Изменения, представленные в рекомендациях Банка России (информационное письмо от 01.10.2020 № ИН-06-28/143), – вектор развития в области внутреннего контроля, внутреннего аудита, а также управления рисками в России. В ходе разработки документа рекомендаций была проделана большая работа, в ней принимали участие большое количество экспертов из частных компаний и консалтинга. Компании будут реализовывать их с разной скоростью, но тренд определенного развития внутреннего контроля, внутреннего аудита и риск-менеджмента уже задан, и соответственно, он отразится на автоматизации.
Сергей Кудряшов, руководитель практики по управлению операционными рисками Deloitte, и Алексей Чернышев, эксперт Digital Design, рассказали о том, как пункты рекомендаций банка России реализуются на практике с помощью современных решений на примере платформы АВАКОР (автоматизация внутреннего аудита, контроля и оценки рисков) компании Digital Design.
Подробнее о рекомендациях
Рекомендации, изложенные в письме № ИН-06-28/143, относятся к организации внутреннего контроля, внутреннего аудита и риск-менеджмента и содержат практические предложения по интеграции современных подходов в данной области в среду корпоративного управления. Они предназначены для публичных акционерных обществ, но могут также использоваться как модель “лучших практик” для прочих российских компаний.
Документ поддерживает преемственность с существующей нормативно-правовой базой, а именно с законом «Об акционерных обществах» (26.12.1995 N 208-ФЗ), а также с “Кодексом корпоративного управления” (Письмо Банка России от 10.04.2014 N 06-52/2463), которые на протяжении последних лет задают тренды в этой области. Рекомендации охватывают вопросы организации корпоративного управления, работы комитетов совета директоров или наблюдательного совета по аудиту в публичных акционерных обществах – и это действительно важно, так как документы, которые существовали раньше, в полной мере не раскрывали эти вопросы.
Далее представлено краткое описание основных рекомендаций в области управления рисками и внутреннего контроля, внутреннего аудита и организации комитета по аудиту. В области организации управления рисками и внутреннего контроля (Глава 2 Письма) были обозначены компоненты системы УРиВК, даны рекомендации по их организации, а также определены такие важные понятия (и их применение), как “риск-культура”, “контрольная среда” и “риск-аппетит”.
Также были обозначены цели, задачи и обязанности внутреннего аудита (Глава 3), которые организация должна формировать. Кроме того, был определён процесс информирования высших руководящих органов о результатах деятельности внутреннего аудита.
Более детально были рассмотрены роль и цели деятельности Комитета по аудиту (Глава 4), а также круг его задач и порядок взаимодействия с органами внутреннего контроля и аудита.
Единая система, интегрированная в бизнес-процессы
Ключевая идея рекомендаций Банка России заключается в интеграции среды корпоративного контроля и бизнес-процессов организации. Использование интегрированной системы позволяет формировать риск-ориентированную Вселенную аудита, то есть основу внутреннего аудита, начиная с формирования реестра риска и контрольных процедур. Единая информационная система позволяет проводить проверки, направленные на конкретные аспекты деятельности организации. Если в процессе проверочной деятельности выявляются новые риски, то их сразу же можно ставить под управление, разрабатывать и вводить контрольные процедуры. Таким образом происходит сквозная автоматизация трех компонентов корпоративного контроля в единую систему.
На рынке присутствуют достаточное количество систем автоматизации, часть из которых работают только с рисками, другая часть – с только внутренним аудитом, однако не так много интегрированных систем. Одним из решений, позволяющих связывать компоненты корпоративного управления воедино, является платформа АВАКОР (расшифровывается как “Автоматизация внутреннего аудита, контроля и оценки рисков”).
Создание единой контрольной среды возможно за счет предоставления всем сотрудникам доступа к системе. АВАКОР может работать как сайт для сотрудников бизнес-подразделений (владельцев рисков, руководителей объектов аудита), в том числе с мобильных устройств. Для работы профессиональных пользователей (риск-менеджеров, сотрудников службы внутреннего аудита) также предусмотрен интерфейс Windows-приложения.
Пользователи регулярно получают информацию о том, в каком состоянии находятся их задачи и процессы, видят агрегированную отчетность, а специализированный модуль позволяет исполнять разные виды задач непосредственно из электронной почты, не переходя в систему АВАКОР. Например, при оценке риска владельцем, его ответ на письмо может быть интерпретирован как выполнение оценки риска с передачей параметров оценки в систему.
