекса

На данном этапе проводится анализ формата выгрузки информации из каждой базы данных, возможность и периодичность автоматической выгрузки информации, возможность прямого импорта данных.

Например, база данных службы внутреннего аудита ведется в специализированном программном комплексе, который позволяет формировать выгрузки в формате Excel, а база данных службы внутреннего контроля формируется только в Excel. Соответственно, при принятии решения о выборе программного продукта стоит рассматривать возможность применения программ, поддерживающих импорт данных в/из Excel.

Второй аспект, который необходимо учитывать, –каким образом будет осуществляться автоматизация процесса: силами специалистов подразделений внутреннего аудита, контроля, управления рисками, либо ИТ-специалистов компании, либо путем привлечения ИТ-компании для оказания аутсорсинговых услуг.

Результатом реализации пятого этапа является выбор решения и акцептование его менеджментом группы/ холдинга (с учетом бюджета проекта).В частности, по результатам анализа всех применяемых программ для формирования баз данных и текущей занятости ИТ-специалистов в проектах группы компаний может быть сделан выбор в пользу привлечения на аутсорсинг компании для реализации проекта на платформе специализированной программы, используемой для управления операционными рисками.


ПРАКТИКА

37

6. Реализация проекта по автоматизации формирования консолидированной базы комплаенс-риска

Фактически этот этап включает в себя все основные этапы проекта по автоматизации процесса:1. Разработка технического задания (ТЗ)2. Согласование бюджета проекта3. Проведение тендерных процедур (при аутсорсинге)4. Оформление комплекта договорной документации (при аутсорсинге), контроль платежей в ходе реализации проекта5. Рабочие встречи, конф-коллы в рамках реализации проекта6. Тестирование по факту реализации7. Доработки по результатам тестирования8. Написание руководства пользователя9. Ввод в практическую эксплуатацию.

Однако, есть ряд аспектов, на которые следует обратить внимание (как говорится, основываясь на реальных событиях):• Нужен жесткий график реализации проекта и не менее жесткий контроль сроков реализации.• Активная обратная связь от всех задействованных в реализации проекта подразделений, компаний и сотрудников.• Оперативная отработка всех вопросов и предложений со стороны ИТ-специалистов (представителей привлеченной на аутсорсинг компании) проектным менеджером (зачастую приходится менять ТЗ проекта, а иногда и понимать, что не все можно сделать в таком виде, как планировали).• При возникновении изменений следует определять приоритеты, поскольку одна из целей –максимально возможная минимизация ручного ввода данных.

7. Ведение консолидированной базы комплаенс-риска

На данном этапе обеспечивается доступ пользователей к консолидированной базе комплаенс-риска, определяются администраторы базы, осуществляющие поддержку пользователей.В соответствии с функциональными обязанностями сотрудников и подразделений осуществляется эксплуатация консолидированной базы комплаенс-риска.

В заключение кратко сформулируем основные преимущества применения консолидированной базы комплаенс-риска:• Реализация возможности формирования реального представления о текущем уровне компленс-риска как в целом по группе компаний/ холдингу, так и в разрезе отдельных операций и видов деятельности, территорий присутствия компаний (государств).• Принятие решений в части управления комплаенс-риском с учетом риск-аппетита группы компаний/ холдинга.• Возможность управления комплаенс-риском с обеспечением интеграции со стратегией и эффективностью деятельности группы компаний/ холдинга.• Обеспечение прозрачности процедур управления комплаенс-риском группы компаний/ холдинга как для подразделений второго и третьего уровней защиты, так и для менеджмента, в том числе в части полноты и сроков реализации мероприятий по управлению риском.• Возможность координации планирования контрольных процедур и аудита с целью обеспечения риск-ориентированного аудита и контроля в соответствии со стратегией и эффективностью деятельности группы компаний/ холдинга.• Возможность применения данных для целей проведения стресс-тестирования.• Наличие единых унифицированных критериев для всех компаний группы/ холдинга, что является существенным в компаниях, реализующих свою деятельность и управление бизнесом с применением технологий Agile, Scrum, Collab.

В качестве плюсов практического применения следует также отметить возможность обеспечения удаленного доступа пользователей к консолидированной базе комплаенс-риска, что особенно ценно в текущих условиях дистанционной работы сотрудников компаний.При наличии положительного опыта возможно практическое применение изложенных подходов для целей формирования консолидированных баз других видов риска и карты рисков группы компаний/ холдинга в целом.В качестве дальнейших перспектив можно рассматривать вопрос внедрения машинного обучения при формировании консолидированной базы комплаенс-риска. ∞


ПРАКТИКА


ПРАКТИКА

Эволюция механизмов интегрированного

риск-менеджмента

Александр Красильниковкандидат экономических наук, доцент,начальник отдела управления рисками ПАО «МТС»

39

Интегрированное управление рисками появилось в компании МТС в конце 2006 года – более 13 лет назад. За это время в мире и в России произошли серьезные финансово-экономические изменения, компания столкнулась с новыми вызовами, вышла на новые рынки, что нашло свое отражение в эволюции функции управления рисками.

Мы не будем подробно останавливаться на стандартных шагах – они во многом схожи для различных компаний. Гораздо больший интерес представляют нюансы и дальнейшее развитие управления рисками. Прежде, чем перейти к описанию этих моментов, отметим, что функция риск-менеджмента МТС изначально создавалась по инициативе президента компании при поддержке вице-президента по финансам. В течение всех этих лет отдел существует в финансовом блоке. Опыт показывает, что это достаточно сбалансированное решение, позволяющее риск-менеджменту получать оперативный доступ к финансовой информации, вместе с тем гарантирующий достаточный уровень независимости и возможность участвовать в принятии решений.

Общая схема управления рисками соответствует общепринятым стандартам: на ежеквартальной основе отдел управления рисками опрашивает руководителей департаментов на предмет наличия новых рисков и обновления ранее идентифицированных. Помимо этого, любой сотрудник может сообщить об известных ему рисках риск-менеджеру, который поможет с оцифровкой последствий и разработкой мероприятий. Каждый квартал проводятся заседания комитета по рискам, на котором рассматриваются наиболее существенные риски компании в форме отчета и отдельных вопросов. Кроме того, отчет выносится на комитет по аудиту и совет директоров. Помимо этого, отдел управления рисками интегрирован в ключевые процессы принятия решений. Более подробно эти вопросы будут рассмотрены ниже.

Первичная идентификация рисков

Безусловно, одним из важнейших элементов для риск-ориентированной компании является своевременная идентификация и адекватная оценка рисков. Если говорить о первых шагах, то можно рекомендовать применение top-down подхода.

Основная его идея состоит в том, чтобы опросить топ-менеджеров о рисках, которые они считают значимыми, и проработать их более детально с использованием данных, полученных от финансовых, контрольных и прочих подразделений. Это очень важный шаг, который упускается из вида многими риск-менеджерами, начинающими внедрять риск-ориентированной подход в компании.

Объясняется это тем, что более традиционным является bottom-up подход. Действительно, обычно на этапе начальной идентификации рисков для обеспечения полноты рекомендуют опросить руководителей всех подразделений на предмет известных им риск-факторов. Безусловно, это правильный шаг, но, с нашей точки зрения, его надо делать только после детальной проработки рисков, известных топ-менеджменту. Причин для этого несколько:

1. У руководителей различных уровней существует разное видение актуальных рисков в зависимости от зоны ответственности. Очевидно, что топ-менеджмент видит гораздо более полную картину бизнеса, он в большей степени склонен идентифицировать стратегические риски, которые не всегда могут идентифицировать линейные менеджеры.

2. В начале процесса с проработки информации, полученной от топ-менеджмента, появляется т.н. «тон сверху», упоминаемый в ISO 31000. Это означает, что конкретные сотрудники, с которыми будет проходить проработка рисков, будут гораздо в большей степени вовлечены процесс. Это также создаст правильное позиционирование процесса в будущем.

3. Если ограничиться общением только с линейным менеджментом при идентификации рисков, это приведет, с одной стороны, к идентификации неочевидных рисков, что очень полезно, но, с другой стороны, может привести к неидентификации ключевых риск-факторов, которые волнуют руководство в настоящий момент.

Резюмируя, можно рекомендовать начинать с опроса топ-менеджмента, а на следующем этапе постепенно расширять скоуп, опрашивая все подразделения.


ПРАКТИКА

40

Мера риска Практически сразу, в 2007 году, было принято решение использовать традиционную для финансового риск-менеджмента меру риска Value-at-Risk с уровнем доверия 95%. Это, казалось бы, техническое решение предопределило траекторию развития риск-менеджмента на долгие годы. Остановимся на данном тезисе более подробно. Зачастую на этапе внедрения риск-менеджмента в компаниях советуют ограничиваться «качественной» оценкой рисков, чтобы быстро понять, на чем именно должен сфокусироваться менеджмент. Звучит разумно, но на практике это приводит к очень поверхностной проработке вопросов, неэффективной трате временных ресурсов топ-менеджмента и, как следствие, к деприоритезации вопросов, связанных с рисками. Это вовсе не отменяет пользу от периодических опросов топ-менеджмента об основных угрозах. Однако польза состоит не в том, чтобы спросить топ-менеджеров о рисках, об их экспертных оценках, а затем вернуться к ним же, показав эту информацию в виде презентации. Первое, что может сделать риск-аналитик – это детально проанализировать каждый из потенциально значимых рисков, построить соответствующие финансовые модели, отражающие влияние каждого их сценариев. Однако, если основной мерой является экспертная оценка, представляющая собой, как правило, произведение вероятности и ущерба, то стимула для глубокого финансово-экономического анализа не возникает.

Есть ли альтернативные меры? Безусловно, да. Давайте рассмотрим наиболее популярные из них. Практика показывает, что наиболее понятной и знакомой большинству мерой является математическое ожидание, т.е. сумма произведений ущербов и вероятностей при различных сценариях. С одной стороны, это разумная метрика, которая представляет собой некий средний ущерб, с другой –ее экономическая интерпретация для единичного события затруднена. Кроме того, любая мера среднего (будь то математическое ожидание, медиана или мода) не учитывает размах вероятностного распределения. Более традиционной мерой риска принято считать среднеквадратическое отклонение, которое можно интерпретировать как усредненное отклонение различных сценариев от среднего значения. Действительно, в данном случае учитывается определенный разброс, однако т.н. «тяжелые хвосты», т.е. маловероятные сценарии с большим ущербом, оказывают незначительное влияние на значение данной метрики.

Коллегиальные органы

Если мы говорим о первоначальных этапах внедрения, то всегда встает вопрос выбора коллегиального органа для выработки мероприятий по управлению рисками в спорных случаях и для общей оценки полноты идентифицированных рисков. В нашем случае изначально это была рабочая группа, включающая представителей различных функциональных блоков, которая довольно быстро превратилась в комитет по рискам. Этот орган состоял преимущественно из представителей среднего менеджмента и экспертов. Он вырабатывал определенные рекомендации по управлению рисками, однако итоговые решения принимались на уровне правления. По мере развития риск-менеджмента появилась потребность уделять большее внимание управлению рисками со стороны топ-менеджмента. Было принято решение создать комитет под председательством президента компании, членами которого являются руководители всех функциональных блоков. Это привело к значительно большей вовлеченности сотрудников в процесс управления рисками, подняло эти вопросы на более высокий уровень. Опыт последующего внедрения риск-менеджмента в дочерних компаниях показал, что создание комитета по рискам во главе с генеральным директором является самым правильным путем, который обеспечивает не только правильный «тон сверху», но и быстрое принятие решений по открытым вопросам.

Интеграция риск-анализа в процессы принятия решений

Основным вопросом, который встает после внедрения риск-ориентированного мышления и оценки ключевых рисков, является введение риск-анализа в процессы принятия ключевых решений. Это позволяет использовать накопленный стратегический потенциал риск-анализа для операционализации процессов. Это, как и любая трансформация процессов, сложный шаг. Несмотря на то, что в профессиональном сообществе существует консенсус по поводу его необходимости, нет четких рецептов, с каких процессов стоит начать и как реализовать такую интеграцию. Что неудивительно, поскольку это серьезно зависит от таких факторов, как размер компании, степень развитости корпоративной культуры, управленческий стиль и т.д.


ПРАКТИКА

41

Рассмотрим вопрос интеграции риск-ориентированного подхода в конкретные подразделения/ процессы в компании:

Процессы планированияЕсли говорить об интеграции, то на первом месте обычно идут процессы планирования: как стратегического, так и финансового. Одним из первых шагов в этой области стала интеграция в процесс стратегического и инвестиционного планирования. В части стратегического планирования речь идет об идентификации и оценке рисков, которые могут оказать существенное влияние на долгосрочное развитие компании. Это важный момент, однако наибольшее влияние на мышление сотрудников достигается за счет интеграции в каждодневные операционные процессы, хорошим примером которых может служить инвестиционное планирование. Для начала имеет смысл предусмотреть раздел по рискам в бизнес-плане проекта, а затем, в зависимости от возможностей, производить количественный анализ для наиболее материальных из них. В качестве полезной метрики используется следующая: NPV-at-Risk – минимальный уровень, ниже которого NPV проекта не опустится с вероятностью 95% и вероятность безубыточности, т.е. вероятность того, что NPV проекта с учетом рисков окажется больше нуля.

Корпоративно-правовые процессыДеятельность любой компании зависит от регуляторного ландшафта. В крупных компаниях существуют подразделения, занимающиеся анализом законодательства. В этом случае полезно, используя экспертизу таких подразделений, производить финансовый анализ рисков регуляторных изменений.

Соответствие требованиям Компании, в зависимости от отраслевой принадлежности, должны соответствовать различным требованиям законодательства. В данных процессах полезно использовать риск-ориентированный подход к разработке контролей и митигационных планов.

Управление закупкамиИнтеграция риск-менеджмента в процесс управления закупками полезна в части квантификации неценовых факторов, таких как технические сбои, задержки поставок и т.д.

Информационная безопасностьВ последнее время особую актуальность приобретают т.н. кибер-риски, связанные с атаками на различные информационные системы. Как правило, в компаниях есть специальные подразделения, отвечающие за данный процесс, однако оценка возможных кибер-рисков не только в качественных, но и в количественных терминах помогает принимать взвешенные решения о запуске новых продуктов, переходе на новое программное обеспечение и т.д.

Выводы

Этот список процессов не является исчерпывающим. Помимо данных процессов, риск-анализ присутствует также в управлении качеством, риск-ориентированном планировании внутреннего аудита, оценке резервов и т.д. При таком подходе постепенно привычка оценивать риски проникает на все уровни управления, а запрос на разработку методик оценки рисков в новых процессах исходит от их владельцев. Надо отметить, что такой путь возможен при соблюдении следующих условий: поддержка руководства и практическая ценность внедряемых инструментов риск-анализа. Последнее означает, что подразделение по управлению рисками должно представлять собой центр компетенций по количественному анализу рисков различных процессов, обладающий единой, но гибкой и кастомизируемой методологией, которая позволяет удовлетворять потребности как традиционных сегментов бизнеса, так и инновационных.

Важной чертой эффективного риск-менеджмента является его гибкость и способность быстро реагировать на изменение как внутренних, так и внешних факторов. Последние изменения, связанные с пандемией, демонстрируют это как нельзя лучше. Безусловно, в первую очередь, повышается внимание к управлению непрерывностью деятельности, но и классический риск-анализ востребован в не меньшей степени. В данном случае речь идет о проведении стресс-тестов для рисков, связанных с дебиторской задолженностью, взаимодействием с контрагентами, продажами, уровнем потребления услуг и т.д. Следует отметить, что при наличии отработанной методологии оценки рисков это сделать довольно легко. ∞


ПРАКТИКА


ПРАКТИКА

Аудит НИОКР

Станислав Хомяковначальник отдела управления рисками департамента внутреннего контроля и аудита АО «РТИ»

Статья написана при участии Александра Московкина, директора по внутреннему контролю и аудиту АО «РТИ»

Международный институт внутренних аудиторов (The Institute of Internal Auditors, IIA) раскрывает термин «внутренний аудит» как «деятельность по предоставлению независимых и объективных гарантий и консультаций, направленную на совершенствование работы организации». Рассмотрим с этой позиции процесс аудита научно-исследовательских и опытно-конструкторских работ (НИОКР). Понятно, что внутренний аудитор не заменит разработчиков или конструкторов и выполнит их работу или каким-то образом вмешается в процесс проектирования и разработки. Но, находясь вне процесса, внутренний аудитор может посмотреть на него снаружи, в том числе, и на точки соприкосновения с другими процессами. Внутренний аудит может увидеть вещи, которые незаметны изнутри: оценить достаточность ресурсов, соблюдение проектного графика и многое другое.

Рассмотрим подробнее возможные области приложения усилий внутренних аудиторов в ходе аудита процессов, связанных с выполнением НИОКР:1. Планирование и соблюдение графика проекта2. Ресурсное обеспечение НИОКР3. Управление соисполнителями.

Ниже приведены рекомендации по аудиту перечисленных направлений на примере НИОКР, выполняемых высокотехнологичными предприятиями в рамках государственных контрактов.

1. Планирование и соблюдение графика проекта

Одним из наиболее ответственных этапов любого проекта является планирование. Корректное планирование позволяет достигнуть несколько связанных между собой целей:• формирование полного перечня работ по проекту, определение их сроков и трудоемкости• формирование перечня работ соисполнителей, определение их сроков и стоимости• формирование бюджета проекта и проекта ведомости исполнения для включения в контракт с заказчиком.

Как показывает практика, эти цели не всегда достигаются в связи с тем, что любой проект на начальной стадии жизненного цикла обладает высокой степенью неопределенности.В рамках ОКР по созданию (модернизации) продукции основным плановым документом является сетевой план-график. Он включает в себя мероприятия, реализуемые в пределах организационной структуры предприятия-исполнителя.

Сетевой план-график должен быть разработан в строгом соответствии с техническим заданием на НИОКР в части содержания этапов и сроков их выполнения. Как показывает практика, данное требование выполняется не всегда. Зачастую сетевой план-график ведется без привязки к актуальной ведомости исполнения. Обычно такая ситуация возникает при наличии значительных отклонений по срокам.

Поэтому первоочередной задачей аудитора является ознакомление с актуальными на дату проверки контрактными документами, а первым тестом – проверка

43

ПРАКТИКА


44

соответствия ведомости исполнения и сетевого плана-графика. При наличии отклонений необходимо выяснить причины и разработать рекомендации по устранению последствий срывов, а также недопущению их повторения в будущем.Если отклонения между ведомостью исполнения и сетевым планом-графиком отсутствуют, то необходимо сосредоточиться на рисках несвоевременного выполнения действующих этапов. Задача аудитора – выявить наиболее узкое место или трудоемкий, но ограниченный по срокам и ресурсам, процесс.

Как показывает практика, очень часто узким местом является выполнение обязательных процедур, связанных с нормоконтролем и проверкой конструкторской документации (далее – КД), перед завершением соответствующего этапа. Этот риск реализуется, если за 2-3 недели до окончания этапа разработчики из разных подразделений формируют большие пакеты КД и одновременно направляют их в подразделение, ответственное за нормоконтроль. Ситуация усугубляется тем, что сроки завершения этапов нескольких ОКР, выполняемых параллельно, могут совпадать, и в таком случае подразделение нормоконтроля оказывается перегружено в десятки раз.

Избежать подобных ситуаций можно только за счет корректного планирования, однако очень часто существуют ограничения со стороны заказчика, который не готов пересматривать сроки выполнения контрактов до реализации срыва. Разработать эффективную рекомендацию в данных условиях – сложный вызов для аудитора.

В случае, если аудиторы не выявили узких мест в реализуемых этапах, им стоит обратить внимание на предстоящие этапы НИОКР. Многие работы требуют заблаговременной подготовки. Например, для проведения испытаний необходим испытательный стенд. При этом, перечень требуемых испытаний и состав стендовой базы окончательно утверждаются в программе и методике испытаний, а утверждение данного документа непосредственно предшествует началу испытаний. На этапе согласования программ и методик испытаний заказчик имеет право изменить тот или иной требующий подтверждения соответствия параметр, в результате чего может потребоваться доработка имеющегося стенда или изготовление нового. Описанная ситуация создает риск несвоевременного начала испытаний, а их

сокращение в большинстве случаев невозможно, так как программа испытаний, как правило, требует наработки заданного количества часов или выполнения определенного количества циклов. Следовательно, данный риск может привести к срыву выполнения этапа НИОКР.

Большинство разработчиков прекрасно понимают данную проблему, поэтому достаточной рекомендацией со стороны аудитора может стать установление дополнительного контроля за сроками согласования программы и методики испытаний.

2. Ресурсное обеспечение НИОКР

Следующей крупной и зачастую наиболее проблемной зоной является обеспечение НИОКР требуемыми ресурсами. Учитывая, что любые НИОКР могут пойти не так, как планировалось, в том числе, по объективным причинам, контроль за рациональным использованием ресурсов НИОКР является одной из первоочередных задач руководителя проекта или главного конструктора.

Для выполнения ОКР необходим следующий набор ресурсов:• трудовые• финансовые• материально-технические• информационные.Основным риском является несоответствие запланированной потребности в том или ином виде ресурсов их фактической потребности, которое может выражаться в дефиците или превышении ресурсов.

При планировании НИОКР головной исполнитель готовит технико-экономическое обоснование или расчетно-калькуляционные материалы, чтобы определить ориентировочную стоимость контракта. На данном этапе все подразделения, а также организации-соисполнители, участвующие в НИОКР, формируют целевую потребность во всех ресурсах с кратким описанием планируемых работ и их трудоемкости, перечнями требуемых материально-технических ресурсов с указанием их цен и т.д. Данные материалы могут оказать существенную помощь аудитору при проверке ресурсного обеспечения НИОКР.

Ключевой метрикой трудовых ресурсов в НИОКР является трудоемкость, в том числе, в денежном выражении.


ПРАКТИКА

45

Основные виды ошибок, способные привести к срыву НИОКР:• некорректное определение трудоемкости или стоимости того или иного вида работ, выражающееся в завышении или занижении потребности;• несоответствие плановой трудоемкости и соотношения между фактическими сроками работ и имеющимся в наличии персоналом, выражающееся в дефиците персонала или недостаточности сроков, установленных контрактом;• невключение в ведомость исполнения тех или иных работ и, соответственно, потребности в их ресурсном обеспечении, что также выражается в дефиците персонала, финансов и потенциальном превышении сроков выполнения НИОКР.

В качестве примера можно привести одну из крупных ОКР, когда отсутствие в ее ведомости исполнения этапа работ, привело к значительному срыву сроков ее сдачи. ОКР предполагала изготовление опытного образца, состоящего из большого количества составных частей, разработанных и изготовленных разными соисполнителями. Составные части были изготовлены и испытаны по отдельности всеми соисполнителями, однако после сборки опытного образца оказалось, что составные части не корректно взаимодействовали между собой. Изменение протоколов взаимодействий привело к необходимости доработки составных частей и их повторных испытаний соисполнителями. В контракт было достаточно включить этап комплексной отладки и настройки оборудования, и его отсутствие не привело бы к дополнительным затратам из собственных средств и претензиям со стороны заказчика.

Могли ли выявить данные риск аудиторы? Скорее всего, да, если бы перед аудитом проекта запросили и изучили материалы по аналогичным ОКР, провели их сравнительный анализ и нашли общие закономерности. Даже если такие закономерности отсутствуют, аудиторы могут найти аналогичные виды работ и сравнить между собой их трудоемкость, в том числе, фактическую.

Какие рекомендации аудиторы могут предложить менеджменту? Наиболее корректной рекомендацией будет требование к обеспечению последующего контроля за возникновением отклонений между планируемой потребностью и фактическим использованием ресурсов. Данный

контроль требует наличия системы измерения и учета выполнения работ всеми участниками НИОКР, которая в связи с «творческим» характером работы инженерно-конструкторского состава зачастую отсутствует. Тем не менее, современные системы автоматизированного проектирования и разработки предоставляют такую возможность.

3.Управление соисполнителями

В качестве отдельного направления, которое оказывает значительное влияние на соблюдение графиков и материально-техническое обеспечение НИОКР, но при этом наиболее подвержено реализации рисков, следует выделить управление соисполнителями на всех этапах сотрудничества с ними – начиная от контрактации и заканчивая сопровождением их продукции в эксплуатации. Высокая подверженность рискам обусловлена тем, что работы выполняются сторонними юридическими лицами, а, следовательно, влияние, как и контроль, со стороны головного исполнителя ограничены условиями договоров. При этом ответственность соисполнителя ограничена стоимостью договора с головным исполнителем, а он несет полную ответственность в рамках государственного контракта перед заказчиком.

Таким образом, основной задачей головного исполнителя является не просто обеспечить своевременную поставку продукции или оказание услуг, но и предусмотреть в договорах инструменты по локализации рисков. Стоит отметить, что предъявлять одинаковые требования к поставщику резисторов и разработчику сложного вычислительного комплекса бессмысленно, поэтому в части оценки аудиторами процесса управления соисполнителями наиболее эффективным будет подход не с точки зрения процедур, а с точки зрения технологичности продукции и услуг.

Исходя из вышеизложенного, при аудите материально-технического обеспечения НИОКР аудиторам целесообразно формировать выборки с учетом следующих основных факторов риска:

• продукция с длительными циклами изготовления, основным тестом для которой будет контроль сроков от старта закупочных процедур до передачи в производство с обязательным контролем соблюдения сроков перечисления аванса;• продукция (услуги), поставляемая (оказываемые) предприятиями-монополистами, для которой


ПРАКТИКА

46

целесообразно проводить анализ эскалации стоимости, используя ретроспективные данные по другим НИОКР, а также информацию о наличии дефектов, выявленных при прохождении входного контроля или на последующих этапах;• продукция (услуги), поставляемые (оказываемые) предприятиями, имеющими неудовлетворительное финансовое состояние или предпосылки к банкротству. Тестирование требует владения информацией о состоянии рыночного сегмента, в рамках которого осуществляются закупки, и наличия актуальных данных бухгалтерской отчетности наиболее подверженных рискам поставщиков;• продукция, производство которой запускается после длительного перерыва или переноса производства на другую площадку. Тестирование возможно с привлечением экспертизы со стороны службы снабжения, а также предполагает направление запросов планов-графиков постановки на производство в адрес таких поставщиков;

• продукция, поставки которой могут быть сорваны, потому что устарела морально и планируется к снятию с производства, или на нее распространяются ограничительные и санкционные меры. Для тестирования требуется ознакомление с ведомостями покупных изделий или спецификациями к конструкторской документации.

Для анализа рисков и оценки достаточности действий менеджмента по каждой выборке используются разные тесты, в том числе с привлечением экспертов из различных служб предприятия. Однако проведение таких тестов позволит своевременно выявить узкие места в работе с кооперацией и подготовить точечные рекомендации по избежанию потенциальных срывов.Рекомендации будут зависеть от фактора риска и технологичности закупаемой продукции (услуг), их общие направления системно представлены в Таблице 1.

Внутренний аудитор № 2(10), 2020

ПРАКТИКА

ТехнологичностьСложная продукция:

радиоэлектронная аппаратура и приборы, комплектующие изделия

Простая продукция:Детали, крепеж, электронные

компоненты, материалы

Фактор риска Возможные рекомендации

Продукция с длительными

циклами изготовления

Предусмотреть в договорах на разработку (поставку) детальные графики выполнения этапов (отгрузки партий продукции), обеспечить неукоснительное соблюдение сроков оплаты или направление гарантийных писем при дефиците бюджета

Заключить рамочный договор с возможностью ускоренного размещения заказа

Продукция (услуги) монополистов

Заключить рамочный договор с фиксацией существенных условий договора и уровня эскалации цен

Продукция (услуги) поставщиков,

близких к банкротству

Рассмотреть вопрос передачи прав разработчика или переноса производства на другое предприятие

Провести поиск аналогов и организовать работу по их внедрению в системы финального изделия с подтверждением в рамках типовых испытаний

Продукция после перерыва или

переноса производства

Обеспечить оперативный контроль хода постановки на производство, при возникновении отклонений организовать взаимодействие с заказчиком

Предусмотреть возможность использования, в т.ч. временного, комплектующих изделий второй категории (бывших в эксплуатации или находящихся на хранении), при условии восстановления их ресурса

Продукция импортная или

снимаемая с производства

Согласовать с заказчиком дополнения в техническое задание на выполнение ОКР по разработке аналогов

Провести поиск аналогов и организовать работу по их внедрению в системы финального изделия подтверждением в рамках типовых испытаний

Таблица 1

47

Данные рекомендации не являются исчерпывающими, а лишь обозначают общие направления для использования в деятельности аудиторов. В зависимости от ситуации и условий конкретной НИОКР могут быть разработаны иные рекомендации.

Кроме того, учитывая сведения о конкретных предприятиях, формирующих рыночный сегмент, продукция и услуги которых используются при выполнении НИОКР, внутренние аудиторы способны разработать рекомендации для улучшения процесса закупок, например, по включению в процедуру выбора поставщиков обязательной оценки их финансового состояния, а в процедуру контрактации –нескольких унифицированных форм договоров, отличающихся в зависимости от вида и сложности закупаемой продукции.

В зависимости от собственных возможностей компании рекомендация может предусматривать создание подразделения, ответственного за ведение базы данных поставщиков и справочника нормативной информации об используемых в разработке и производстве продукции или услугах, что позволит ускорить процесс принятия решений о выборе соисполнителей и снизить риск ошибок.

Выводы

Таким образом, внутренний аудит способен провести всестороннюю оценку выполнения НИОКР и определить, насколько эффективно он выполняется в действующей системе управления.

Используя межфункциональную экспертизу, аудиторы могут обеспечить достаточное обоснование необходимости проведения корректировки процедур, связанных с планированием, ресурсным обеспечением и контролем. Как правило, необходимость таких изменений понимают все участники НИОКР, но из-за вовлеченности в операционную деятельность и решения повседневных проблем не могут провести требуемый анализ и объективную оценку. Поэтому своевременный и профессиональный аудит может не только выявить проблемы, но и предотвратить потенциальные срывы НИОКР и связанные с ними убытки.

Задача высшего руководства сводится к тому, чтобы своевременно интегрировать рекомендации аудита в деятельность организации и обеспечить необходимый уровень контроля их исполнения. Таким образом, гарантии, предоставленные внутренним аудитом акционерам, будут работать с максимальным эффектом. ∞


ПРАКТИКА


ПРАКТИКА

Аудит кол-центра. Основные риски и

методика проведения

Сергей Хренников аудитор отдела внутреннего аудита, «Ренессанс Жизнь»

Кайрат Кусунгалиеввнутренний аудитор управления внутреннего аудита, «Ренессанс Страхование»

49

Введение

В эпоху активной цифровизации взаимодействие с клиентом претерпевает существенные изменения. Но несмотря на это кол-центр остается одним из основных каналов коммуникации между клиентом и компанией. Кол-центр представляет собой первую линию взаимодействия клиентов с компанией, и именно от качества клиентского сервиса зависит то, как компания будет воспринята в целом. Качество консультаций может оказывать положительное влияние на удовлетворенность клиентов, их лояльность к компании или наоборот – вызывать недовольство и желание воспользоваться услугами конкурента.

При проведении аудита кол-центра можно выделить следующие основные риски: риск потери клиентов в связи с предоставлением некачественного клиентского сервиса и репутационный риск – риск снижения лояльности со стороны клиентов.

Поэтому основной целью аудита колл-центра, как правило, является оценка системы внутреннего контроля по обеспечению качества клиентского сервиса.

Для подготовки программы аудита кол-центра мы предлагаем использовать следующую методику.

Непрерывный мониторинг работоспособности линии

Техническое обеспечение бесперебойной работы линии – одна из основных задач ИТ-подразделения и руководства кол-центра. Работоспособность линии состоит из двух основных направлений:• Техническое оснащение внутри компании• Предоставление услуг связи со стороны провайдера.

Анализ существующих контролей в ИТ-системе по мониторингу линии поможет выявить ключевые действия по поддержанию непрерывной работоспособности линии. Такими контролями могут быть: тестовые звонки на номер горячей линии кол-центра с определенной периодичностью (ручная проверка работоспособности линии), автоматическое отслеживание ошибок во внутренних системах, возможные сигналы нарушения связи с оператором.

При анализе договора с оператором связи необходимо обратить внимание на следующие условия: срок устранение поломок, пересчет стоимости услуг при возникновении неполадок, возможность технической поддержки в выходные дни, время автоматического перевода на других операторов основных номеров, автоматическое отслеживание ошибок со стороны оператора связи.Помимо мониторинга технического оснащения, также необходимо ознакомиться с установленными критериями эффективности работы кол-центра и порядком их отслеживания.

Эффективность работы кол-центра

Важным аспектом функционирования работы кол-центра является определение показателей эффективности его работы. Среди основных параметров могут быть выделены такие как: допустимое время ожидания на линии со стороны клиента, среднее время консультации, максимально допустимая доля потерянных звонков и т.д.

Отсутствие определенных норм и показателей может приводить к низкой дисциплине среди операторов и низкому уровню работы кол-центра в целом.

Для анализа работы кол-центра недостаточно останавливаться на определении основных критериев, важно осуществлять непрерывный мониторинг выделенных показателей. Результаты проводимого мониторинга могут указывать на области для улучшения работы подразделения и повышения производительности работы.


ПРАКТИКА

50

Ресурсная модель колл-центра

Помимо повышения производительности, необходимо определить достаточное количество сотрудников для обслуживания клиентов на высоком уровне и распределить количество операторов в часы «пик» и дни с наибольшей загрузкой кол-центра.

Использование одинакового количества сотрудников в «пиковые» часы загрузки (например, в будни вечером) и в часы наименьшей загрузки линии (например, вечером в выходные дни) является нецелесообразным. Необходимо обратить внимание на наличие ресурсной модели и проанализировать, насколько эффективно распределяются ресурсы, во избежание некачественного предоставления сервиса и неоправданных финансовых расходов.

Стандарты общения

Для выстраивания эффективной коммуникации с клиентами в кол-центре должен быть разработан порядок взаимодействия, включающий в себя шаблоны коммуникации (скрипты), инструкции и регламенты. Чаще всего скрипты должны состоять из легких и понятных фраз, нацеленных на консультирование с акцентом на клиентоориентированность и «живое» общение. Недостаточно проанализировать содержание стандартов общения. Важно, чтобы описанные документы были легкодоступны для использования, прежде всего, самими операторами кол-центра.

В компании должен быть определен порядок обновления внутренних инструкций и скриптов для операторов кол-центра, включая ответственных сотрудников за данный процесс. Периодичность обновления документов может быть фиксированной (например, раз в месяц вносятся все изменения) или зависеть от критичности документа. Например, при внедрении нового продукта в компании, важно, чтобы операторы получили обновленные материалы о данном продукте не позднее даты его запуска. Несвоевременное обновление инструкций может привести к отсутствию актуальной информации у оператора и проведению некорректных консультаций.

При наличии в компании смежных подразделений, осуществляющих привлечение, обслуживание и

консультацию клиентов, важно учесть использование единых стандартов взаимодействия с клиентом.

Прослушивание и оценка звонков

Одним из самых важных и распространенных инструментов контроля за соблюдением стандартов и качества консультаций является выборочный аудиоконтроль разговоров операторов. При этом, от того, насколько корректно определена выборка звонков для прослушивания, зависит качество аудиоконтроля. Поэтому при проверке данного направления внутренним аудиторам, в первую очередь, необходимо оценить дизайн данного процесса, проанализировав регламент по выборке звонков и оценке результатов прослушанных разговоров. Также необходимо рассмотреть анкету (оценочный лист), заполняемую проверяющими при прослушивании звонков. Такая анкета в обязательном порядке должна учитывать стандарты коммуникации с клиентами, разработанные в компании, а также необходимые действия оператора после разговора.

Кроме того, важно убедиться в независимости и в полном отсутствии конфликтов интересов у сотрудников, которые осуществляют аудиоконтроль. Обязанность по прослушиванию и оценке звонков может быть возложена на руководство кол-центра (как правило, при небольшом количестве сотрудников отдела) или независимое смежное подразделение.

Сегодня, в эпоху диджитализации, многие компании рассматривают возможность перехода на автоматизированные системы аудиоконтроля, позволяющие обрабатывать и оценивать до 100% звонков. Но при этом, отметим, что использование только автоматизированной системы может привести к ограниченным и необъективным результатам оценки (т.к. некоторые элементы консультаций данная система может не покрывать). Поэтому внутренним аудиторам необходимо проанализировать инструкции и алгоритмы автоматизированной системы для оценки корректности предоставляемых ею выводов. Как вариант, можно порекомендовать компании одновременное использование автоматизированной системы аудиоконтроля и выборочной проверки звонков операторов.


ПРАКТИКА

51

Автоматизированные системы

Важными аспектами в работе кол-центра являются выстраивание отношений с клиентом, выявление его потребностей, а также скорость самого обслуживания. Использование CRM (Customer Relationship Management) позволяет предусмотреть данные требования. CRM-система помогает обеспечивать единое рабочее окно оператора, в котором отображается детальная информация о клиенте: история обращений, перечень имеющихся продуктов и возможное наличие специальных предложений. Система должна быть гибкой, подстраиваемой под нужды кол-центра и легко справляться с такими задачами, как, например, настройка автоматических рассылок уведомлений или расчета индивидуальных тарифов для клиента. Для полноты использования CRM-система должна быть интегрирована с телефонией и записями разговоров. Это поможет иметь оперативный доступ к прослушиванию звонков с клиентами или чтению сообщений в чатах. Использование чатов, как альтернативный способ коммуникации с клиентом, может повысить скорость предоставления ответов, снизить нагрузку на колл-центр и оптимизировать расходы.

Интерактивное голосовое меню

IVR (Interactive Voice Response) представляет собой интерактивное меню с предварительно записанными голосовыми сообщениями, которое направляет клиента (посредством нажатия

необходимых клавиш) на нужную очередь, в зависимости от целей звонка клиента. Качественно настроенный IVR помогает клиенту оперативно получить необходимую информацию или связаться с нужным оператором.

Настойки IVR, позволяющие клиенту быстро связаться с оператором, могут увеличить нагрузку на линии кол-центра, а при длительном ожидании –вызвать негатив со стороны клиента. Важно не пренебрегать озвучиванием времени ожидания клиенту и, по возможности, перенаправлять клиента на источники для самостоятельного ознакомления с информацией (ориентация на Self-service).

Продвижение Self-service (направление клиентов на сервисы самообслуживания)

Продвижение альтернативных способов обращения и самообслуживание клиентов является основным направлением по предоставлению качественного и быстрого сервиса. Развитый и логически структурированный сайт компании, единый личный


ПРАКТИКА

кабинет (на сайте компании и в мобильном приложении) со всеми продуктами, ответами на часто задаваемые вопросы и широким функционалом (оформление продуктов, продление договоров, внесение изменений и прочее), позволяет сократить поток типичных обращений, снижая нагрузку на линии. Поддержание единого пространства клиента сокращает расходы на продвижение различных платформ, а обучение клиентов самообслуживанию повышает мобильность и автономность клиентов в решении вопросов. При наличии платформы для самообслуживания, необходимо проанализировать как саму платформу по критериям удобства и доступности, так и скрипты и алгоритмы операторов на факт обучения клиентов самостоятельному получению информации из существующих источников, разработанных компанией.

52

Программа обучения

Программа обучения операторов должна быть сбалансирована между hard skills (знания продуктов компании) и soft skills (навыки ведения диалога и коммуникации, умение быстро сориентироваться в трудной/ конфликтной ситуации, клиентоориентированность, уровень эмоционального интеллекта и пр.). Прохождение тестирований по результатам обучения новым продуктам компании может являться обязательным этапом для допуска операторов к консультированию клиентов. Проведение тренингов, нацеленных на развитие soft skills, является важным этапом развития качеств оператора, формирующих подход к общению с клиентом. Анализ графика прохождения, результатов тестирования и количества тренингов поможет выявить слабые стороны в подготовке операторов.

Обратная связь

Отследить качество сервиса и отношение клиента помогает сбор обратной связи. Помимо анализа оценок клиентов после консультации необходимо проанализировать уровень NPS (Net Promoter Score). Анализ данных NPS показывает общую картину отношения клиента к компании по сравнению с конкурентами, однако для выявления корневых причин необходим анализ NPS (Bottom up), показывающий как сильные стороны, так и отдельные недостатки в обслуживании. Дополнительным инструментом для выявления корневых причин жалоб является платформа для отзывов и предложений как для клиентов (на официальном сайте компании или в личном кабинете), так и для сотрудников кол-центра. Важной составляющей является быстрое реагирование на массовые жалобы/ недовольства клиентов и сотрудников. Вместе с тем должна быть проработанная система вознаграждения «пострадавших клиентов» и сотрудников, чьи предложения внесли улучшение в работу кол-центра.

Мотивация

Анализ должностных инструкций зачастую не приносит фактического понимания обязанностей сотрудников. Проводя интервью, стоит обратить внимание на формулировку сотрудниками своих обязанностей и структуры мотивации. Прозрачная система мотивации помогает сотруднику сконцентрироваться на достижении конкретных

показателей, что в свою очередь, положительно влияет на достижение общих целей компании. Показатели эффективности в структуре KPI (Key Performance Indicator) операторов кол-центра должны быть прозрачными, выполнимыми и понятными. Структура KPI не должна содержать пересечение интересов у сотрудников разных должностей и возможности искусственно завышать/ занижать отдельные показатели. Анализ выполнения показателей KPI поможет выявить неэффективные стороны работы операторов кол-центра и указать на основные направления, требующие изменений. Зачастую, переменная часть вознаграждения операторов кол-центра зависит от выполнения KPI. Сравнение уровня фиксированной части оплаты со средним уровнем оплаты по рынку, позволит более точно скорректировать уровень оплаты переменной части.