Интерфейс АВАКОР состоит из следующих модулей: управление рисками, внутренний контроль, внутренний аудит, мониторинг мероприятий, база знаний и отчетности. В зависимости от того, кто именно работает с системой, набор модулей будет различным, что обеспечивается фукнциональностью разделения доступа. Этот механизм, в частности, позволяет полностью реализовать принцип независимости внутреннего аудита и отделения его данных от данных прочих подразделений даже в рамках работы в единой системе.
Рекомендации Банка России относительно управления рисками и внутреннего контроля
Рекомендации Банка России описывают принципы, закреплённые в стандартах руководства, которые являются широко распространенными и применяемыми в областях управления рисками и внутреннего контроля. Прежде всего, это концепция COSO: «Внутренний контроль. Интегрированная модель» (2013 г.), и «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (2017 г.). Подготовка рекомендаций Банка России основывалась на интеграции этих принципов и их практическом применении для работы в российских организациях. Все концепции, которые предусмотрены документами COSO, нашли отражение в практических рекомендациях Банка, начиная от формирования контрольной среды, механизма оценки риска, заканчивая непосредственной реализации вопросов внутреннего контроля и их мониторинга.
Каким образом эти принципы реализуются с помощью автоматизации?
Концепция COSО находит свое выражение в нескольких тезисах. Первый подразумевает формирование культуры управления рисками внутри организации, которая должна способствовать вовлечению всех сотрудников в контур управления рисками. Интегрированная автоматизированная система должна доводить работу до конкретных исполнителей. Например, внесение оценки должно осуществляться именно владельцами рисков, а не риск-менеджерами. АВАКОР предоставляет всем сотрудникам возможность работать через электронную почту, браузер и при помощи мобильных устройств.
Второй тезис говорит о постановке целей стратегии риск-менеджмента, детализируя понятие риск-аппетита как величины, устанавливаемой в конкретных проектах и видах деятельности. Транслирование понятия риск-аппетита на уровень операционной деятельности компании само по себе требует большой организационной работы по формированию среды. АВАКОР предоставляет пользователям возможность декомпозиции стратегического понятия риск-аппетита до уровня конкретной системы ранжированных реестров, а также ведения паспортов и оценок рисков.
Реестр может быть детализирован по конкретным элементам иерархии компании: подразделениям, дочерним обществам, бизнес-процессам. Каждый элемент реестра риска обладает паспортом риска, содержащим детальную информацию о нем.
Одна из ключевых особенностей платформы заключается в возможности ее адаптации под потребности организации. Паспорт риска может заполняться в зависимости от прав доступа сотрудника, в частности, в области классификации рисков (тип, принадлежность к конкретному подразделению, факторы, последствия и др.) для ведения риск-факторного анализа и отчетности.
Каждый отдельный риск имеет связь с оценками и дает возможность проводить его оценку разными службами компании. В базовом решении используются качественные оценки рисков, при этом шкалы его влияния можно задавать, и они могут быть привязаны к количественным показателям, например, показателям бизнес-плана. Может быть реализовано хранение количественных моделей оценки, формируемых внешним ПО.
Кроме того, АВАКОР непосредственно связывает риски с элементами внутреннего контроля. В системе ведется реестр контрольных процедур, связанных с конкретными рисками, который может также изменяться и настраиваться по различным параметрам. Тем самым этот блок может быть взаимосвязан с блоком внутреннего контроля и внутреннего аудита. В частности, аудиторы в рамках ведения проверочной деятельности могут использовать контрольные процедуры для проведения тестирования и формирования отчетов.
Одно из положений COSO говорит о том, что организации необходимо использовать ресурсы всех своих информационных систем для управления рисками. АВАКОР, к примеру, дает возможность вести учет количественных показателей, полученных из внешних систем организации, для консолидации данных в виде ключевых индикаторов риска.
В этом блоке также можно вести учет инцидентов и контроль мероприятий по управлению рисками.
Проанализировать процесс управления рисками в организации в целом позволяет блок «отчетность», который содержит общепринятые формы отчетности, такие как тепловые карты, диаграммы, категории и другое. Формы отчетов могут быть настроены под привычный для конкретной организации вид отчетности в области управления рисками.
В крупных организациях с большим количеством рисков под управлением сбор и формирование отчетов может занимать недели, а иногда и месяцы. В АВАКОР отчеты формируются мгновенно на основании имеющихся данных всех взаимосвязанных элементов системы.