Как показывают статистические данные, в целом в кол-центрах традиционно высокие показатели текучести кадров. Анализ exit polls (выходного интервью) поможет собрать основные причины увольнений. Немаловажным фактом также является анализ нефинансовой мотивации сотрудников. Внутренняя система нефинансовой мотивации может быть разработана как в целом для компании, так и отдельно для кол-центра. Показатели должны быть достижимы в текущем периоде (обычно 1 месяц), так как при более длительном сроке достижения может значительно снижаться уровень мотивации.

Заключение

На первый взгляд, аудит кол-центра может показаться не столь значимым для компании. Однако, от качественной и эффективной работы этого подразделения, как «лица компании», во многом зависят такие аспекты, как удержание клиентов, повышение их уровня удовлетворенности и лояльности. А ведь именно борьба за сохранение и удержание клиентов на сегодняшний день является одной из приоритетных задач многих компаний.

Одновременно отметим, что кол-центр – это лишь одно из звеньев в цепочке смежных процессов по работе с клиентами, за которые ответственны и другие подразделения компании. Поэтому только лишь эффективно выстроенная работа кол-центра не сможет повысить уровень клиентоориентированности компании в целом, если остальные ее процессы требуют существенных доработок и изменений. ∞


ПРАКТИКА

53

ПРАКТИКА


Светлана Констарший внутренний аудитор ООО «Монэкс Трейдинг» (на момент написания статьи),с 15 июня – старший менеджер по аудиту ПАО «Вымпелком»

Василий Ряховскийруководитель отдела внутреннего аудита ООО «Монэкс Трейдинг»

Аудит процессов интернет-торговли

(E-commerce)

54Институт внутренних аудиторов

ПРАКТИКА

Рынок E-commerce с каждым годом все больше набирает обороты. Так, по данным Data Insight, общая выручка онлайн-магазинов за 2019 год составила 1,6 трлн рублей, что примерно на четверть больше, чем в 2018 году. На фоне распространения коронавируса во всем мире и России рынок электронной коммерции продолжает расти, так как такой способ продажи позволяет обезопасить покупателей от появления в местах массового скопления и ограничить контактирование с другими людьми. В первом квартале 2020 года оборот одного из крупнейших игроков на рынке электронной коммерции –Wildberries – увеличился на 95% и составил 75,3 млрд рублей по сравнению с аналогичным периодом прошлого года. Компания выполнила 60,5 млн заказов, что в 2 раза превышает аналогичный показатель первого квартала прошлого года, а число покупателей выросло более чем в 2 раза, а в апреле – уже в 3 раза год к году*. Консолидированная неаудированная выручка другого крупного игрока российского рынка, представленного как онлайн, так и офлайн – группы «Детский мир» – в мае 2020 года увеличилась на 6,7% по сравнению с аналогичным периодом прошлого года до 10,1 млрд рублей, а выручка онлайн-сегмента сети выросла в 3,3 раза до 3,1 млрд рублей. При этом доля онлайн-продаж в общей выручке «Детского мира» в России в мае увеличилась в 3 раза по сравнению с аналогичным периодом прошлого года до 32%**. Розничные сети, которые раньше не имели полноценных площадок E-commerce, активно стали наращивать свое присутствие в этом сегменте. В связи с этим, тема аудита процессов электронной коммерции (E-commerce) приобретает все большую актуальность.

В данной статье мы хотели бы рассмотреть аудит процесса интернет-торговли, выступающего в качестве вспомогательного канала продаж основного офлайн-бизнеса компании розничной торговли.

Для проведения качественного аудита данного направления очень важно уделить достаточное количество времени планированию. Необходимо понять всю цепочку бизнес-процессов и их особенности. Для этого в первую очередь необходимо организовать и провести интервью с владельцами основных бизнес-процессов: начиная от ИТ и заканчивая клиентским сервисом. Так называемый Customer Journey тест, только по бизнес-процессам, а не магазину электронной торговли. Результаты проведенных интервью помогут идентифицировать основные риски, перечень контрольных точек и области для улучшения процессов.

Перед началом аудита также стоит определить список основных конкурентов аудируемой площадки/ магазина E-commerce и согласовать данный перечень с руководителем подразделения электронной коммерции. В перечень основных конкурентов также можно включить лидеров маркетплейсов, например, Wildberries, Ozon и др.

Можно выделить следующие основные направления аудита, которые включают в себя комбинацию классической функции по тестированию контролей и консультирования:

……............................* Источник: https://www.retail.ru/news/wildberries-udvoil-prodazhi-v-1-kvartale-2020-g-21-aprelya-2020-193567/** Источник: https://www.retail.ru/news/detskiy-mir-otchitalsya-o-roste-vyruchki-v-mae-15-iyunya-2020-195128/

https://www.retail.ru/news/wildberries-udvoil-prodazhi-v-1-kvartale-2020-g-21-aprelya-2020-193567/

https://www.retail.ru/news/detskiy-mir-otchitalsya-o-roste-vyruchki-v-mae-15-iyunya-2020-195128/

55

1. Аудит дизайна и удобства использования интернет-магазина (что в итоге получил и использует бизнес).2. Контроль за стоимостью услуг разработки/технической поддержки интернет-магазина (сколько стоило/стоит разработать и/или поддерживать платформу).3. Контроль за расходами по доставке.4. Контроль за количеством товара, доступным для заказа покупателям.5. Контроль за ценами в интернет-магазине/промо-акциями.6. Контроль за поступлением выручки и возвратами.

1. Дизайн и удобство использования* интернет-магазина

Дизайн и удобство использования интернет-магазина оказывают существенное влияние на уровень продаж. Неудобство использования, плохая навигация и медленная работа интернет-сайта оказывают негативный эффект на канал продаж, т.к. увеличивают не только вероятность отказа покупателя от совершения покупки, но и в принципе возвращения на данный ресурс. В связи с этим в аудиторскую программу целесообразно включить сравнительный анализ интернет-магазина компании с конкурентами. Информация, собранная в процессе данного анализа, может быть использована для бенчмаркинга и поможет выявить области для дальнейшего улучшения работы интернет-магазина и, как следствие, увеличения конверсии сайта.

Очень важно понимать, как сам менеджмент оценивает текущее состояние сайта (метрики и т.п.), и есть ли план видения на будущее с конкретными измеримыми показателями. Отсутствие данного плана может быть серьезным сигналом для аудитора.

В анализ можно включить следующие критерии:

A. Поисковая выдача сайта• поисковые критерии (чем точнее работа поискового алгоритма, тем быстрее покупатель сможет найти необходимые ему товары). Целесообразно сделать тесты, показывающие, насколько быстро можно найти сайт в поисковых системах (насколько качественно была выполнена SEO-оптимизация).

……............................*Удобство использования – англ. usability.

B. Выбор товара• широта представленного ассортимента (влияет как на выручку, так и на поисковую выдачу сайта при запросах в поисковых системах);• автоматическая загрузка товара при прокручивании страницы;• система фильтров (по модели, цвету, размеру, скидкам и т.д.);• скорость загрузки страницы (низкая скорость загрузки является одних из самых раздражающих факторов для покупателей: чем медленнее работает сайт, тем большая вероятность того, что покупатель покинет интернет-магазин и выберет альтернативное место для покупки);• доступность опции получения уведомления о наличии товара в случае временного отсутствия на складе;• возможность оставлять отзывы о товарах;• наличие видео-обзоров;• наличие онлайн-консультации (в том числе по видеосвязи).

C. Оформление заказа• возможность добавления товара в корзину одним кликом без дальнейшего перехода в карточку товара;• возможность восстановления удаленных из корзины товаров;• количество шагов, необходимых для финального оформления заказа. В данном анализе также можно провести аналог UX-исследования на основе ответов сотрудников, работающих внутри компании. UX-исследование – это метод оценки удобства и эффективности интерфейса.Для этого необходимо задать определенный параметр, например, выбрать желтое платье для девочки 5-7 лет, сложить товар в корзину и оформить заказ с доставкой курьерской службой. Такой заказ оформляется в интернет-магазине компании и на сайтах конкурентов. Выполняя задание, пользователь проходит путь реального покупателя от выбора товара до оформления покупки. Как результат, данный анализ поможет выявить потенциальные неудобства и недостатки интернет-магазина, преимущества конкурентов, на основе которых возможно будет предложить улучшения в процессе и работе сайта;• опция бронирования товара в офлайн-магазине с последующим визитом в магазин;• омниканальность – опция сканирования и заказа товара в магазине через мобильное приложение с формированием автоматического заказа на сайте компании.


ПРАКТИКА

56

D. Доставка и приемка товара• срок и стоимость доставки по регионам;• сумма заказа, свыше которой предоставляется бесплатная доставка. На данном этапе важно определить порог бесплатной доставки у интернет-магазина компании и провести сравнение с интернет-магазинами конкурентов. Слишком низкий порог бесплатной доставки может привести к снижению маржинальности, а слишком высокий –к потере покупателей;• опция самовывоза из пунктов выдачи/ постаматов/ офлайн-магазинов;• возможность выбора интервала доставки;• предоставление опции примерки перед выкупом товара;• возможность частичной приемки заказа и отказа от ряда не подошедших по тем или иным причинам позиций;• предоставление опции сопутствующих услуг. Например, если интернет-магазин специализируется на продаже мебели, нужно определить, есть ли у покупателя опция добавления услуги по ее сборке. Данный вид услуг может быть источником дополнительного дохода и конкурентным преимуществом перед другими интернет-магазинами.

E. Оплата• виды оплаты (наличные, банковская карта, Qiwi, Yandex money, Web money, при получении или до отправки заказа);• возможность рассрочки;• обязательно ли нужно вносить предоплату при доставке в пункты выдачи/офлайн-магазины.

F. Возврат• удобство и скорость возврата.

G. Уведомление покупателей• каналы связи, используемые для информирования покупателей о статусе заказа (риск излишних каналов уведомления клиентов (например, использование sms-, viber-, e-mail- уведомлений одновременно)).

H. Технические ошибки• частое возникновение ошибки 404 или иных аналогичных технических ошибок, когда сервер не может выдать запрошенные данные.

Особое значение следует уделить мобильной версии сайта/ мобильному приложению, так как с каждым годом происходит увеличение количества покупок, совершенных с помощью мобильных устройств. Так, согласно совместному исследованию «Яндекс.Маркета» и агентства Gfk Rus, каждый третий россиянин в 2019 году совершал онлайн-покупки с телефона, а в возрасте младше 30 лет –каждый второй. В связи с этим необходимо проверить: имеется ли у компании мобильное приложение/ версия сайта для мобильных устройств или адаптированная версия интернет-магазина для мобильных устройств, наличие такой версии у конкурентов, рейтинг мобильного приложения (при его наличии), его удобство, отзывы пользователей и прочее.

Хорошим источником информации может стать реестр жалоб, поступающих от онлайн-покупателей через кол-центр или другой предусмотренный для этого канал. Данный реестр обычно запрашивается у отдела клиентского сервиса. Стоит сгруппировать жалобы по видам (например, проблемы с оформлением заказа, возвратом, доставкой, работой сайта и т.д.), проанализировать их для получения дополнительной информации о том, где именно процесс может работать не так как предполагалось. Также стоит уточнить, как клиентский сервис осуществляет работу с жалобами (есть ли прописанный алгоритм работы, ответственный сотрудник и т.д.).

2.Контроль за стоимостью услуг технической поддержки интернет-магазина

Как правило, на регулярной основе у компании возникают дополнительные расходы по обслуживанию интернет-магазина: при обновлениях наполнения интернет-магазина, при доработках сайта, при интеграциях с другими программными продуктами (программами лояльности, системами бухгалтерского/ управленческого учета), ежемесячные расходы по технической поддержке работы интернет-магазина.

На данном этапе могут возникнуть следующие основные риски:• Если услуги оказываются сторонней организацией, то существует риск мошенничества при выборе


ПРАКТИКА

57

поставщика (отсутствие прозрачного подхода при выборе поставщика, выбор поставщика без проведения тендера), как следствие, стоимость услуг может быть заведомо завышена.• Как при привлечении сторонней организации, так и при наличии собственных специалистов, занимающихся поддержкой и доработкой сайта, отсутствие контроля за фактически затраченными трудовыми ресурсами может привести к чрезмерному увеличению расходов.• Риск переплаты за оказание одних и тех же услуг при отсутствии инструментов контроля.• Отсутствие соглашения по уровню сервиса (Service Level Agreement), приводящее к слабой поддержке сайта, не реагирование/ медленное реагирование собственных специалистов/ подрядчика на нештатные ситуации (полная неработоспособность сайта).

В рамках проводимых аудиторских процедур можно проверить следующее:

• Запросить и проанализировать тендерную документацию по выбору поставщика, оценить критерии выбора и следование установленным в компании процедурам.

• По проектам, оплата за которые проходила на основании фактически затраченного времени, запросить реестры, в которых фиксируется время, фактически затраченное на проект, и провести сверку с выставленными счетами. Также необходимо обратить внимание на следующий момент: имеется ли внутри компании сотрудник, владеющий необходимыми знаниями и компетенцией для того, чтобы оценивать время, которое поставщик запланировал потратить на ту или иную доработку, и в случае необходимости заблаговременно корректировать бюджет под проект. Максимальный бюджет под доработку/ проект лучше оговаривать заранее с поставщиком услуг и фиксировать в дополнительных соглашениях к договору или технических заданиях, чтобы избежать платежей за неэффективно потраченное время сотрудников поставщика.

• Изучить договор с поставщиком и проверить наличие соглашения по уровню сервиса. Обеспечение непрерывной работы интернет-магазина является одной из главных задач поставщика услуг. Особенно в случае, если интернет-магазин предлагает доставку в разные регионы России, с учетом разницы в часовых поясах интернет-магазин должен работать непрерывно

24 часа в сутки. В связи с этим необходимо проверить, какие критерии по уровню сервиса были согласованы в договоре, и как компания отслеживает соблюдение данных критериев, выставляются ли штрафы в случае выявления нарушений. В договоре могут быть прописаны следующие критерии: предоставление услуг по технической поддержке сайта 24 часа 7 дней в неделю, время реагирования на созданные инциденты в зависимости от уровня приоритета. Важно, чтобы компания располагала инструментами для мониторинга выполнения критериев соглашения по уровню сервиса и в случае необходимости выставляла штрафы за нарушения, т.к. неудовлетворительная работа сайта может привести к падению выручки и потере лояльности покупателей.

• При использовании собственных специалистов, можно проверить численность специалистов, графики работы, ведение ими трекера задач и время решения той или иной задачи, выполнение SLA по реагированию на нештатные ситуации.

3.Контроль за расходами по доставке

Доставка заказов интернет-магазина может осуществляться силами компании или с привлечением сторонних курьерских служб. При втором варианте могут возникнуть следующие основные риски:• отсутствие конкурентной тендерной процедуры по выбору курьерских компаний, приводящее к росту цен на доставку.• заказы, которые не были доставлены покупателям вовремя или утеряны, не отслеживаются на регулярной основе, претензии курьерским службам не выставляются, компенсация не производится;• несоблюдение сроков доставки товаров покупателям;• счета, выставленные курьерскими службами, не проверяются на регулярной основе, ежемесячная сверка оборотов не проводится;• задержка при перечислении денежных средств от курьерских служб. Пени за просрочку выплат не были начислены;• неэффективное распределение заказов между курьерскими службами. Затраты на доставку выше выручки, полученной за доставляемые заказы;• бесплатная доставка была предоставлена по заказам, не превышающим минимальную сумму для бесплатной доставки или после окончания промо-периода акции.


ПРАКТИКА

58


• Был ли проведен тендер для оптимизации затрат по доставке.

• В случае если посылка была потеряна и не доставлена покупателю в оговариваемый срок, договором должно быть предусмотрено возмещение стоимости утерянных товаров. На данном этапе необходимо определить, кто осуществляет контроль за такими посылками, получить список утерянных посылок за аудируемый период и проверить, что претензии были своевременно направлены курьерским службам, а денежные средства поступили на расчетный счет компании. Также необходимо проверить, выполняют ли курьерские службы KPI* по срокам доставки, если они прописаны в договоре, и выполняется ли проверка выполнения данного условия, выставляются ли штрафы за отклонения от установленных KPI.

• Стоимость услуг курьерских служб обычно зависит от нескольких параметров: веса посылки, географии доставки, тарифа за доставку, стоимости дополнительных услуг (страхование, получение оплаты от покупателей и др.). Все входящие данные, указанные поставщиками в счетах, должны проверяться ответственными сотрудниками на предмет соответствия данным внутренней учетной системы, тарифам, установленным договором. На данном этапе могут быть выявлены переплаты за заказы, которые не были фактически доставлены или неверное применение тарифов, установленных договором, завышение веса посылок и как следствие применение более дорогого тарифа. Часто тарифы за приемку денежных средств от покупателей отличаются в зависимости от способа оплаты (наличный, безналичный), тариф за возврат посылки в случае получения отказа от покупателя существенно ниже, чем тариф за регулярную доставку до покупателя. Таким образом, все эти данные должны проверяться на регулярной основе, а выявленные разницы доноситься до поставщиков услуг.

• В случае, если оплата интернета-заказа осуществляется покупателем при получении, у курьерских служб возникает задолженность перед компанией по перечислению денежных средств.

……............................* KPI – англ. Key performance indicator – ключевой показатель эффективности.

В договоре должен быть установлен срок, в течение которого курьерские службы должны перечислить денежные средства на расчетный счет компании, а в случае задержки выплатить дополнительную пеню. Соблюдение сроков перечисления денежных средств должно контролироваться ответственным сотрудником и вовремя сообщаться поставщику услуг, а в случае возникновения разногласий –отделу финансов/ юридическому отделу.

• Как правило, тарифы курьерских служб варьируются в зависимости от места назначения и веса посылки. Компания может привлекать несколько курьерских фирм для того, чтобы обеспечить своевременную доставку заказов для своих покупателей. В этом случае возникает риск того, что интернет-заказы были переданы для доставки курьерским службам, которые предлагали не лучшую цену. Такая ситуация может возникнуть, если при распределении заказов учитывается только вес посылки и место назначения доставки, но не принимаются в расчет сопутствующие услуги (страховка, плата за прием оплаты от покупателей и т.д.). Особое внимание нужно уделить алгоритму распределения заказов между курьерским службами: насколько данный процесс автоматизирован, внедрена ли интеграция данных между системами компании и курьерских служб.

• Очень важно протестировать, что пороговые значения бесплатной доставки, установленные для покупателей, выполняются на практике, а покупатели не получают возможность включить опцию бесплатной доставки за любой заказ, независимо от суммы.

4.Контроль за количеством товаров, доступных для заказа

В настоящее время все чаще компании используют понятие омниканальности (синергии офлайн- и онлайн-продаж), которая дает покупателю возможность приобрести товар удобным для него способом. Так, часто сети розничной торговли, владеющие офлайн-магазинами, предлагают покупателям оформить заказ в интернет-магазине с последующей доставкой в конкретный офлайн-магазин. На данном этапе возникает вопрос, как правильно разделить товар на складе и как минимизировать время его выбытия из доступности для заказа в случае, если покупатель от него отказался. Данный процесс, а также некорректная работа систем и


ПРАКТИКА

59

склада могут привести к следующим основным рискам:

• замораживание стока в случае, если покупатель не смог забрать заказ, а продавец магазина вовремя не отменил заказ и не выставил товар для продажи в офлайн-магазине;• дополнительные издержки при доставке товара со склада в магазин;• неэффективное деление складских запасов между сайтом и розничными магазинами, приводящее к отсутствию товаров на сайте;• некорректная синхронизация ИТ-систем, когда товар доступен к заказу в интернет-магазине, но фактически отсутствует на складе/в офлайн-магазине, что приводит к отмене заказов, потере выручки, а также временным затратам сотрудников склада;• несвоевременный подбор товаров сотрудниками склада, приводящий к задержкам отгрузки товаров курьерским службам и как следствие срыву сроков доставки товара покупателям.


• Что обе опции покупки товара доступны покупателям на сайте: (1) товар есть в наличии в офлайн-магазине, покупатель имеет возможность забронировать товар на сайте с последующим самовывозом, (2) товара нет в наличии в офлайн-магазине, требуется доставка товара со склада в офлайн-магазин.

• Если доставка связана с офлайн-магазином, то нужно изучить инструкции, которым должен следовать персонал магазина, а именно: установленный срок хранения интернет-заказа после доставки в офлайн-магазин, период, в течение которого сотрудники магазина должны отменить заказ и вернуть товар для дальнейшей продажи в офлайн-магазине. Стоит также получить список фактически отмененных заказов и отследить по системе, в течение какого периода товары из заказа были возвращены на баланс офлайн-магазина и стали доступны для продажи. Несвоевременная отмена заказа/ выставление товара на витрину магазина приводит к замораживанию стока и потере продаж. Также необходимо изучить, как происходит обмен информацией между сотрудниками кол-центра и сотрудниками магазина: необходимо определить обзванивает ли кол-центр покупателей, которые в течение установленного срока после оформления заказа не забрали товар. В случае,

если покупатель сообщил сотрудниками клиентской поддержки, что не сможет забрать зарезервированный заказ, как быстро данная информация передается в соответствующий магазин и как быстро реагируют сотрудники магазина на полученную информацию.

• Если товар отсутствует в офлайн-магазине, то возникают дополнительные издержки по его доставке со склада в магазин. В данном случае необходимо определить сумму дополнительных расходов, которые несет компания и возможности для последующей оптимизации данных расходов. Например, если компания использует курьерские службы отдельно для доставки интернет-заказов, существует потенциальная возможность объединения таких доставок с регулярными поставками товаров со склада в офлайн-магазин. При этом необходимо провести сравнение со сроками доставки конкурентов по аналогичным интернет-заказам, и на основе имеющихся данных оценить целесообразность оптимизации затрат.

• Некорректная синхронизация данных по остаткам товаров в различных ИТ-системах (например, в складской системе, системе данных розничного магазина, ИТ-системе интернет-платформы) может привести к отмене заказа в случае, если товара по факту нет в наличии, но он был доступен для заказа покупателю интернет-магазина. Для проверки корректности синхронизации данных необходимо определить периодичность такой синхронизации в системе интернет-платформы (периодическая или в режиме реального времени) и провести сверку по количеству остатков на определенный момент времени. Также необходимо получить выгрузку по отмененным заказам и выявить причины, которые находятся в зоне контроля того или иного отдела внутри компании / внешних поставщиков.

• Необходимо убедиться, что у сотрудников склада также имеется KPI по скорости обработки поступающих заказов, и данный показатель выполняется сотрудниками склада.

5. Контроль за ценами в интернет-магазине/ промо-акциями

На данном этапе могут возникнуть следующие основные риски:• цены не утверждены ответственными лицами или утвержденные цены отличаются от фактических цен, отображенных на сайте.


ПРАКТИКА

60

• некорректная работа ценовых схем на сайте.• доступ к редактированию цен на сайте предоставлен широкому кругу лиц.


• сравнить данные утвержденного прайс-листа для интернет-магазина с фактически отображаемыми ценами на текущую дату.

• запросить реестр пользователей, у которых есть авторизация для изменения цены в ручном режиме на сайте. Оценить релевантность внесения того или иного пользователя в данный список, особое внимание уделить пользователям внешних поставщиков, если таковые имеются.

• определить способ настройки правил для промо-акций (автоматически или вручную). В случае если период проведения промо-акций настраивается и отменяется вручную, риск возникновения ошибки более высокий. В этом случае можно запросить перечень уже проведенных промо-акций с указанием периода проведения акции и на выборочной основе проверить корректность установленных промо-правил в рамках проводимых акций. При данном анализе могут быть выявлены следующие недостатки в контролях: дополнительная скидка суммировалась с распродажной скидкой (при условии, что в описании акции скидка должна была распространяться только на товары по полной стоимости); скидка применилась на более широкий чем предполагалось/ весь ассортиментный перечень товаров; размер скидки составил 100% вместо согласованного размера и др.

6. Контроль за поступлением выручки и возвратами

Данным этапам присущи следующие основные риски:• оплаты покупателей не сверяются между системой провайдера услуг эквайринга и бухгалтерской системой компании (риски, связанные с поступлением выручки от курьерских компаний, были рассмотрены выше);• возврат покупателю большей суммы ввиду увеличения цены товара/ отмены действия промо-акции на момент возврата;• несоблюдение сроков возврата денег покупателям (нарушение Закона «О защите прав

потребителей»*);• высокое количество возвратов товаров, приводящее к снижению выручки и возникновению дополнительных расходов, связанных со сбором, обработкой, доставкой товара.

В рамках аудиторских процедур можно сделать следующее:

• проверить, проводится ли регулярная сверка отгрузки товара и поступления денежных средств по эквайрингу;• уточнить, проводится ли аналитическая или автоматическая проверка возвратов на соответствие цен (цена товара при возврате должна соответствовать цене продажи с учетом всевозможных акций); для проверки можно также провести выборочное тестирование возвратов или сделать пробную закупку и возврат товара во время аудита в качестве дополнительного теста;• через отчеты провести анализ сроков возврата денежных средств покупателям, проверить, соответствуют ли они нормам Закона «О защите прав потребителей»*.• проанализировать причины высокого количества возвратов. Возможными причинами могут быть: низкое качество работы склада (ошибки сборки заказа), существенные задержки сроков выполнения заказа, отсутствие возможности частичной приемки товара и другие. Все эти причины необходимо проверить для поиска путей исправления ситуации.

****

Поводя итоги, хочется еще раз отметить чрезвычайную важность времени внутренних аудиторов, отведенному на планирование. Процесс E-commerce является сложным кросс-функциональным процессом, вовлекающим в работу практически все подразделения компании: ИТ, операционную команду брендов, мерчандайзеров, финансы, службу клиентского сервиса, логистику, склад, маркетинг. Риски, присущие каждому из подпроцессов, могут привести к серьезным финансовым потерям для компании. Приведенные в статье особенности аудиторских процедур позволят, по мнению авторов, покрыть все основные риски и дать пользователям аудиторских отчетов уверенность в том, что процесс работает как было запланировано или требует улучшений. ∞

……............................*Закон РФ от 07.02.1992 N 2300-1 (ред. от 24.04.2020) «О защите прав потребителей»


ПРАКТИКА

61

ПРАКТИКА


Валентин Есипов управляющий партнер, Агентство экономической и налоговой безопасности «Есипов и Партнеры», +7 (968) 737- 31-31, Nalogprofy.ru

Выявление налоговых и экономических рисков

при ведении ФХД:

как защитить бизнес.Кейс из практики

62

В данной статье мы рассмотрим большой и интересный кейс по проведению исследования финансово-хозяйственной деятельности и применению комплекса мер по выявлению налоговых и экономических рисков на примере реально существующей компании.

Мероприятия проводились Агентством экономической и налоговой безопасности «Есипов и Партнеры» (далее E&P). В своей деятельности агентство применяет метод интегративного консалтинга, объединяющий в себе компетенции финансовых расследований и мониторинга, аудита, юридической экспертизы, проведения выездных налоговых проверок, оперативной работы в государственных службах. Объединение компетенций позволяет максимально объективно оценить, в соответствии с обозначенными целями, как отдельный бизнес-процесс, так и деятельность компаний в целом. Подобные услуги под названием «Форензик-расследования», но больше с аудиторским уклоном, предоставляют компании Большой четверки, представляющие из себя массмаркеты с огромным списком оказываемых услуг.

Итак, консалтинговый продукт Агентства «Есипов и Партнеры» своими методами работы формирует наличие альтернативных возможностей для владельцев бизнеса, в том числе в области сопровождения налоговых проверок, Forensic, Due Diligence и пр.

Кейс из практики

Компания АО «Терпеливый Паровозик» (название вымышленное, на момент написания статьи юридического лица с таким названием в ЕГРЮЛ не значится) осуществляет деятельность в сфере производства и реализации промышленного оборудования на территории Российской Федерации. Годовой оборот около 2 миллиардов рублей. Штатная численность более 500 человек. Владельцы бизнеса – акционеры. Исполнительный орган – генеральный директор.

Наличие и осознание проблемы

Мажоритарный Акционер одного из предприятий Общества обратился со следующей проблемой: в течение нескольких месяцев к его компании активно проявляет внимание местная Инспекция ФНС РФ. Налоговый орган затребовал отчетную документацию, а также первичные документы по взаимоотношениям с контрагентами. Кроме того,

вызваны на допросы несколько сотрудников компании. У акционера возник резонный вопрос, насколько обоснованы запросы и допросы ИФНС, имеются ли причины для переживаний, и насколько можно доверять генеральному директору операционное управление компанией. С учетом того, что в Обществе проводился ежегодный аудит, и заключение аудиторов всегда носило положительный характер, Акционер понимал, что в данном случае необходим альтернативный способ проверки финансово-хозяйственной деятельности.

Сбор первичной информации

Агентство E&P перед началом взаимоотношений заключает соглашение о неразглашении информации. Все дальнейшие действия Агентства основываются на строгом соблюдении конфиденциальности.

Для первичной оценки ситуации Акционер предоставил бухгалтерскую (финансовую) отчетность компании и документы ИФНС по проведенным мероприятиям налогового контроля. Проведен первичный анализ финансовых показателей компании и доли потенциальных налоговых претензий.

Выработка гипотез

Гипотеза № 1.В результате изучения всех полученных сведений сделан вывод о наличии признаков целенаправленных мероприятий со стороны ИФНС по подготовке к выездной налоговой проверке. С максимальной степенью объективности установить наличие рисков налоговых доначислений возможно путем проведения аналога выездной налоговой проверки.

Гипотеза № 2.Наличие потенциальных налоговых рисков, обозначенных прямой заинтересованностью налогового органа, входит в противоречие с положительной управленческой отчетностью генерального директора. В этой связи возникает вопрос в его благонадежности и правомерности действий.

Корректировка задания, цели и задач

После погружения в ситуацию сформирована основная цель – выявление и оценка риска


ПРАКТИКА

63

налоговых доначислений. Также необходимо проверить действия генерального директора и высшего руководства компании на предмет наличия конфликта интересов, мошеннических и коррупционных проявлений.

Таким образом, в компании необходимо выявить налоговые и экономические риски, причины и способ их возникновения, а также оценить действия или бездействие высшего руководства, влияющие на финансовый результат и сохранность активов, имущества. В дальнейшем требуется разработка и сопровождение стратегии минимизация рисков. При этом агентство при планировании задания не ограничивалось только аудиторскими процедурами или только методами налоговых и оперативных проверок и экономических расследований.

Выработка методов получения целевой информации для проверки гипотез

Деятельность агентства обозначена как аудиторская проверка в целях минимизации налоговых рисков в интересах Общества. В этой связи в общий план мероприятий включено исследование внутренних бизнес-процессов и взаимоотношений с контрагентами на предмет наличия фактов корпоративного мошенничества и коррупции, без внешнего обозначения целей.

С учетом наличия скрытых целей в отношении управляющего руководства компании стояла задача получения максимально достоверной информации о бизнес-процессах и документального их отражения. В том случае, если генеральный директор имел конфликт интересов и осуществлял функции в ущерб компании, тогда существовала угроза корректировки или утраты документов, устранения из прямого доступа для аудиторов ответственных лиц (отпуск, больничный, командировка и т.п.), а также корректировки взаимоотношений с контрагентами.

Тестирование гипотез. Аналитические процедуры

Для решения задач по кейсу была сформирована проектная группа из аудиторов и экспертов с опытом работы в Счетной палате РФ, проведения выездных налоговых проверок, проведения оперативных проверок и экономических расследований.

Обозначены объекты исследования:• организационная структура экономического субъекта• организационно-распорядительная документация• система контроля деятельности исполнительного органа и структурных подразделений• бухгалтерская (финансовая) отчетность• первичные документы• движение денежных средств экономического субъекта по расчетным счетам• система взаимоотношений и документооборота с контрагентами• порядок выполнения должностных обязанностей работников в разрезе взаимоотношений с контрагентами• иные объекты в целях реализации целей внутреннего контроля.

В ходе решения кейса и тестирования гипотез проведены аудиторские процедуры на предмет соответствия фактов хозяйственной деятельности сведениям бухгалтерской отчетности и регламентирующим нормативно-правовым документам. Проведены аналитические процедуры в отношении контрагентов, бизнес-процессов в области закупок и продаж. Проведено интервьюирование работников.

Резюме по отработке Гипотезы № 1.

В рамках отработки гипотезы, в целях анализа рисков проведены, в частности, следующие мероприятия:

1. Выявление фактов взаимоотношений с контрагентами, подлежащих экспертизе на предмет добросовестности.2. Проведение проверочных мероприятий по сделкам с участием сомнительных контрагентов. Выявление иных налоговых правонарушений.3. Определение и анализ налоговой нагрузки в разрезе взаимоотношений с сомнительными контрагентами.4. Выявление резервов в целях налоговой оптимизации.6. Определение объема налоговых рисков, финансовых убытков, материального ущерба. 6. Завуалированные мероприятия по установлению круга ответственных лиц, злоупотребляющих должностными обязанностями.7. Определение степени ответственности в рамках налогового, гражданского и уголовного законодательства.


ПРАКТИКА

64

В результате выявлено более 15 контрагентов из числа поставщиков и заказчиков, имеющих признаки фирм-однодневок либо транзитных компаний. При исследовании взаимоотношений с этим каскадом контрагентов выявлены недостатки в оформлении документов и организации взаимоотношений, которые позволяют налоговым органам сделать вывод о занижении налогооблагаемой базы и начислить к уплате значительную сумму налогов и штрафов. Сумма потенциальных налоговых доначислений штрафных санкций за три года составила более 150 000 000 рублей. Дана оценка в отношении налоговой и уголовной ответственности. Дана оценка экономическому эффекту в случае наступления негативных последствий, в виду того, что сумма конечных налоговых претензий собирается на протяжении трех лет, а по итогам налоговых мероприятий предъявляется к уплате единовременно. Данное обстоятельство в зависимости от ряда других факторов может либо отбросить компанию на несколько лет назад, либо стать причиной банкротства и прекращения деятельности. С учетом субсидиарной ответственности задача минимизации рисков по уже свершившимся негативным сценариям налогового характера относится к высокому уровню сложности. Поэтому в данном случае акционер своевременно предпринял возможные действия по минимизации рисков.

В налоговом аспекте для АО «Терпеливый Паровозик» разработана стратегия минимизации рисков, защиты имущества и активов.

Резюме по отработке Гипотезы № 2.

При отработке гипотез проводилось интервьюирование и тех работников компании, которые не имели отношение к исследуемым бизнес-процессам. За время нахождения на территории компании определена неформальная структура компании и центры влияния, выявлены обособленные круги общения и внутренние конфликты.

Генеральный директор во время работы по кейсу в основном находился вне офиса: на переговорах, совещаниях и пр. Руководитель департамента продаж и несколько его ключевых сотрудников оказались в отпуске по временной нетрудоспособности (на больничном). Данные работники отвечали отказом в связи с личными

обстоятельствами на неоднократные попытки со стороны аудиторов организовать интервьюирование в удобных для них условиях в целях общего дела – защиты Общества. Такие действия закладывались при постановке гипотезы. Вынуждать или оказывать какое-либо давление в такой ситуации являлось неэффективным и вредоносным. Предполагалось, что информация о действиях аудиторов, их направленность и возможная угроза для отсутствующих работников в любом случае до них дойдет. Поэтому организовывалось интервьюирование с работниками наиболее близкого круга общения отсутствующих. В ходе таких интервью помимо получения целевых сведений в различных красках описывалась несправедливость агрессивных и опасных для Общества действий налоговиков, и то, как работая на одной стороне и с помощью только общих усилий, можно адекватно противостоять органам. После обеспечения в Обществе атмосферы активной защиты от опасных и агрессивных претензий налоговых органов отсутствующие работники вышли на связь и сообщили, что могут отлучиться от личных дел в интересах Общества, при чем по очереди в течение двух дней. Только тогда с ключевыми работниками удалось провести интервьюирование.

Проводились встречные проверки контрагентов, инициировались процедуры сверки. Под различными предлогами инициировались телефонные и личные контакты с руководителями и ответственными лицами исследуемых контрагентов, в том числе с конечными заказчиками.

При отработке гипотезы выявлен факт сговора генерального директора, руководителя департамента продаж и нескольких работников (в том числе уволенных) с рядом заказчиков, направленного на осуществление продаж по заниженным ценам через подставные фирмы.

Косвенными признаками получения нехарактерного дохода участниками сговора со стороны компании являлось приобретение дорогих предметов обихода, частое посещение дорогих курортов. Отличие от других сотрудников смежных функций было значительным.

Путем аудиторских, аналитических и иных процедур дана оценка материального ущерба. Подставным фирмам отгружалось оборудование со скидками до


ПРАКТИКА

65

30% от цен, установленных политикой компании. Характер деятельности подставных фирм определялся как транзитный. Разница распределялась между участниками сговора.

Кроме того, ограниченному числу работников компании выплачивались ежемесячные многомиллионные премии. Их обоснованность, периодичность и размер определял лично генеральный директор Общества. Значительная часть средств, полученных в виде указанных премий, затем передавалась генеральному директору.

Таким образом, определен уровень убытков компании в связи с реализацией схемы продаж через подставные фирмы и выплатой необоснованных крупных премий. Сумма средств выведенной прибыли была оценена в более чем 50 000 000 рублей.

Заключение по результатам исследования

В ходе работы по кейсу получен и обработан большой объем информации по финансово-хозяйственной деятельности Общества. Полученная информация и документы впоследствии обобщались, структурировались и синтезировались. Это позволило определить обособленный круг работников компании, имеющий прямое отношение к проблемным бизнес-процессам как в области налогообложения, так и в области противодействия интересам компании.

По результатам мероприятия оформлены два заключения: одно для общего пользования с аспектами налоговых рисков, второе лично для акционера.

В первом заключении были отражены следующие блоки:• Объем исследования документальной информации и фактов финансово-хозяйственной деятельности экономического субъекта.• Исследование признаков налоговых правонарушений, в том числе при финансово-хозяйственных взаимоотношениях с сомнительными контрагентами.• Оценка перспективы проведения мероприятий налогового контроля налоговым органом и проверочных мероприятий правоохранительными органами, а также их последствия.

• Оценка уровня потенциальных финансовых, репутационных убытков компании.• Оценка действий ответственных лиц с точки зрения налоговой, административной, уголовной ответственности.

При разработке стратегии защиты систематизированы требования к организации и оформлению взаимоотношений с контрагентами из открытых источников и арбитражной практики. Составлен план корректировки недостатков ведения учета и первичной документации с учетом экспертного сопровождения данных процедур Агентством E&P.

Второе заключение носило строго конфиденциальный характер и было предназначено лично для Акционера. В данном заключении разъясняются все потенциальные риски, обязанности и потенциальные действия налоговых и правоохранительных органов.

Определены наиболее вероятный размер налоговых и штрафных доначислений, а также уровень материального ущерба, причиненного компании генеральным директором и обособленным кругом лиц. При исследовании экономических рисков проведена правовая оценка действий генерального директора и группы сговора. Представлены варианты правовых действий в отношении неблагонадежного генерального директора и ряда работников, а также вероятные перспективы.

При разработке стратегии защиты акционеру лично представлены рекомендации в части реорганизации организационной структуры и бизнес-процессов, внедрения системы фактического внутреннего аудита и контроля, защиты активов и имущества. Также даны рекомендации по администрированию взаимоотношений с налоговым органом. При этом акционер предложил Агентству E&P, как доверенному и проверенному лицу, сопровождать запланированную модернизацию бизнеса и процессов.

P.S. По результатам решения кейса в отношении АО «Терпеливый Паровозик» назначение выездной налоговой проверки не последовало.Была проведена ротация кадров и реструктуризация компании. Бизнес-процессы в области закупок и продаж модернизированы. Создана служба внутреннего аудита и контроля. Регламенты перестали быть формальными. ∞


ПРАКТИКА


ПРАКТИКА

Создание службы внутреннего

контроля и аудита

с нуля

Михаил Поляков CIA, директор по внутреннему контролю и аудиту, практический опыт во внутреннем аудите более 15 лет

67

Предпосылки и ожидания акционеров

Расскажу про личный опыт создания службы внутреннего контроля и аудита с нуля, уверен, что эта тема будет интересна как собственникам бизнеса, которые уже задумывались о создании такой службы, но по каким-то причинам откладывают такое решение, так и внутренним аудиторам, которые могут столкнуться в своей карьере с такими вызовами.Хочу сразу отметить, что в компании, о которой пойдет речь, никогда не было ни функции внутреннего аудита, ни функции контроля. Когда меня пригласили на интервью с акционерам компании и мы начали обсуждать цель создания службы, я понял, что акционерам нужна прежде всего независимая оценка того, что же происходит с их бизнесом на самом деле, насколько достоверны те отчеты – по продажам, исполнению бюджета, инвестициям, – которые им предоставляет операционный менеджмент. Компания на тот момент как раз находилась в стадии роста, и для того, чтобы поддерживать его и не перейти в стадию зрелости, компании был нужен новый импульс – кардинальные изменения как в реструктуризации процессов, так и в привлечении новых инвестиций. Одним из таких импульсов и должна была стать служба внутреннего контроля и аудита (далее СВКиА). Основная задача, стоявшая передо мной, – выстроить в компании функцию внутреннего аудита и систему внутреннего контроля (далее СВК).

Международный Институт внутренних аудиторов (IIA) дает следующее определение внутреннего аудита:Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

СOSO ICВнутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками, направленный

на обеспечение разумной уверенности в достижении целей компании, связанных с операционной деятельностью, подготовкой отчетности и соблюдением законодательства и нормативных актов.

По сути, была поставлена задача создать в рамках одного подразделения две конфликтующие между собой функции (контроль и аудит).

В соответствии с моделью Трех линий защиты, разработанной IIA в 2013 году, функция внутреннего контроля находится на второй линии защиты, а функция внутреннего аудита – на третьей, к тому же, в соответствии со Стандартом 1130.А1 Международных профессиональных стандартов внутреннего аудита, внутренние аудиторы должны воздерживаться от проведения оценки тех областей, за которые они раньше несли ответственность, а также предоставления гарантий в той области, за которую они отвечали в течение предшествующего года, поскольку иначе объективность и независимость подвергаются негативному воздействию.

Чтобы минимизировать этот конфликт, было принято решение о разделении функции внутри службы на ВА и ВК: внутренние аудиторы не могут учувствовать в осуществлении контрольных процедур, а специалисты по внутреннему контролю не могут проводить аудиторские проверки. По мере зрелости СВК данная функция перейдет во вторую линию защиты. Этот подход был утвержден советом директоров.

Стандарт 1100 – Независимость и объективностьВнутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.Примечание:Объективность аудитора считается нарушенной, если аудитор разрабатывает, внедряет, проектирует контрольные процедуры для систем или управляет такими системами.

Первые шаги

На этапе зарождения функции внутреннего аудита важно строго руководствоваться Международными профессиональными стандартами внутреннего


ПРАКТИКА

68

аудита и применять лучшие практики в области управления функцией внутреннего аудита, доводить их важность и значимость до акционеров и высшего руководства. Был случай, когда на очередной встрече с высшим руководством мне было предложено взять в подчинение операционную функцию, т.е. подразделение, которое непосредственно занимается операционной деятельностью. И здесь было важно довести до руководства свою принципиальную позицию о том, что если внутренний аудит будет руководить операционной функцией, тогда объективность и независимость внутреннего аудита подвергнутся отрицательному воздействию, а внутренние аудиторы не смогут выполнять свои обязанности объективно и независимо в отношении этого подразделения.

Практическое указание 1130.A2-1: Ответственность внутреннего аудита за другие (неаудиторские) функцииСоответствующий исходный Стандарт 1130.A2 – Выполнение аудиторских заданий по предоставлению гарантий в тех областях, за которые отвечает руководитель внутреннего аудита, должно осуществляться под надзором стороны, независимой по отношению к внутреннему аудиту.Внутренние аудиторы не должны брать на себя ответственность за неаудиторские функции или обязанности, которые подлежат периодическим оценкам внутреннего аудита. Если на них лежит такая ответственность, они не работают как внутренние аудиторы.

Итак, первыми шагами для создания СВКиА стали следующие действия:

В течение первых трех месяцев были проведены мероприятия, закрепляющие статус и независимость службы и заложен фундамент для дальнейшей эффективной работы:

• Проведены установочные совместные встречи с высшим руководством и советом директоров, на которых были сформулированы ожидания от СВКиА и определены задачи и меры поддержки.

• Подготовлены и утверждены советом директоров и генеральным директором основополагающие документы (положение о СВКиА, методика проведения внутренних аудитов).

Стандарт 1000: Цели, полномочия и ответственностьЦели, полномочия и ответственность подразделения внутреннего аудита должны быть определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.

• Для понимания уровня зрелости компании в области внутреннего контроля и управления рисками, а также для формирования перечня бизнес-процессов наиболее подверженных рискам, были проведены интервью со всеми ключевыми владельцами бизнес-процессов. По результатам интервью была сформирована карта корпоративных рисков компании, которая легла в основу формирования риск-ориентированного годового плана аудита; был разработан перечень бизнес-процессов в детализации до 3-х уровней (корпоративный, операционный, транзакционный) как основа для формирования СВК.

• Параллельно была проведена работа по созданию и утверждению организационной структуры службы. Для обоснования и расчета количества сотрудников структуры были использованы инструменты из ранее полученного практического опыта: количество плановых аудитов за год в соотношении времени, затрачиваемого на выполнение одного аудита, а также аналогичный расчет в отношении отработки одного бизнес-процесса специалистом в единицу времени.

• Для усиления позиции и придания уверенности в достижении цели создания СВК,был разработан Устав проекта по созданию СВК, где основными заказчиками выступили акционеры. Устав был согласован с менеджментом и утвержден СЕО; документ был проработан до мелочей: были прописаны все риски, с которыми могла столкнуться команда, и меры их снижения; обозначены все роли, ответственные; формы и правила коммуникации с менеджментом; сроки и контрольные точки по этапам проекта были прописаны в план-графике.


ПРАКТИКА

69

• По истечении 3-х месяцев была разработана и утверждена на совете директоров стратегия создания и развития функции ВК и ВА на краткосрочный (1 год) и долгосрочный (3 года) периоды, утверждено положение о СВКиА, план аудитов на год, структура и бюджет СВКиА, методика проведения внутренних аудитов, устав создания СВК, положение о владельцах бизнес-процессов. Осталось главное – сформировать команду, которая смогла бы достичь поставленной цели.

СOSO ICСистема внутреннего контроля — это комплекс мер, принимаемых руководством компании для своевременного выявления рисков и управления ими.

Команда – основной ресурс для достижения любой цели

Сразу скажу, что на формирование полноценной команды ушло около полугода. Команда формировалась постепенно, не было цели сразу набрать полный штат высококлассных специалистов, поскольку, во-первых, это могло оказаться неоправданной нагрузкой на бизнес (с точки зрения как дополнительных расходов на ФОТ, так и нерационального распределения задач ввиду неготовности менеджмента к резким изменениям, что могло бы привести к скрытому бойкоту создания функций). Во-вторых, что крайне важно, нужно было начать работу небольшим составом, чтобы на первых шагах понять, какие ошибки могут возникнуть на начальной стадии и сколько фактически времени уходит на выполнение одного аудиторского задания или обработку одного процесса; и только после этого определиться с количеством членов команды. В-третьих, специалистов подобного уровня очень трудно найти на рынке по причине узкой специализации.

Подбор команды осуществлялся, как правило, мною лично совместно функцией HR. Были заранее проработаны профили кандидатов с необходимым набором качеств и компетенций, основные – это коммуникабельность, проактивность, клиентоориентированность и настойчивость, компетенции и опыт во внутреннем контроле или аудите, понимание структуры бизнес-процессов и главное – желание создавать что-то новое и

совершенствоваться. Кандидатов искали внешних, поскольку нужны были независимая оценка и взгляд со стороны, а с новыми людьми, как правило, приходят и новые идеи.

Итак, в течение полугода с момента утверждения структуры СВКиА команда была полностью сформирована. Здесь важно отметить, что при создании функции ВА и/или СВК, особенно на начальных этапах, необходимо привлекать профессионалов высокого уровня или специалистов с очень хорошим базовым образованием. В нашем случае именно из таких людей и сформировалась команда; если брать в пропорции, то примерно 50/50.

Не буду дальше вдаваться в детали осуществления проекта СВК и становления функции внутреннего аудита (оставлю эту тему для следующей статьи), скажу лишь, что проект по созданию СВК был успешно реализован в течение 1,5 лет и передан в бизнес-подразделения компании, а становление функции внутреннего аудита было реализовано в течение 3 месяцев с момента моего прихода в компанию и до начала первой аудиторской проверки.

Основные трудности, с которыми пришлось столкнуться, и пути решения

В процессе создания СВКиА ожидаемо возникли трудности и проблемы, в основном лежащие в плоскостях организации процесса и недопонимания операционным менеджментом роли внутреннего контроля и аудита в организации. В компании, в которой никогда не было подобных функций, менеджмент реагировал по-разному: те, кто ранее сталкивались с аудитом или контролем, понимали, что эти функции нацелены на помощь акционерам и менеджменту в достижении основных целей компании, и сразу включались в процессы; некоторые же не видели смысла в новом подразделении, думая что компания хорошо развивалась и без этих функций.Основные пути решения этих трудностей заключаются в качественном подборе команды внутренних аудиторов и специалистов по внутреннему контролю, высокой частоте коммуникаций на всех уровнях взаимодействия между сотрудниками СВКиА и операционным менеджментом с целью объяснения пользы от совместной работы и демонстрации результатов службы высшему руководству и акционерам.


ПРАКТИКА


ПРАКТИКА

Основные факторы успешного создания службы внутреннего контроля и аудита

В заключение хотел бы сказать, что основными факторами для успешного создания функций внутреннего контроля и аудита, на мой взгляд, являются:

1. Наверное, самый важный фактор – желание и поддержка акционеров и высшего руководства на всех этапах создания и развития функций. Здесь многое может зависеть от ваших презентационных навыков, поскольку акционеры и высшее руководство могли ранее не сталкиваться с подобными функциями, и важно убедить их в полезности ВА и ВК для бизнеса.2. Планирование создания и развития функции в строгом соответствии с Международными профессиональными стандартами внутреннего аудита на 3-хлетний период, детальное – на 1 год.3. Команда, которая не подведет и достигнет результата.4. Проактивная, последовательная и настойчивая реализация плана по созданию и развитию функций.5. Создание атмосферы взаимопонимания и поддержки внутри коллектива, мотивированного на получение результата.

Результатом синергии этих пяти основных факторов стала успешная реализации проекта по созданию службы внутреннего контроля и аудита. ∞

Трудности Пути решения

Сложности в формировании команды аудиторов

и специалистов по внутреннему контролю в

СВКиА

Подбор специалистов с хорошим опытом

работы в сфере аудита и контроля и хорошим

базовым образованием

Непонимание менеджментом целей и задач

СВКиА

Проведение постоянных встреч и тренингов для

объяснения пользы внутреннего аудита и

контроля

Закрытость менеджмента и сотрудников,

недоверие к внутренним аудиторам при первых

проверках

Объяснение и демонстрация менеджменту и

сотрудникам, что аудиторские проверки

нацелены на помощь бизнесу в

совершенствовании процессов и улучшении

деятельности компании, а не с целью

выявления и наказания виновных

Непонимание менеджментом своей роли в

управлении контрольными процедурами в

своих процессах

Проведение встреч с менеджментом, выпуск

статей в корпоративном журнале с

разъяснениями управления контрольными

процедурами

Непринятие менеджментом изменений,

связанных с внедрением СВК

Формирование тона сверху у руководителей

всех уровней

71

Лица профессии

ЛИЦА ПРОФЕССИИ


Александр МосковкинДолжность: директор по внутреннему контролю и аудитуКомпания: АО «РТИ»

Я пришел во внутренний аудит почти 15 лет назад. Пришел из подразделения внутреннего контроля. Оказалось, что внутренний аудит мне намного ближе и интереснее. Продолжаю открывать его для себя до сих пор. Считаю, что это было правильным решением, которое положительно повлияло на последующую жизнь – выбранная работа не дает скучать и застаиваться.

В работе внутреннего аудитора важно все. И скорость работы, и качество, и результат, и коммуникации. Подход к работе тоже важен. Тут как в работе разведчика – мелочей не бывает. И нужно стараться регулярно проверять себя: все ли сделано хорошо и можно ли что-то улучшить. При этом не забывая об основных ограничителях – времени и соотношении затрат к результату.

Мне помогает в работе, конечно, коллектив моей Службы. Приятно, что в департаменте подобрались ребята, которые переживают за общее дело и готовы работать на общий результат. Приятно, что это видно не только мне: в 2019 году мой коллектив стал лауреатом премии Института внутренних аудиторов «Внутренний аудитор года»* в номинации «Служба внутреннего аудита года». С учетом того, насколько крупные и заслуженные аудиторы также были призерами – эта победа приятна вдвойне.

Я стремлюсь постоянно развиваться и двигаться вперед, как в профессиональном плане, так и в развитии soft skills и заполнения пробелов в знаниях. Помните, у Кэролла: «Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее». Так и про постоянное развитие. Кроме того, чем больше узнаешь, тем больше неизведанного открывается и этот процесс непрерывен.

Мне помогает совершенствоваться и развиваться, как ни странно, интеллектуальные игры. Много лет я играю в команде спортивного «Что? Где? Когда?», и привычка смотреть на вопросы под разными углами и комбинировать набор информации для получения ответа способствует работе внутреннего аудитора и помогает достигать результата в аудиторских проектах.

В свободное время, если оно остается, я пытаюсь совместить увлечения мототуризмом, дайвингом и кинологическим спортом. Отличные занятия, чтобы абстрагироваться от проблем и задач, перезагрузиться, набраться новых сил.

Я всегда хотел видеть реальный результат своей деятельности. Именно в такие моменты ты понимаешь, что принес пользу, работал не напрасно и продуктивно.

Мне интересно смотреть на взаимосвязь процессов компании и разбираться в том, как их сделать более эффективными и менее рисковыми.

Профессия внутреннего аудитора в отличие от многих других более «живая». Ей вреден застой как в знаниях, так и в людях. Поэтому рекомендую участвовать в такой волонтерской деятельности ИВА как написание материалов. Так вы сможете не только сообщить свое мнение, но и, рассказывая что-то другим, посмотреть на эту тему с критической точки зрения или переосмыслить, что в итоге принесет пользу не только читателям, но и вам. Практически, пример стратегии «Win-Win».

……............................*Сайт Национальной премии «Внутренний аудитор года»: www.iva-ag.ru . Подать заявку на участие можно до 31 декабря текущего года. Участие бесплатное.

72

ЛИЦА ПРОФЕССИИ


http://www.iva-ag.ru/

http://www.iva-ag.ru/winners/2019-ao-rti/


«Рост компетенций внутренних аудиторов возможен только благодаря постоянному обмену опытом»

Внутренний аудитор № 2 (10), 2020 73

Интервью с Марией Кедровой, директором управления внутреннего аудита АО «Группа Ренессанс Страхование», лауреатом Национальной премии «Внутренний аудитор года» 2019 г. в номинации «Руководитель службы внутреннего аудита года»

Беседовала Елена Фролова-Иванова, Институт внутренних аудиторов

ИНТЕРВЬЮ

74

- Мария, пожалуйста, расскажите о том, как Вы пришли во внутренний аудит и о своем образовании?

- Впервые аудит заинтересовал меня еще на университетских лекциях. В 2010 году я окончила с отличием факультет Экономики и права Московского государственного лингвистического университета по специальности «Бухгалтерский учет, анализ и аудит», свободно владею английским и французским языками. По аудиту был целый курс, правда, фокус был на внешнем аудите. Внутренний аудит затрагивали верхнеуровнево, но основные различия внешнего и внутреннего аудита были понятны. И внутренний аудит привлек больше. Хотелось взглянуть на компанию изнутри и понять, как работают и взаимосвязаны подразделения, бизнес-процессы, риски и контроли, и как эти элементы могут повлиять на достижение финансового результата компании. Поэтому после окончания университета при появлении возможности я сознательно перешла во внутренний аудит Банка Сосьете Женераль Восток (BSGV) (на момент окончания университета я уже работала в этом Банке в подразделении по работе с клиентами).

- Чем Вам близок внутренний аудит?

- Близок тем, что не дает возможности остановиться на достигнутом. Для того, чтобы приносить пользу бизнесу (и в некоторых случаях быть на шаг впереди него) нужно постоянно быть «в тонусе», в курсе новых рисков, технологических инноваций, лучших практик, экономических изменений и их влияния на компанию и пр. К тому же, внутренний аудит – это не рутинная работа: мы постоянно проверяем разные процессы и сталкиваемся с новыми рисками, которые неизменно появляются в зависимости от изменений стратегии компании и экономической ситуации.

- Есть ли у внутреннего аудита страховой компании свои особенности работы?

- В целом внутренний аудит в страховых компаниях ничем не отличается от внутреннего аудита в других компаниях: миссия, Стандарты и принципы внутреннего аудита едины для всех. Основные различия – это обязательное соблюдение жестких регуляторных требований и отраслевых стандартов.

- Пожалуйста, расскажите об Управлении внутреннего аудита, которое Вы возглавляете?

- Согласно закону «Об организации страхового дела»* внутренний аудит должен быть в каждой страховой компании. У нас это компании «Ренессанс страхование», «Ренессанс здоровье», «Ренессанс жизнь». Несмотря на то, что внутренние аудиторы компаний проверяют свои компании, де-факто все мы – единая команда внутреннего аудита. В ней сейчас 7 человек. Мы постоянно обмениваемся опытом и работаем по единым внутренним стандартам, которые, в свою очередь, разработаны в соответствии с Международными стандартами (МПСВА). Мы проводим проверки по всем направлениям деятельности компаний: бизнес-процессы (в т.ч. по составлению финансовой отчетности), ИТ, комплаенс, выездные аудиты обособленных подразделений. В 2019 году суммарно по всем трем компаниям мы провели порядка 50 аудитов.

- С начала 2019 года в «Ренессанс страхование» началось проведение полноценных ИТ-аудитов, а в штат СВА был принят ИТ-аудитор. Ранее вы отдавали ИТ-аудит на аутсорсинг? Почему для вас как для страховой компании так важен ИТ-аудит, что вы даже взяли человека в штат?

- В настоящее время в «Ренессанс страховании» проходит digital-трансформация. Это один из стратегических фокусов развития компании, поэтому вопросы оценки эффективности управления ИТ-рисками и оценки системы внутреннего контроля в рамках ИТ-процессов вышли на первый план. И решение о приеме ИТ-аудитора было принято в соответствии со стратегией компании. До приема ИТ-аудитора мы проверяли ИТ-процессы верхнеуровнево силами текущей команды СВА, без оценки эффективности технических средств контроля. Для проведения тематических ИТ-аудитов, более глубокой оценки и предоставления качественных гарантий требовались специализированные ИТ-компетенции.

- Одна из важных составляющих: преемственность. С помощью каких инструментов ее достичь?

- Потеря сотрудника особенно ощутима, когда СВА небольшая. Чтобы сделать смену сотрудника менее болезненной, необходимо стандартизировать процессы, развивать новых сотрудников, вовлекая их в новые проекты, проводить постоянный обмен опытом.……............................*Раздел «Законодательство» сайта ИВА:https://www.iia-ru.ru/contact/Выдержки%20из%20Закона%20об%20организации%20страхового%20дела.pdf


ИНТЕРВЬЮ

https://www.iia-ru.ru/inner_auditor/legislation/

https://www.iia-ru.ru/contact/Выдержки из Закона об организации страхового дела.pdf

75

- На Ваш взгляд, какой Вы руководитель?

- Думаю, что я демократичный руководитель. Стараюсь быть наставником для внутренних аудиторов и придерживаюсь принципа Open doors. Стремлюсь выстраивать в коллективе доверительные партнерские отношения, поскольку считаю, что залог эффективности СВА – в командной работе. Поэтому де-факто у нас единая команда внутреннего аудита в трех страховых компаниях –«Ренессанс страхование» (головная организация), «Ренессанс здоровье» и «Ренессанс жизнь» (дочерние компании). Мы постоянно проводим коллективные «мозговые штурмы» по текущим аудитам, а зачастую – и сквозные аудиты по одной теме одновременно в нескольких компаниях. К тому же, сегодня очень важна синергия, так как постоянно меняющиеся реалии бизнеса требуют от нас проводить аудиты очень быстро и при этом комплексно и качественно, что диктует необходимость одновременного наличия увнутренних аудиторов целого спектра профессиональных навыков: понимание бизнес-процессов компании, принципов ведения бизнеса, ИТ-навыки, навыки работы в Excel, знание отраслевой специфики и комплаенс-требований, юридические аспекты. Отсутствие у внутренних аудиторов экспертизы по каким-то отдельным направлениям компенсируется путем постоянного обмена опытом в команде.

- Как Вы работаете над своим профессиональным развитием?- Посещаю конференции и встречи профессиональных сообществ, прохожу повышения квалификации по внутреннему аудиту, сейчас нахожусь в процессе сдачи экзамена CIA. Благодаря современным интернет-технологиям появилось огромное количество дополнительных возможностей для саморазвития: онлайн-курсы, тренинги и мастер-классы, вебинары, онлайн-литература и пр. Самое сложное – выбрать, определиться с приоритетом, и, главное, найти время.

- В настоящий момент Вы находитесь в процессе получения CIA. Что Вам дает подготовка к экзамену? - Подготовка помогает мне как систематизировать уже имеющиеся навыки, так и получить новые знания, понять взаимосвязи между Стандартами. Отмечу, что важно сразу применять полученные знания на практике в деятельности СВА для того, чтобы знания не оставались в теории.

- Как Вы стимулируете своих сотрудников развиваться?

- Внутреннему аудитору важно постоянно развивать свои навыки и компетенции, чтобы быть на одной волне с бизнесом. На мой взгляд, основные навыки успешного внутреннего аудитора сегодня и в будущем – это soft skills, а из них на первый план выходят логика, умение выстраивать причинно-следственные связи, абстрактное быстрое нешаблонное мышление, коммуникативные навыки и эмоциональный интеллект. Желание постоянно учиться новому. Ориентация на результат. Кроме того, важно умение идентифицировать риски и контроли, а также и экономическое мышление (прогнозировать экономический эффект от предлагаемых рекомендаций; понимать, как работает бизнес). Имея все эти навыки, внутренний аудитор сможет эффективно провести проверкулюбого процесса вне зависимости от отраслевой принадлежности компании. Поэтому при подборе сотрудников во все компании группы, в первую очередь я оцениваю именно soft skills. Отмечу, что бóльшая часть аудиторов нашей команды не из страховых компаний, но благодаря хорошо развитым soft skills также успешно проводит аудиты страховых процессов.

Кстати, у меня есть любимый ролик по части soft skills и почему их так важно развивать: «Стабильности больше нет и не будет», https://www.youtube.com/watch?v=fdEySpup8PY . В первый раз я увидела его на одной из стратегических сессий нашей компании. Кому-то он может показаться депрессивным или даже трагичным, но он очень хорошо отражает реалии будущего и важность обучения человека через всю жизнь (что особо актуально для внутренних аудиторов). Как стимулировать сотрудников развиваться? Во-первых, важны позитивный настрой и командность: совместные аудиты и «мозговые штурмы», постоянный обмен опытом и лучшими практиками, совместное посещение встреч, просмотр вебинаров. Совместно обсуждаем, какие навыки нам нужны: отраслевые, ИТ, Excel, SQL, soft skills и пр. У наших внутренних аудиторов даже есть отдельный КПЭ на профессиональное развитие – 40 часов в год. Кроме того, по итогам каждой проверки мы оформляем очень детальную проектную оценку, разбираем с аудиторами плюсы и зоны для развития. Проектная оценка разработана на базе модели компетенций СВА. Отмечу, что немаловажным триггером для развития также является внутренняя


ИНТЕРВЬЮ

https://www.youtube.com/watch?v=fdEySpup8PY

76

среда организации: в наших компаниях изменения происходят постоянно и процессы очень быстро меняются и совершенствуются.

- Перейдем непосредственно к практике ВА. Сказалась ли эпидемия на работе УВА?

- Благодаря оперативной работе ИТ-департамента наша компания в кратчайшие сроки перешла на работу в удаленном формате, внутренний аудит в том числе. Поэтому мы не заметили снижения эффективности при проведении аудитов: информацию по запросам получаем в те же сроки, а встречи с аудируемыми заменили онлайн-конференции.

- Как Вы относитесь к консалтинговой функции внутреннего аудита?

- Воспринимаю очень позитивно, поскольку уверена, что частота и количество консультаций являются показателями высокого уровня доверия менеджмента к СВА (об уровне доверия также могу свидетельствовать запросы на внеплановые аудиты). Это как раз тот случай, когда внутренний аудит переходит из стадии «ревизора» на стадию помощника бизнеса или его стратегического партнера. В 2019 году мы провели около 30 таких консультаций дополнительно к аудиторскому плану; на консультации закладываем некоторый резерв времени в ресурсном плане.

- Как, по Вашему мнению, выстроить эффективное управление всеми ресурсами внутреннего аудита для гарантии того, что годовой план по аудиту будет выполнен?

- На этапе составления годового плана стоит грамотно подойти к ресурсному планированию: (1) заложить в ресурсный план по максимуму все предполагаемые задачи СВА: плановые и внеплановые аудиты, консультации, мониторинг рекомендаций, прочие стратегические задачи; (2) оценить компетенции команды, чтобы определить, какие проекты СВА может делать самостоятельно, а какие – только с привлечением внешнего эксперта. Оценить наличие бюджета на привлечение внешнего эксперта и включать проект в план только при наличии такого бюджета. В течение года отслеживать своевременность выполнения задач.

- Как Вы подходите к составлению аудиторского отчета? - Чтобы информация лучше усваивалась, нужно говорить с внутренним клиентом на одном языке, использовать принятую в организации терминологию и лексику. Необходимо помнить, что менеджмент очень занят, поэтому важно доводить результаты в формате «коротко и по делу».В прошлом году мы окончательно отказались от многостраничных вордовских аудиторских отчетов и перешли на формат презентаций. Цель – максимум пользы для бизнеса за минимум времени. В презентациях мы отражаем ключевые итоги аудита, оценки рисков и контролей, рекомендации, подкрепляя их необходимой аналитикой или инфографикой. Для CEO, менеджмента и аудируемых лиц этот формат очень удобен. Для СВА это также экономия времени, которую мы перераспределяем на проведение аудитов.

- Вы руководили переводом функции ВА «Ренессанс жизнь» на единую методологию и стандарты внутреннего аудита Группы (решение об унификации подходов к ВА было принято акционерами). Возможно, Вы дадите совет коллегам, кому предстоит похожий проект: на что обратить внимание?

- Не только «Ренессанс жизнь», но и «Ренессанс здоровье» годом ранее. На первоначальном этапе важно провести диагностику для понимания текущего состояния СВА, например, по МПСВА: оценить имеющиеся внутренние стандарты и практики по аудиту, ознакомиться с результатами аудитов и оценки рисков (при наличии), вселенной аудита. Составить план развития новой функции. Затем, хорошая практика – это провести обзорный аудит по оценке системы внутреннего контроля в целом по компании (например, по компонентам и принципам COSO). Да, итоги аудита будут представлять собой очень верхнеуровневую оценку, при этом у новой СВА будет огромное количество вводных для понимания бизнеса компании, уровня зрелости корпоративной среды, системы риск-менеджмента и контрольных процедур.

- В Вашей практике было прохождение внешней оценки. Пожалуйста, поделитесь нюансами этого опыта.

- Внешняя оценка – ответственный этап в деятельности любой СВА, это своего рода


ИНТЕРВЬЮ

https://www.iia-ru.ru/inner_auditor/professional/

77

подведение итогов работы Службы: как правило, помимо соответствия МПСВА, в объем оценки также включаются опрос удовлетворенности менеджмента качеством работы СВА и сравнение с лучшими практиками (бенчмарки). За время своей работы во внутреннем аудите я проходила такую оценку дважды – в первый раз в «Кредит Европа Банке», и сейчас в процессе в «Ренессанс страховании». Поэтому первый совет – это хорошо подготовиться, особенно, если внешняя оценка СВА проводится впервые. В «Ренессанс страховании» мы готовились к внешней оценке 2 года. Для начала рекомендую провести самодиагностику (самооценку) по Стандартам, выявить несоответствия и составить поэтапный план («дорожную карту») устранения этих несоответствий. Также советую пообщаться с «коллегами по цеху», кто уже проходил такую оценку, начать подготовку к получению CIA и начать сдавать экзамены. Кроме того, если СВА в компании реорганизована или образована недавно, лучше, чтобы прошло несколько циклов аудита (цикл – от годового планирования до годового отчета). В этом случае у СВА будет возможность протестировать внутренние стандарты, провести проверку всех или большей части рисковых направлений деятельности компании или подразделений. Также ввиду большего охвата проверяемых областей опрос удовлетворенности внутренних клиентов, проводимый внешним оценщиком и обычно включаемый в объем оценки, будет объективным.

- Как Вы относитесь к промотированию функции внутреннего аудита в компании?

- Промотировать функцию нужно всегда. В первую очередь, важно выстраивать открытый диалог с бизнесом. Доносить мысль, что внутренний аудит заинтересован в достижении целей компании, а не просто в проведении проверок. К примеру, вовлекать менеджмент в процесс годового планирования, проводя интервью по стратегическим фокусам и рискам, или задавать схожий вопрос на установочных встречах в начале аудита. Учитывать полученную информацию и использовать ее при формировании риск-ориентированного аудиторского плана и в ходе аудитов. При формулировании выводов и передаче результатов аудита акцентировать внимание на рисках для компании и подразделения. Качественно прорабатывать рекомендации, при согласовании обсуждать альтернативные решения с менеджментом, чтобы совместно найти наиболее выгодный для компании способ устранить корневую

проблему и снизить риск. Запрашивать обратную связь у менеджмента о качестве аудитов, чтобы совершенствовать свои процессы. Поэтому продвижение функции — это не просто «пиар» или трансляция миссии внутреннего аудита, а целый комплекс действий, неразрывно связанный с постоянным повышением качества внутреннего аудита. Бизнес должен понимать, что внутренний аудит — это не «обособленное» от других подразделение компании, он интегрирован как третья линия защиты в процессы компании.

- Надо отметить, что Вы активно участвуете в продвижении профессии, выступая спикером и автором статей, а также стимулируете к этому и своих коллег.

- 10 лет назад, когда я только пришла во внутренний аудит, кроме ИВА, никто не занимался целенаправленным развитием профессии, а практических материалов и пособий было очень мало. В университете также были лекции общего характера. У меня была возможность ознакомиться как с теоретическими аспектами внутреннего аудита, так и с реализацией их на практике, поскольку в СВА, где я начала свой путь, деятельность была исторически организована по Стандартам (речь идет о Банке BSGV, а затем «Кредит Европа Банк»).

Однако, на мой взгляд, популяризация внутреннего аудита как профессии и рост компетенций внутренних аудиторов возможны только благодаря постоянному обмену опытом. Здесь хочу сказать отдельное спасибо ИВА за огромный вклад в продвижение нашей профессии – это встречи, мастер-классы, вебинары, журнал «Внутренний аудитор», переводы практических руководств и статей, издание книги «Внутренний аудит по Сойеру» и пр. Во время наших аудитов мы активно пользуемся базой знаний и публикациями ИВА. Одновременно возникает много мыслей и желание поделиться с коллегами нашими практическими наработками, в том числе по темам, которые ранее не освещались, но которые потенциально могут принести риски для компании.

- В прошлом году Вы выступали на встрече ИВА в Москве. Участники мероприятия называли Вас идеалисткой и рассуждали примерно так: «она все правильно говорит, но в реальности такого не бывает», «у нее все по Стандартам, но в жизни это не осуществимо». Прокомментируйте, пожалуйста.


ИНТЕРВЬЮ

78

- Я работаю по Международным стандартам с самого начала своего пути во внутреннем аудите. Это отнюдь не означает, что все 100% Стандартов выполняются в полном объеме, хотя именно одновременное соответствие всем 52-м Стандартам является третьим (эталонным) уровнем зрелости СВА согласно модели Internal Audit Ambition Model. Для меня Стандарты – это базовый набор элементов, выполнение которых может помочь повысить эффективность СВА. При этом я не считаю их единственным критерием оценки эффективности и ценности внутреннего аудита. Ценность — это тот реальный «осязаемый» вклад, который вносит внутренний аудит в результаты деятельности компании (add value). Что касается Стандартов, то здесь важно понимать, какие элементы внутренний аудит может использовать «здесь и сейчас», а на внедрение каких – потребуется больше времени, т.к. срок их внедрения зависит от общего уровня зрелости корпоративной среды компании. Соответствие таким стандартам будет возможно только после перехода компании на новый (более высокий) уровень зрелости, что может занять достаточно продолжительное время.

Однако есть достаточно много стандартов, которые направлены на выстраивание именно аудиторских процессов внутри СВА. Думаю, внедрить такие стандарты достаточно просто. Самое важное, на мой взгляд, — проанализировать сам стандарт, интерпретировать его и определить, как его применение может помочь повысить эффективность внутреннего аудита в вашей организации.Например, матрица рисков и контролей, которую мы рассматривали на декабрьской встрече в Москве, —это элемент соответствия Стандарту 2120 «Управление рисками». Сам Стандарт – это теория, а матрица – это реализация на практике. Матрица —это основной инструмент, который мы используем в рамках каждого аудита: это и свод по оценке рисков и контролей, и отчет по итогам планирования. А еще, что самое важное, — это очень удобный и наглядный инструмент для обоснования вывода СВА по оценке системы внутреннего контроля перед аудируемыми лицами. Обычно после такой детальной раскладки процесса на риски, контроли и эффективность этих контролей, вопросов у аудируемых не остается или остается совсем немного.Что касается методики оценки рисков: зачастую я слышу комментарии, что этот стандарт невозможно соблюдать, потому что система риск-менеджмента (в классическом понимании) в компании

недостаточно развита или вообще отсутствует. Безусловно, это правильно – коррелировать результаты оценки рисков с подразделением риск-менеджмента. Но если политики риск-менеджмента еще находятся в разработке, то для проведения оценки рисков СВА может разработать свою аудиторскую методику оценки рисков. За основу можно взять лучшие мировые практики по риск-менеджменту и Практические руководства IIA. Еще пример по Стандартам, который вызывает дискуссии, – это проведение опросов удовлетворенности внутренних клиентов по итогам аудитов (некоторые СВА даже включают этот показатель в КПЭ внутренних аудиторов). Многие выступают против такого показателя, мотивируя это тем, что плохие оценки внутренним аудиторам специально выставляют те внутренние клиенты, которые получают неудовлетворительную оценку СВК по итогам аудита. Однозначно, да, такие случаи бывают. Но если абстрагироваться от вопроса симпатий/ антипатий и перейти к бизнес-составляющей, конструктивно отнестись к критике и проговорить с внутренним клиентом причины неудовлетворенности, можно извлечь из этой ситуации пользу для СВА. Например, такая беседа поможет, как минимум: а) выявить несовершенства наших внутренних аудиторских процессов. Да, вполне возможно, какие-то элементы у нас тоже нужно улучшить; б) повысить доверие к внутреннему аудиту, проработать несогласия и в дальнейших проектах перейти к конструктивному сотрудничеству.

- По итогам 2019 года Вы стали лауреатом Премии ИВА «Внутренний аудитор года» в номинации «Руководитель СВА года». Ожидали ли Вы, что войдете в число призеров?

- Скажу честно – не ожидала. Считаю, что это достижение не только мое, но и всей нашей сплоченной аудиторской команды. И одновременно это вызов для нас, чтобы не останавливаться и дальше продолжать наращивать свои компетенции, чтобы приносить ценность компании и быть на одной волне с бизнесом. Ведь в компаниях Группы работает команда профессионалов: топ-менеджмент, многие подразделения и компании в целом очень часто становятся победителями и лауреатами различных премий. Что касается Национальной премии ИВА «Внутренний аудитор года» – это прекрасный шанс для всех профессионалов внутреннего аудита оценить себя. Участвуйте в Премии и пробуйте свои силы! Успехов и удачи всем! ∞


ИНТЕРВЬЮ


http://www.iva-ag.ru/winners/2019-kedrova-mariya-andreevna/


Успейте приобрести COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM)!

Издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» можно приобрести в книжном интернет-магазине Totbook.

Подробнее об издании: на сайте ИВА

Внимание! Остались последние экземпляры!

COSO ERM

https://totbook.ru/catalog/345/1136970/

https://www.iia-ru.ru/inner_auditor/news/kontseptsiya-coso-upravlenie-riskami-organizatsii-integratsiya-so-strategiey-i-effektivnostyu-deyate/


ТЕОРИЯ

Использование подходов критического мышления для оценки

информации в ходе выполнения

аудиторского задания

Есть у меня шестерка слуг, проворных, удалых, и все, что вижу я вокруг, - Все знаю я от них. Они по знаку моему являются в нужде. Зовут их: Как и Почему, Кто, Что, Когда и Где.Я по морям и по лесам гоняю верных слуг. Потом работаю я сам, а им даю досуг.

Редьярд Киплинг«Есть у меня шестерка слуг»

Андрей Кочановначальник аналитического центра службы внутреннего аудита ПАО «РусГидро»

81

Разработанная Международным Институтом внутренних аудиторов (IIA) Глобальная концепция компетенций внутреннего аудита «Десять ключевых компетенций»* (далее - Концепция) относит критическое мышление (Раздел VIII. Критическое мышление) к ключевым компетенциям внутреннего аудитора.

Концепция выделяет критическое мышление, наряду с навыками коммуникаций, убеждения и сотрудничества, как одно из личных качеств внутреннего аудитора, или, как еще принято их называть, soft skills**. Для начала хотелось бы определиться с тем, что мы будем подразумевать под «критическим мышлением» в данной статье.

Критическое мышление*** – система суждений, применяющаяся для анализа явлений, вещей и событий с последующим формулированием обоснованных выводов. Именно так получают достоверные оценки и интерпретации, а также возможность использовать полученные результаты к актуальным для них проблемам и вопросам.Считается, что критическое мышление способствует объективному взгляду на идеи, решения и поступки, позволяет определить слабые места и устанавливать правдивость фактов и предположений, опираясь на логику и причинно-следственные связи.Сразу хотелось бы оговорится, что в данной статье мы не будем рассматривать, что такое критическое мышление, поскольку это довольно большая область знаний, которая прежде всего является интеллектуальной базой научного метода для получения новых знаний и решения задач в границах любой науки. Мы остановимся только на приемах критического мышления, связанных с работой с информацией.

Предполагаю, что многие службы внутреннего аудита, увлекаясь модными тенденциями в развитии компетенций внутренних аудиторов, уже провели корпоративные тренинги по soft skills для своих сотрудников. Основная проблема подобных……............................*The IIA Global Internal Audit Competency Framework, Ten Core Competencies (2013 год). Оригинальный текст Концепции и его перевод можно найти в области «Личный кабинет» сайта Института внутренних аудиторов. Путь: Личный кабинет → Материалы и информация → Прикладные материалы → Компетенции и профессиональный рост.**Личные качества и навыки межличностного общения.*** https://4brain.ru/critical/

тренингов в том, что многие внутренние аудиторы относятся к ним по принципу «послушать, принять к сведению», что практически никак не сказывается на повышении эффективности их работы.

Считаю, что одной из основных задач методологов внутреннего аудита является интеграция принципов и приемом soft skills в соответствующую методологию для дальнейшего использования в ходе аудиторских проверок. Одна из возможностей –это использование методов критического мышления для оценки и анализа информации в ходе выполнения задания в соответствии со Стандартом 2320 — Анализ и оценка*, в соответствии с которым «внутренние аудиторы должны формулировать выводы и представлять результаты задания на основе соответствующего анализа и оценки информации».Руководство по применению к этому стандарту** рекомендует в ходе анализа информации использовать ручные аудиторские процедуры, компьютеризированные приемы аудита и аналитические процедуры, а при оценке использовать «профессиональный опыт и профессиональный скептицизм для оценки достаточности, соответствия аудиторских доказательств для формулирования выводов и/или рекомендаций», а также устанавливать причинно-следственные связи.

К сожалению, Руководства по применению не содержат каких-либо практических рекомендаций (структурированного подхода) по использованию профессионального скептицизма в оценке информации в ходе выполнения задания, только отдельные, фрагментарные указания по всему их тексту.

В целом считается, что профессиональный скептицизм — это специфический навык, которым должны обладать все внутренние аудиторы, чтобы объективно подходить к выполнению задания. ……............................*Международные профессиональные стандарты внутреннего аудита, МПСВА (Стандарты), в редакции, действующей с 01.01.2017: https://www.iia-ru.ru/inner_auditor/professional/**Руководства по применению, Международные основы профессиональной практики внутреннего аудита, в редакции, действующей по состоянию на 01.03.2019/ Implementation Guide, IPPF. Оригинальный текст Руководств по применению и их перевод можно найти в области «Личный кабинет» сайта Института внутренних аудиторов. Путь: Личный кабинет → Материалы и информация → Основы профессиональной практики → Руководства по применению (Implementation Guidance).


ТЕОРИЯ

https://4brain.ru/critical/

https://www.iia-ru.ru/inner_auditor/professional/

82

Для процесса критического мышления работа с информацией является первоначальным этапом мыслительной деятельности, который заключается в поиске необходимой информации, отсеивании ненужной информации, ее критической оценке на актуальность, правдивость, достоверность.

Методы критического мышления предполагают следующие основные этапы работы с информацией:• Поиски информации• Фильтрация• Анализ• Повторный анализ• Выводы и формулирование.

Учитывая, что критическое мышление является одним из основных навыков профессионального скептицизма, представляется возможным использовать существующие в нем подходы по работе с информацией для ее оценки в ходе аудиторского задания в комбинации со стандартными аудиторскими процедурами по выполнению задания (Стандарты 2300, 2310, 2320, 2330, 2340) в следующем порядке:

Сбор информации

МПСВА на достаточном уровне для выполнения аудиторского задания формализуют подход к сбору информации, и он в целом соответствуют методам критического мышления для данного этапа, но при этом хотелось бы обратить внимание на несколько моментов. Необходимо отметить, что уже на данном этапе внутренний аудитор должен четко понимать цели сбора информации, которые были определены на этапе планирования задания и соотносились с целями задания.

Немаловажным является определение наиболее полного перечня различных потенциальных источников информации, в том числе в зависимости от уровня их надежности. На современном этапе развития цифровых технологий (цифровизации) одним из таких внешних источников информации стал доступ к различным базам данных органов власти, судебных органов и т.п., в том числе к «открытым государственным данным», которые имеют высокую степень надежности. Другим аспектом цифровизации является накопление в информационных системах огромных массивов данных, в том числе неструктурированных, которые требуют от

внутренних аудиторов обладания необходимыминавыками извлечения из них конкретной информации, ее обработки и анализа, например, таких как: парсинг данных, методы машинного обучения для распознавания текстов и т.п., о чем нам так подробно рассказывает сообщество NewTechAudit.

Фильтрация информации

На данном этапе производится отбор из общего собранного объема информации уместной информации, которая по результатам ее тестирования позволит в дальнейшем подтвердить наблюдения и рекомендации в соответствии с целями задания.

Определение уместности информации является одним важных моментов работы с ней, который позволяет в дальнейшем эффективно использовать временные ресурсы внутренних аудиторов для выполнения задания.

В ходе одного из вебинаров Учебного Центра ИВА «Профессиональный аудиторский отчет: правила создания, практические аспекты», в частности, было отмечено, что аудиторы часто включают в свои рабочие документы/ отчеты информацию, которая потом никак не поддерживает их наблюдения и рекомендации по результатам выполнения задания.

Определение уместности информации на этапе ее сбора и фильтрации, по большей части, основывается на субъективном мнении внутреннего аудитора.

Методы критического мышления предлагают на данном этапе оценки уместности информации постоянно задавать себе следующие вопросы:• Будет ли эта информация полезной для достижения целей задания?• Для чего я смогу применить данную информацию?

В качестве дополнительных мер, которые могут позволить обеспечить отбор и дальнейшее использование в ходе задания уместной информации являются качественное проведение планирования задания, эффективное взаимодействие руководителя задания и его участников в ходе сбора информации, а также в целом организация надлежащего контроля за выполнением задания, который необходимо выполнять уже на этапе сбора информации и ее фильтрации.


ТЕОРИЯ

https://newtechaudit.ru/

https://www.iva-edu.ru/

83

Оценка аудиторских доказательств

Критическая оценка полученных аудиторских доказательств проводится для определения объективности и достоверности фактов, на которых они (доказательства) основываются, с учетом уровня надежности информации и проведенных процедур тестирования для их получения.

При проведении оценки аудиторских доказательств необходимо учитывать следующее:• Критическая оценка аудиторских доказательств проводится только на основании фактов и логики, каким бы опытным ни был внутренний аудитор, оценка на «ощущениях» и «здравом смысле» не допускается. • Для формирования аудиторских доказательств используется только информация, которая была получена/ проверена посредством проведения процедур тестирования в ходе выполнения задания непосредственно самими аудиторами.• Надежными аудиторскими доказательствами являются те, которые, получены (проверены) по результатам проведения не менее двух различных процедур тестирования.

Например: при проверке объемов фактических выполненных строительно-монтажных работ проводится сопоставление (сверка) данных исполнительной документации и актов выполненных работ (форма № КС-2) по фактически выполненным объемам работ и проведение их контрольных обмеров.

Хотелось бы отметить, что возможно для получения высокой степени надежных доказательств использовать комбинацию основных процедур тестирования (например, доказательства, полученные в ходе процедур тестирования физических активов (инвентаризации, контрольные обмеры и т.п.), инспектирование документов (документарное подтверждение, отслеживание и т.п.)) и вспомогательных (аналитические процедуры, свидетельства (опросы, интервью и т.п.)).

Соответственно, аудиторские доказательства, полученные в ходе аналитических процедур, проведения различных опросов, интервью, даже при условии их надлежащего документального оформления, нельзя считать надежными и в дальнейшем на их основании подтверждать наблюдения и выносить суждения по результатам выполнения задания.

Внутренние аудиторы должны четко понимать, с помощью каких процедур тестирования они смогут получить аудиторские доказательства высокой степени надежности.

Повторное проведение оценки аудиторских доказательств

Этот этап оценки аудиторских доказательств является своеобразной рефлексией, когда внутреннему аудитору необходимо проанализировать всю совокупность полученных аудиторских доказательств и формируемых на их основании суждений на предмет их достаточности, надежности, непротиворечивости друг другу и соответствия целям задания.

Для проведения окончательной оценки нужно, прежде всего, вернуться к цели аудиторского задания, чтобы посмотреть на полученные аудиторские доказательства именно с этой точки зрения. Оценка непротиворечивости совокупности всех аудиторских доказательств проводится путем анализа, сопоставления каждого доказательства с другими полученными в ходе выполнения задания доказательствами, и определения необходимости выполнения дополнительных процедур тестирования, направленных на получение дополнительных доказательств, подтверждающих или опровергающих проверяемое доказательство.

В целом, при повторной оценке аудиторских доказательств и формируемых суждений внутренним аудиторам необходим помнить и придерживаться четырех основных законов логики: тождества, непротиворечия, исключенного третьего, достаточного основания.

«Закон тождества» требует от внутренних аудиторов, что «любое высказывание (мысль, понятие, суждение) на протяжении всего рассуждения должно сохранять один и тот же смысл».

Одной из логических ошибок, которая встречается во внутреннем аудите, является «подмена тезиса», когда, начав доказывать некий тезис, постепенно в ходе доказательства переходят к доказательству другого положения, сходного с тезисом, но имеющего совершенно иное значение, т.е. когда внутренние аудиторы выносят суждение, которое не вытекает из полученных аудиторских доказательств.


ТЕОРИЯ

84

При оценке аудиторских доказательств на соответствие «закону непротиворечия» внутренним аудиторам необходимо обратить внимание на такие логические ошибки как противоречащие друг другу суждения, а при рассмотрении аудиторских доказательств на соответствие «закону исключенного третьего» аудиторы должны помнить при оценке фактов, что «третьего не дано».

«Закон достаточного основания» говорит о необходимости внутренним аудиторам выносить суждения только на основании аудиторских доказательств, которые соответствуют условиям последовательности, непротиворечивости рассуждения и определенности, т.е. таким основным законам логики как законы тождества, непротиворечия, исключенного третьего.

Я редко встречал в своей практике, чтобы внутренние аудиторы при оценке аудиторских доказательств и вынесении суждений не следовали законам логики – все-таки, профессия обязывает –но такое бывает, когда оказывается влияние на беспристрастность аудиторов в силу различных причин, в том числе, когда на них оказывается давление как со стороны объекта задания, как и своего руководства, которое требует от них «результатов».

По завершении повторной оценки аудиторских доказательств внутреннему аудитору очень важно получить ответы на следующие вопросы:• Что теперь я могу уверенно сказать?• Что можно предположить на основании полученных аудиторских доказательств?• Есть ли логические нестыковки или пробелы?

Если на какой-то из вопросов ответить однозначно не получается, необходимо провести дополнительный сбор информации и ее анализ.

Хотелось бы отметить, что еще один подход к повторной оценке аудиторских доказательств, но уже на уровне всей аудиторской группы, предлагает один из основных спикеров Международного Института внутренних аудиторов (IIA) Норман Маркс в своей статье «Преобразование внутреннего аудита через критическое мышление»*.

Данный подход заключается в проведении групповой рефлексии уже на этапе завершения……............................* https://iaonline.theiia.org/transforming-internal-audit-through-critical-thinking

выполнения аудиторского задания: руководитель задания собирает аудиторскую группу для обсуждения полученных аудиторских доказательств, наблюдений и задает членам группы уточняющие вопросы, например:• Что вы думаете о том, как работает объект задания; данный процесс эффективен?• Как вы думаете, риски объекта задания управляются хорошо?• Достигли ли мы целей задания?При этом нужно обязательно уточнять у отвечающего члена аудиторской группы «Почему вы так думаете/ говорите?».

При проведении подобной дискуссии руководителю задания необходимо помнить, что не рекомендуется делать следующее:• Представлять члену аудиторской группы готовый ответ на его вопрос вместо того, чтобы помочь ему найти его самостоятельно.• Говорить члену аудиторской группы, что он неправ, вместо того, чтобы спросить его «почему вы так думаете?», и помочь ему самому найти правильный ответ.• Не давать людям время подумать; ругать, когда они делают паузу для размышления и подготовки ответа.• Не проявлять уважения к мыслям даже самого младшего и неопытного члена аудиторской группы.• Соглашаться с ответом члена аудиторской группы, потому что руководитель задания думает так же; необходимо уточнить у отвечающего, почему он так думает.

Предполагаю, что многие аудиторские службы проводят подобные «сеансы групповой рефлексии» и понимают их эффективность для достижения целей задания, а тем, кто еще не проводит, рекомендую попробовать ввести у себя подобную практику.

Завершается этап оценки информации формированием наблюдений и заключений. Для этого можно применять использующиеся в критическом мышлении правила аргументации (выдвижение тезиса, приведение аргументов и их демонстрация), но этот уже тема для отдельной статьи.

В заключение хотелось бы присоединиться к Норману Марксу, который призывает постоянно обеспечивать развитие навыков критического мышления у внутренних аудиторов. ∞

Берегите себя, своих родных и близких!Внутренний аудитор № 2 (10), 2020

ТЕОРИЯ

https://iaonline.theiia.org/transforming-internal-audit-through-critical-thinking


ТЕОРИЯ

Организация системы управления

операционным риском в кредитной организации:

основные понятия и подходы к регистрации

инцидентов

Ольга Разина руководитель службы внутреннего аудита ООО Банк «ВЕСТА»

Ольга Кашанова руководитель службы внутреннего аудита АО «МСП» Банк

86

Целью данной публикации является возможность практической адаптации в малых и средних банках проекта Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

На сегодняшний день крайне актуальной задачей для кредитных организаций и банковских групп* остается создание комплексной системы управления операционным риском (далее – СУОР) в связи с растущими требованиями со стороны Банка России и необходимости проведения оценки достаточности капитала в соответствии с Базельскими принципами эффективного банковского надзора**.

Существующий проект Положения Банка России «О требованиях к системе управления операционным риском в КО и БГ» (далее – проект Положения) определяет не только принципы управления операционным риском (далее – ОР), риском информационной безопасности (включая киберриск), риском информационных систем, требования к политике кредитной организации в сфере информационных технологий, но и подходы к дополнительным требованиям к капиталу, необходимому для покрытия потерь от реализации ОР, и ведению базы данных о событиях ОР, внутренней отчетности кредитных организаций по ОР.

……............................* Действие проекта Положения распространяется на кредитные организации и банковские группы, за исключением центрального контрагента, в значении, установленном в статье 2 Федерального закона от 07.02.2011 № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте».** Положение является первым нормативным актом в целях внедрения нового стандартизированного подхода к оценке операционного риска для целей расчета норматива достаточности капитала Базель III. Банк России планирует издание отдельного нормативного акта по внедрению стандартизированного подхода к оценке операционного риска для целей расчета норматива достаточности капитала Базель III в 2020 году.

Необходимо учитывать, что под операционным риском следует понимать риск возникновения потерь в результате недостатков во внутренних процессах, функционировании информационных систем, несанкционированных/ противоправных действий или ошибок сотрудников или вследствие внешних событий, при этом данное определение полностью исключает стратегический риск*.

Принципиально новым понятием в проекте Положения являются элементы классификации событий операционного риска, используемых в целях СУОР, и классификация их источников на четыре основные категории:• ошибки и недостатки процессов;• риски, связанные с действием персонала;• отказы и нарушения функционирования информационных и технологических систем;• воздействие иных внешних причин.

В проекте Положения четко структурированы разновидности потерь в результате реализации события операционного риска классифицируемые на прямые и непрямые потери кредитной организации, а также потери (включая хищения) денежных средств клиентов и третьих лиц, которые не были компенсированы кредитной организацией.

При этом регистрации в СУОР также подлежат данные о реализации инцидентов правового и комплаенс-рисков (в целях учета ущерба от них в капитале под операционный риск), а также налоговый риск. Информация о рисковых событиях по данным видам риска может также содержаться в базе данных операционных рисков, при этом функции управления данными видами риска должна осуществляться иными подразделениями кредитной организации в целях снижения конфликта интересов.

Порядок ведения базы СУОР недостаточно подробно детализирован в проекте Положения, включая требования к форме и содержанию вводимой информации, что определяет необходимость самостоятельной регламентации на уровне внутренних документов кредитной организации (участников банковской группы). Именно поэтому в рамках данной публикации мы остановимся на базовых принципах создания базы СУОР для цели возможной адаптации в практической деятельности кредитных организаций. ……............................* Полный перечень видов операционного риска приведен в п.1.4 проекта Положения


ТЕОРИЯ

87

Задача кредитной организации – разработать внутренние регламенты, которые являются частью общей системы управления ОР и развития процесса управления ОР, позволяющие решать следующие задачи:

• обеспечивать условия для эффективного выявления и предотвращения событий операционного риска, а также их оценки;• формировать централизованную базу данных событий операционного риска в банке;• управлять процессом сбора данных и осуществлять мониторинг его эффективности;• получать статистические данные по случаям реализации ОР для проведения дальнейшего анализа и выявлять слабые места в процессах банка, получать объективную оценку ОР;• выявлять концентрации ОР в разрезе процессов, продуктов, направлений деятельности и подразделений банка;• расследовать выявленные СОР и, по возможности, не допускать их повторений в будущем.

База СУОР может формироваться как в отдельной автоматизированной информационной системе, так и на уровне операционного модуля. Регулятор не вводит каких-либо ограничений по порядку регистрации инцидентов ОР, что подразумевает и использование простейших программных модулей типа MS Microsoft.

Какие понятия необходимо закрепить на уровне базы СУОР? Главным образом, база СУОР должна содержать такие понятия, как:

• Инцидент операционного риска (далее – ИОР).• Группа расследования инцидента (Группа расследования).• Ключевой индикатор операционного риска (КИР) –объективный и измеримый показатель, который позволяет выявить и оценить негативные тенденции, возникающие в деятельности банка, прямо влияющие на возникновение операционного риска.• Событие операционного риска (далее – СОР).• СУР – Служба управления рисками (структурное подразделение банка, осуществляющее функции по управлению рисками банка/ банковской группы).• План мероприятий по минимизации рисков – план, определяющий комплекс мер и последовательность шагов, направленных на снижение негативных последствий реализации ОР и/или исключение причин реализации ОР, сроки выполнения, а также лиц, ответственных за реализацию данного плана.

• Причина реализации событий операционного риска (например, возможно введение отдельной подкатегории «Невыполненные контрольные процедуры и мероприятия»).• Последствия СОР (например, для некоторых видов финансовых последствий может быть отдельно выделена категория «Погашение»).• Стресс-тестирование – процесс оценки потенциального воздействия на финансовое состояние Банка ряда заданных изменений в факторах операционного риска, которые соответствуют исключительным, но вероятным событиям, и способности Банка противостоять этим изменениям.• Факторы (источники) операционного риска –причины возникновения неблагоприятных событий, воздействующих на объекты операционного риска, и приводящие к возникновению события операционного риска.• Цикл митигации рисков (ЦМР) – процесс, включающий в себя риск-аудит процесса и выявление рисков, их оценку, оценку достаточности и эффективности контролей, используемых для их снижения, оценку остаточных рисков, разработку и мониторинг исполнения планов мероприятий по минимизации рисков.• Экстремальное событие ОР – событие ОР, вероятность возникновения которого мала, но потери от реализации которого будут значительными.

Событие операционного риска (OpRisk event) –представляет собой любое идентифицируемое событие/ действие, имеющее нерегламентированный характер, являющееся нарушением внутренних бизнес-процессов и процессов функционирования информационных систем, несанкционированным/ противоправным действием или ошибкой сотрудника или реализующееся вследствие внешних событий, которое привело или могло привести к финансовым последствиям, угрозе для непрерывного функционирования кредитной организации, жизни и здоровью сотрудников. Вместе с тем, необходимо учитывать, что зачастую не только одно, но и несколько событий операционного риска могут являться причиной возникновения основного события, в таком случае событием операционного риска будет являться то основное событие, которое произошло в конечном итоге и привело или могло привести к финансовым последствиям, угрозе для непрерывного функционирования кредитной организации, жизни и здоровью сотрудников в случае неблагоприятного стечения обстоятельств и пр.


ТЕОРИЯ

88

Выявлять ИОР и предоставлять информацию о них в СУР обязаны все работники банка в рамках осуществления своей текущей деятельности. Все работники банка обязаны предоставлять информацию в СУР в течение сроков, установленных внутренними регламентами, исходя из уровня ОР; как правило, наиболее эффективным сроком информирования для принятия оперативных мер является 1 (один) рабочий день с момента выявления инцидента(ов), включая те инциденты, которые косвенно относятся к их компетенции и должностным обязанностям.

Также следует отличать от событий операционного риска факты выявления событий, которые имеют природу операционного риска. Когда контрольная процедура полностью сработала, и это позволило предотвратить реализацию операционного риска, то регистрации данное событие не подлежит. Необходимо учитывать, что контрольная процедура является частью процесса оказания услуги кредитной организацией для предотвращения ошибки/ злоупотребления, внешнего события.

Именно в этих целях, банкам целесообразно разработать систему ключевых идентификаторов ОР, которая должна основываться на следующих принципах:• Объективность. КИР должен объективно отражать и позволять обнаружить негативную тенденцию, для выявления которой он используется;• Измеримость. КИР должен быть измеряем вне зависимости от того, какая выбирается единица измерения: деньги, время, количество и др;• Понятность. КИР должен быть прост и понятен. Следует избегать сложных КИР, для определения значений которых необходимо проводить сложные расчеты;• Детализированность. При разработке КИР должны быть определены и детализированы все обязательные параметры КИР в соответствии с требованиями, установленными во внутренних документах.

При разработке КИР СУР учитывает:• накопленную информацию о реализовавшихся в банке СОР;• накопленную информацию о внешних СОР (реализовавшихся в других кредитных организациях);• результаты проведенных самооценок ОР;

• экспертное мнение работников СУР и иных подразделений банка.

Если обратиться к практическим примерам, то можно привести следующий. В операционную кассу кредитной организации обратилось третье лицо с поддельным паспортом клиента, паспорт был просканирован сотрудником на специальном оборудовании, установлен факт подделки документа (мошенничества), при этом операции с подставным клиентом не были проведены, поскольку сработала контрольная процедура, предусмотренная внутренними нормативными документами (ВНД). Такой инцидент не подлежит обязательной регистрации в базе инцидентов СУОР.

Другой пример: внезапно сработавшая сигнализация при ограблении кредитной организации и звонок на пульт охраны могут и не предотвратить факта самого ограбления, финансовые последствия для организации все равно могут наступить. Именно поэтому, даже в случае предотвращения ущерба для кредитной организации в результате попыток ограбления, любые события, связанные с попыткой нарушения физической охраны банка/ покушения на его активы и имущество, в обязательном порядке подлежат регистрации в базе СУОР. Тоже самое касается событий, связанных с инцидентами информационной безопасности.

В этой связи следует отметить, что не всегда определяющим фактором для регистрации инцидента является возможность предотвращения или непредотвращения ущерба в результате работы внутренней контрольной процедуры. Значимость инцидента определяется уровнем риска возможного наступления события ОР, который определяется в соответствии с методиками банка.

Кредитная организация может самостоятельно провести классификацию событий операционного риска; однако, с нашей точки зрения, следует придерживаться требований и рекомендаций Банка России*, а также Базельского комитета по банковскому надзору:

• внутреннее мошенничество –несанкционированная/ противоправная деятельность (злоупотребление) с участием сотрудника/ов банка с целью личного обогащения ……............................* Классификация типов событий операционного риска второго уровня приведена в проекте Положения.


ТЕОРИЯ

89

посредством умышленного или ненадлежащего использования ресурсов и активов банка;• внешнее мошенничество – противоправная деятельность третьих лиц в целях получения личной выгоды, включая нарушение информационной безопасности и др.;• инциденты в области кадровой политики и безопасности труда – несправедливое увольнение, дискриминация, несчастные случаи на рабочем месте и др.;• инциденты в области деловой практики – случаи нарушения законодательных требований, деловых практик, обязательств перед клиентами, включая разглашение конфиденциальной информации, ошибки и нарушения при установлении и мониторинге лимитов, изъяны в продуктах при их разработке и реализации и др.;• ущерб, нанесенный материальным активам, –стихийные бедствия, техногенные катастрофы, несчастные случаи, акты терроризма, вандализма и иные события, повлекшие уничтожение или повреждение материальных активов;• перебои в деятельности и системные сбои –перебои в работе информационных систем, включая сбои аппаратного/ программного обеспечения, перебои в электроснабжении и системах коммуникации и др.;• инциденты в области управления процессами –

ошибки сотрудников банка при исполнении процессов и совершении банковских операций; непреднамеренные нарушения установленных процедур, регламентированных внутренними нормативными документами; ошибки ввода, хранения, обработки и передачи данных; ненадлежащее исполнение договорных обязательств контрагентами банка и др.

Все подразделения банка или иные участники банковской группы вовлечены в процесс управления ОР и действуют в рамках концепции Трех линий защиты:• к 1-й линии защиты относятся все подразделения банка, в задачу которых входит идентификация, оценка и мониторинг ОР, знание и соблюдение внутренних и внешних нормативных документов, минимизация вероятности реализации ОР в процессе осуществления своих функций;• к 2-й линии защиты относится СУР, в задачу которой входит координация работ по построению СУОР, разработка нормативной базы по управлению ОР, оценка и мониторинг ОР, подготовка отчетности по ОР, методологическая поддержка подразделений по вопросам управления ОР;

• к 3-й линии защиты относится служба внутреннего аудита, в задачу которой входит осуществление текущего независимого контроля и регулярного аудита эффективности СУОР и ее соответствия требованиям ЦБ РФ и Базельского комитета.

Следует добавить, что идеальную систему сбора и обработки информации построить довольно сложно, но любая из них должна позволять классифицировать инциденты ОР по:• причинам возникновения инцидента• типам событий• видам убытков• направлениям деятельности (бизнес-линиям)• продуктам• процессам• месту происшествия.

Таким образом, процесс управления ОР должен включать в себя следующие обязательные процедуры:• Идентификация (выявление) ОР• Оценка ОР• Реагирование• Мониторинг• Контроль.

Существенным обстоятельством в реализации событий операционного риска (OpRisk event cause) является любое идентифицируемое внешнее/ внутреннее событие/ ненадлежащее действие/ отсутствие надлежащего действия, ставшее возможным в связи с отсутствием либо неэффективностью, недейственностью механизмов контроля или в результате внешних событий, нарушения процессов функционирования информационных систем, которое привело (либо, в случае события без реализовавшегося ущерба могло привести) к реализации операционного риска (событию операционного риска), а также сам факт отсутствия, неэффективности, нарушения механизма контроля (невыполнения контрольной процедуры). Иными словами, причины реализации операционного риска могут быть различны, а также могут образовывать цепочку взаимосвязанных событий или причин, что требует указывать все из перечисленных.

Например, в качестве причин реализации операционного риска могут быть такие причины как: некорректное списание денежных средств со счета клиента, формальное подтверждение


ТЕОРИЯ

90

операции сотрудником, сбои в работе программного обеспечения, не позволившие своевременно подтвердить выполнение операции и пр., тогда как событие операционного риска (СОР) будет идентичным для всех вышеуказанных причин –двойное ошибочное перечисление денежных средств со счета клиента.

Теперь остановимся на последствиях событий операционного риска (OpRisk event effect), реализация которых проявляется в виде возникновения у кредитной организации потерь (прямых финансовых и/или косвенных качественных), незапланированной прибыли, упущенной выгоды. При этом события без реализовавшегося ущерба для кредитной организации также могут подлежать регистрации в СУОР (отсутствие последствия – результат благоприятного стечения обстоятельств), а потенциальная потеря при регистрации указывается с соответствующей сущностью финансового последствия*. Исключения составляют (не отражаются в бухгалтерском учете, но считаются потерей) случаи, по которым происходят взаиморасчеты без участия кредитной организации (страховые погашения, погашения напрямую от виновного сотрудника).

Дополнительно прямые потери классифицируются по следующим типам:• снижение стоимости активов;• досрочное списание (выбытие) материальных активов;• денежные выплаты на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством;• денежные выплаты клиентам и контрагентам, а также работникам Группы в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине Группы;• затраты на восстановление хозяйственной деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;• прочие убытки.

Отдельного внимания заслуживает вопрос классификации видов потерь, поскольку необходимо различать понятия «ущерба» (финансовое последствие без учета погашения) и……............................* Основные виды потерь классифицированы в п.2.11 проекта Положения.

«убытка» (финансовое последствие с учетом погашения). Необходимо различать убытки с учетом всех погашений, кроме страховых, и убытки с учетом всех погашений, включая страховые. В целом, в проекте Положения достаточно подробно освещены вопросы классификации видов потерь, которые в результате реализации события операционного риска делятся на прямые и непрямые потери кредитной организации, а также потери (включая хищения) денежных средств клиентов и третьих лиц, которые не были компенсированы кредитной организацией.Для целей разнесения потерь от СОР по инцидента ОР для каждого типа инцидента ОР разрабатывается собственный классификатор (справочник). Перечень используемых классификаторов объектов ОР и их детальный состав для банка определяется из собственной практики банка и его рисковых событий. Используемые классификаторы инцидентов ОР пересматриваются при возникновении изменений в деятельности банка.

Кроме того, в проекте Положения выделены еще несколько разновидностей потерь – косвенные и качественные потери. С нашей точки зрения, косвенные потери могут включать такие инциденты, которые кредитная организация имеет вероятность понести в будущем (например, в связи с судебным решением в пользу банка). Сущность этого вида потерь может быть использована при регистрации инцидента до завершения служебного расследования по инцидентам, связанным с мошенничеством, либо связанным с судебными решениями. В свою очередь, качественные потери, как правило, несут за собой возникновение источников других типов риска (например, кредитного риска, рыночного риска, риска ликвидности, риска потери деловой репутации, регуляторного риска, стратегического риска). Косвенные потери для кредитной организации обязательны для регистрации даже в случае, если это единственное последствие от инцидента операционного риска. Также желательно указание нефинансового последствия при регистрации событий без реализовавшегося ущерба Например, событие не привело к материальному ущербу, но зачастую могло получить огласку, например, в прессе.

Важным фактором представляется оценка последствий операционного риска; она измеряется для кредитной организации, а не для клиента. Поэтому для финансовых последствий следует


ТЕОРИЯ

91

различать сумму ущерба и сумму проводимой операции, в которой произошел инцидент (они не всегда будут совпадать).

Например, по причине ошибки сотрудника произошло задвоение реестра по выпуску банковских карт. В этом случае в качестве СОР будет проведена запись – выпуск банковских карт с одинаковыми номерами для разных клиентов (клиенты могут воспользоваться чужими средствами). В качестве последствия можно указать: ущерб в результате возврата денежных средств клиентам.

Другой пример: уполномоченный сотрудник кредитной организации не осуществил подтверждение контрольной процедуры. В результате произошло хищение сотрудником денежных средств со счета клиента. Последствие будет отражено в виде ущерба в размере похищенных средств.

С нашей точки зрения, важным моментом при практической реализации базы СУОР будет являться разработка классификатора причин, событий и последствий ОР для цели унификации данных и возможности учета инцидентов в будущем. Данная задача является весьма трудоемкой и требует не только временного ресурса, но и проведения предварительной самооценки возможных событий операционного риска в разрезе каждого продукта или бизнес-процесса кредитной организации.

В проекте Положения также выделен рекомендуемый перечень возможных мер, направленный на повышение качества СУОР и снижения негативного влияния ОР, среди которых центральное значение занимают такие меры как стандартизация форм договоров, стандартизация операций и сделок, тестирование банковских процессов и информационных систем.

В заключительной части публикации остановимся на требованиях к управлению риском информационной безопасности (далее – ИБ) и риском информационных систем (далее – ИС).

Риск ИБ возникает в случае преднамеренного воздействия работников кредитной организации, третьих лиц, внутренних (в том числе с применением компонентов иностранного производства) и (или) сторонних информационных систем, направленного на несанкционированное получение (хищение), изменение, удаление данных

и иной цифровой информации и (или) структуры данных, параметров и характеристик систем (в том числе программного кода) и режима доступа, посредством цифровой инфраструктуры и технологий связи, в том числе путем реализации компьютерных атак. В проекте Положения данный вид риска обозначен как киберриск. Среди основных причин возникновения данного риска могут быть нарушения требований к защите информации, вследствие которых возникли прямые и непрямые потери кредитной организации и потери клиентов. При возникновении таких инцидентов они фиксируются в базе событий с присвоением признака реализации данного вида риска.

Риск ИС возникает в результате недостаточного обеспечения политики по использованию информационных систем, как взаимосвязанной совокупности технических и программных средств, других элементов цифровой инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, в рамках реализации мер поддержки и обеспечения бесперебойности функционирования банковских процессов кредитной организации.

Для ИТ-инцидентов в базе СУОР фиксируется время неработоспособности (простоя) в часах и минутах (с обязательным указанием, что это часы, а не рубли, в кратком описании события).

Необходимо учитывать, что сам факт неработоспособности (простоя) не является событием операционного риска. Событием операционного риска в некоторых случаях может являться то происшествие, которое привело к этому простою. Так, например, стихийное бедствие (наводнение, землетрясение и т.п.), которое привело к простою отделения кредитной организации, должно быть отражено в базе СУОР. В качестве последствия от стихийного бедствия необходимо отразить простой отделения. При этом плановый простой отделения, например, из-за работ, проводимых государственными службами, регистрации в СУОР не подлежит, так как в данном случае имеет место плановое приостановление деятельности.

В публикации были рассмотрены основные понятия и подходы к регистрации инцидентов ОР, лежащие в основе проекта Положения Банка России, а также практические примеры ведения базы СУОР в деятельности кредитных организаций. ∞


ТЕОРИЯ

92

В этом году вышло в свет 7-е издание книги «Внутренний аудит по Сойеру: сохранение и повышение стоимости организации» на русском языке. Это большое событие для внутреннего аудита в России, поскольку до этого момента переводы подобных изданий у нас в стране не публиковались.

Книги Л.Сойера являются наиболее читаемыми в мире книгами по внутреннему аудиту. Первая версия учебного пособия Сойера, опубликованная в 1973 году, стала долгожданным руководством, охватывающим широкий спектр вопросов внутреннего аудита. Неудивительно, что представленная книга претерпевает уже 7-е издание.В нем сделан фокус на аспектах, которые позволят руководителям внутреннего аудита создать высокоэффективные службы внутреннего аудита, а внутренним аудиторам стать высокопрофессиональными в своей работе. Книга дает хорошее понимание современной практики внутреннего аудита и будет полезна как для индивидуального профессионального развития внутренних аудиторов, так и совершенствования деятельности служб внутреннего аудита.


ТЕОРИЯ

«Внутренний аудит по Сойеру: сохранение и повышение стоимости

организации»:7-е издание на русском языке

Книга «Внутренний аудит по Сойеру: сохранение и повышение стоимости организации» на русском языке была издана Институтом внутренних аудиторов при поддержке ПАО «Транснефть».

93

Ларри Б. Сойер был страстным пропагандистом и одним из лидеров профессии внутреннего аудитора. Ему ставится в заслугу формирование видения, которое впоследствии позволило внутреннему аудиту выйти за привычные рамки ревизионного подхода и выработать другие способы быть востребованным и приносить пользу организациям. За время своей жизни Л.Сойер получил большое число наград и стал первым лауреатом награды международного Института внутренних аудиторов (IIA) «За достижения всей жизни». Многие называют его «родоначальником современного внутреннего аудита».

Как это часто бывает с идейными лидерами, идеи Л.Сойера опережали свое время, а выработанные им принципы внутреннего аудита остаются актуальными и сегодня. Этим принципам следуют тысячи профессионалов, которые вносят неоценимый вклад в повышение эффективности деятельности и развитие своих организаций.

Книга «Внутренний аудит по Сойеру: сохранение и повышение стоимости организации»:• дает понимание того, что из себя представляет современный внутренний аудит, какие у него есть возможности развития и на какие риски необходимо обратить внимание;• обращает внимание на то, что важно иметь в виду при формировании и развитии служб внутреннего аудита;• рассказывает о том, что нужно сделать, чтобы работа внутренних аудиторов приносила пользу и была востребована.

Шестнадцать глав книги посвящены следующим вопросам:• Разработка стратегии внутреннего аудита• Определение продуктов и услуг внутреннего аудита • Развитие деятельности и возможностей внутреннего аудита • Определение команды и ресурсной модели внутреннего аудита• Развитие руководителей и персонала внутреннего аудита• Построение отношений и определение ожиданий • Воспитание деловой проницательности


ТЕОРИЯ

• Понимание контекста, в котором действует внутренний аудит • Миссия внутреннего аудита и сопутствующие риски • Оценка рисков и календарное планирование• Планирование аудиторского задания • Оценка внутреннего контроля • Информирование по вопросам внутреннего аудита• Формирование и надзор за работой команды внутреннего аудита • Области специализированных навыков• Консультационные услуги

Данная книга является обязательной в библиотеке каждой службы внутреннего аудита!

Издание можно приобрести в книжном интернет-магазине TOTbook.ruПо вопросам приобретения 5 штук и более обращайтесь в Институт внутренних аудиторов.

https://totbook.ru/catalog/638/1181686/


ТЕОРИЯ

Методология проведения

аудиторского проекта

Светлана Яковлева, CIA, CIMA, PMP, IPMA, Академия бизнеса EY

95

Миссия внутреннего аудита – сохранение и повышение стоимости организации посредством проведения объективных внутренних аудиторских проверок на основе риск-ориентированного подхода, предоставления рекомендаций и обмена знаниями. Для внутренних аудиторов особенно остро стоит вопрос «риск-ориентированного подхода» проведения аудита: как и каким образом этого достигнуть. Ответом на него является разработка методологии внутреннего аудита.«Методология внутреннего аудита (ВА), основанная на рисках» – этот термин прочно вошел в основу деятельности внутреннего аудитора. Но, иногда, на практике аудиторы не видят разницы между ревизией и проведением аудита, основанного на рисках. В связи с этим, взаимосвязь целей, рисков и контролей в организации должна быть четко прописана в методологии проведения аудита.

Методология дает ответ на вопрос «как». Как проводить аудит от начала до конца: планирование аудита, методы получения аудиторских доказательств, написание отчета и мониторинг выполнения плана действий руководства. Методология проведения аудиторского проекта –это систематизированный и обоснованный подход к набору аудиторских процессов, процедур, инструкций, используемых для оценки объекта аудита. Это формальные шаги идеального процесса проведения аудита конкретного объекта (процессов, контрактов, соблюдения внешних требований, стратегии компании и любых других объектов аудита). Внутренний аудитор может проводить оценку различных аспектов деятельности компании как финансовых, так и операционных и комплаенс (законодательных требований); тактических решений и стратегических, поэтому методология может быть адаптирована под конкретный вид проверки. Но в целом этапы проведения аудиторской проверки будут неизменны.

К основным шагам аудита, основанного на рисках, можно отнести: • Согласовать годовой план внутреннего аудита со стратегическими целями организации. • Определить объем аудиторской работы по шкале приоритетов на основе оценки рисков. • Сфокусировать приоритеты при проведении конкретного аудита с учетом уровня риска.• Сформировать перечень ключевых контролей, которые необходимо протестировать при оценке системы внутреннего контроля – в соответствии с уровнем риска.

• Определить и назначить необходимые ресурсы для проведения аудита. • Совершенствовать практику управления и непрерывной оценки рисков в организации.

Текущее состояние рынка характеризуется постоянством изменений. Турбулентность, неопределенность, нестабильность приводят к тому, что вероятность и уровень воздействия риска на цели организации могут быстро и кардинально измениться. Естественно, что внутренний аудит должен своевременно, как минимум, реагировать на такого рода изменения и, как максимум, –проактивно анализировать тренды, возникающие новые проблемы и возможности для компании. Все это может приводить к изменениям содержания планов, инструментов, которые используются для тестирования системы внутреннего контроля, но что останется неизменным – это этапы проведения аудита, которые зафиксированы в методологических документах службы внутреннего аудита.

В целом, можно выделить 4 этапа: планирование, выполнение аудиторских процедур, передача результатов и мониторинг.

Планирование

Цель этапа планирования:• Разработать и утвердить аудиторское задание (план аудита). Ответить на вопросы что, как, когда проверять?• Информировать руководство аудируемого объекта о целях, масштабе и сроках проверки.• Выделить необходимые ресурсы.

Риск-ориентированное планирование применяется и для подготовки годового плана, и для каждой аудиторской проверки. Проверить все невозможно, поэтому этот подход позволяет выявить основные зоны внимания и ключевые контроли.Самое сложное на практике для этого этапа – это ответить на вопрос, «как» будет проводиться аудит для того, чтобы включить эти задачи (способы и методы тестирования) в аудиторское задание.

На этапе планирования аудита внутренние аудиторы знакомятся с каждой областью бизнеса, которую они будут проверять. Один из инструментов, который может быть полезен на этом этапе – это чек-лист.


ТЕОРИЯ

96

Пример чек-листа:

Выполнение аудиторских процедур, или – так называемые «полевые» работы.

Цель этапа: • идентифицировать,• проанализировать (протестировать) и • задокументировать (записать в рабочих бумагах) информацию, достаточную для достижения целей аудиторского задания.

Внутренний аудитор получает доказательства эффективности системы контроля, экономичности операций, достижения целей и влияния рисков. Информация необходима для оценки эффективности существующего управления рисками и существующих процедур внутреннего контроля.Перечень «ручных» инструментов, которые могут быть использованы на этом этапе, достаточно широкий, например:• интервью• инспектирование • наблюдение • запросы • аналитические процедуры• выборки.

Этот перечень не претендует на полноту, его можно и нужно расширять. Важно, чтобы все инструменты тестирования и то, как они могут быть использованы внутренними аудиторами, были описаны в методологии. Поскольку каждый из перечисленных инструментов не дает аудитору 100% гарантии доказательства, наряду с «ручными» инструментами могут использоваться компьютеризированные методы аудита и инструментов анализа данных. В виде примера инструментов анализа данных можно рассмотреть MS Power Pivot или MS Power Query. И опять, это только примеры: аналогичных программ, в том числе специализированных, очень

много. Основными достоинствами MS Power Query можно назвать: • Доступность: эта надстройка встроена в MS Excel и есть на каждом рабочем столе.• Мощность: инструмент загрузки и трансформации данных из разных источников (Excel, CSV, XML, Access и SQL, интернет-страницы, OneDrive, сервисы Google и т.д.). • Возможность обработать весь объем данных.• Расширение возможности самостоятельной бизнес-аналитики: можно объединять и уточнять данные из самых различных источников.

Типичные задачи для внутреннего аудитора, которые позволяют решать системы анализа данных:• Анализ отклонений – выявление нехарактерных случаев, не укладывающихся в общие закономерности: например, слишком много «странных» операций по кассе (возвратов и т.п.). • Классификация – отнесение объекта к одному из известных классов с помощью признаков: например, предсказание мошенничества, лимиты затрат в пределах определенной суммы.• Проверка на атрибут: например, наличие авторизации.• Анализ связей – выявление отношений между объектами: например, одинаковые юридические адреса разных поставщиков.• Аналитика текстовой информации: например, поиск по ключевым словам. И многое другое.

Методологическая поддержка для этапа выполнения аудиторских процедур также должна включать разработанные шаблоны по описанию обнаружений, критерии оценки процедур контроля, обязательные критерии по оформлению рабочих бумаг внутреннего аудита. Как пример шаблона тестирования контролей можно рассмотреть следующую матрицу:


ТЕОРИЯ

Перечень обязательных шагов на этапе планирования Да Нет

Цели и показатели эффективности проверяемого объектаИзучение актуальности политик и процедур объекта аудитаПредварительная встреча с руководством объекта аудитаАктуальные блок-схемы бизнес-процессовОценка рисков и контролей руководством объекта аудитаЗнакомство с базами данных и программным обеспечением, которые

использует бизнес-процесс/ объект аудита…….


ТЕОРИЯ

Передача результатов

Цель этапа передачи результатов – представить заинтересованным сторонам аудиторские выводы и рекомендации. Отчет аудитора, с одной стороны, должен помочь компании совершенствоваться, достигать своих целей, с другой стороны – показать результаты работы ВА и ценность для бизнеса.На этом этапе обязательно проводится заключительная встреча с руководством аудируемого объекта, даже если встречи проводились в процессе тестирования. Идеальный продукт заключительной встречи – план действий руководства. На практике этот план часто появляется через несколько дней после проведения заключительной встречи или после передачи окончательного отчета.Важно понимать, что после передачи окончательного отчета заинтересованным сторонам, внутренний аудит не заканчивается, руководитель внутреннего аудита должен организовать процесс мониторинга.

Мониторинг

Цель этапа – убедиться, что согласованный план действий выполняется в обозначенное время. Пост-аудит, или мониторинг, – это процесс оценки внутренними аудиторами адекватности, эффективности и своевременности действий, предпринятых руководством в отношении информации об обнаружениях и рекомендациях. Этот процесс также включает в себя определение, принят ли руководством риск невыполнения корректирующих действий в отношении сообщенной информации и рекомендаций внутренних аудиторов.Полученная информация оценивается СВА и при необходимости проводятся проверки соответствия полученной информации фактическим данным для того, чтобы определить, отвечают ли принимаемые объектом аудита меры замечаниям, отраженным в аудиторском отчете или других соответствующих документах.

Методы, способы и сроки предоставления информации по результатам мониторинга определяет руководитель службы внутреннего аудита по согласованию с высшим руководством компании и советом директоров. С определенной периодичностью, например ежеквартально, по результатам мониторинга могут готовиться отчеты по следующим показателям:• наименование объекта аудита• ответственный исполнитель мероприятия • наименование аудиторского задания (аудиторского отчета)• содержание рекомендаций• установленный срок исполнения (в случае его установления)• оценка исполнения рекомендаций (аудиторского замечания) СВА• примечания.

Методологическая поддержка крайне важна для внутреннего аудитора. Во-первых, она обеспечивает единообразие подходов на всех этапах аудита, во-вторых, позволяет в условиях сжатых сроков и ограниченных ресурсов своевременно и качественно проводить аудит. В качестве основы формирования методологии можно использовать Международные профессиональные стандарты внутреннего аудита, отраслевые требования внешних органов, лучшие практики крупного бизнеса –руководители служб ВА часто делятся своими наработками в профессиональном сообществе. ∞

Риск Оценка риска Контроль

описание

Форма Тип контроля Оценка

дизайна

Тест

Влияние Вероятно

сть

Общая

оценка

ИТ/

Вручную

Предотвраща

ющий/

Выявляющий

Адекватный /

Неадекватный

Да /

Нет

Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 году, является профессиональным объединением 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций.

Институт внутренних аудиторовИВА www.iia-ru.ruFACEBOOK www.facebook.com/iiarus/YouTubeЦОК ИВА http://cok.iia-ru.ru/Тренинги ИВА www.iva-edu.ruНациональная конференция ИВА www.iva-conf.ruНациональная Премия ИВА www.iva-ag.ru

http://www.iia-ru.ru/

http://www.facebook.com/iiarus/

https://www.youtube.com/channel/UCaUH9PcdCipz4F-FGsrHv3g?view_as=subscriber

http://cok.iia-ru.ru/

http://www.iva-edu.ru/

http://www.iva-conf.ru/


2020 02 Внутренний аудитор июнь...обращайтесь в Институт...

Documents