Внутренний аудит и его будущее
Компания Deloitte сформировала свое видение развития внутреннего аудита в России, концепцию «Внутренний аудит 3.0», которая описывает развитие аудита в четырех предметных областях:
-
Область предоставления гарантий. Внутренний аудит должен оптимизировать свою работу, максимально снижая трудозатраты на выполнение рутинных операций, что влечет необходимость интеграции всех трех линий защиты.
-
Консультации. Внутренний аудит должен вовлекаться в дизайн контрольных процедур и оценку их эффективности, а также напрямую выполнять запросы менеджмента по проверке областей повышенного риска.
-
Прогнозирование. Внутренний аудит должен предсказывать появление новых рисков и оценивать то, насколько система внутреннего контроля покрывает весь спектр.
-
Поддерживающие элементы, которые обеспечивают реализацию трех главных аспектов деятельности. Прежде всего, это цифровые активы и технологии, а также их интеграция. Также это навыки аудиторов – как в области работы с информационными системами и большими объемами данных, так и в области взаимодействия с бизнес-функциями. Еще одна область – инструментарий, содержащий различные механизмы программного и непрограммного характера для предоставления лучших гарантий, консультаций и прогнозирования.
В совокупности все элементы должны формировать «Умные гарантии» для комитета по аудиту и Совета директоров.
Рекомендации Банка России относительно внутреннего аудита:
-
Стратегия внутреннего аудита (Вселенная аудита) как элемент гарантий становится пунктом обязанностей;
-
Внутренний аудит в организационной структуре должен быть независимым и объективным;
-
В план деятельности внутреннего аудита рекомендуется включать риск-ориентированный план внутренних проверок и прочие мероприятия;
-
Руководителю структурного подразделения внутреннего аудита рекомендуется осуществлять координацию взаимодействия с другими подразделениями Общества, которые в рамках своих полномочий проводят проверки системы управления рисками и внутреннего контроля.
Как видим, рекомендации Банка России поддерживают все инициативы Deloitte по организации внутреннего аудита, так как с одной стороны они направлены на развитие его функций, а с другой стороны это развитие связано с разными аспектами автоматизации и реализации автоматизированных решений.
Автоматизированные инструменты для осуществления лучшего внутреннего аудита
Существует ряд программных инструментов, позволяющих существенно улучшить качество ведения проверочной деятельности службы внутреннего аудита. В частности “Вселенная аудита”, как совокупность всех проверок, которые составляют план проверочной деятельности. Существует несколько подходов к формированию Вселенной аудита. Ниже представлен один из вариантов реализации:
При использовании этого подхода в качестве объектов Вселенной аудита выступают различные виды бизнес-процессов, проектов, подразделений, инициатив или информационных систем. В АВАКОР можно вести справочник объектов Вселенной аудита. В этом случае система автоматически, исходя из справочника бизнес-процессов, может найти принадлежащие им риски.
Система автоматически загружает во Вселенную все объекты из справочника объектов. АВАКОР находит риски, связанные с бизнес-процессами, для каждого из них выводит оценку, затем ранжирует. Кроме этого, система может использовать данные по ранее проведенным проверкам в отношении указанных рисков или бизнес-процессов, и также выводить их на экран. АВАКОР может на основании простого математического алгоритма формировать рекомендации по включению различных проверок в план. Есть и более сложные решения с элементами прогнозирования, но это уже область работы Научной лаборатории Digital Design, которая занимается машинным обучением, роботизацией, а также моделированием.
Еще один инструмент, Карта гарантий, представляет собой информацию по оценке рисков всеми службами корпоративного контроля, выведенную в единый интерфейс. Ее суть заключается в визуализации уровня покрытия гарантиями различных рисков организации. Карта позволяет определить, какие риски или бизнес-процессы организации необходимо проверять в первую очередь.
Реестры рисков позволяют ранжировать, фильтровать и сортировать риски по необходимым признакам. На основании любых рисков из реестра можно сразу создать проверку, которая в дальнейшем попадет в план деятельности службы внутреннего аудита. Таким образом реализуется прямая связь между реестрами рисков и проверочной деятельностью. Риски, обнаруженные в процессе проверок, в дальнейшем могут попасть под управление другими службами среды корпоративного контроля, для этого существует подреестр «идентифицированные риски» в рамках общего реестра риска.
Сам же план деятельности службы внутреннего аудита можно формировать с помощью календарно-сетевого графика, в который входят запланированные проверки, а также прочая информация по занятости сотрудников.
Рекомендации по развитию внутреннего аудита в публичных акционерных обществах
Часть рекомендаций Банка России, связанная с развитием практик внутреннего аудита, содержит следующие основные предложения:
-
Консультационные услуги должны быть зафиксированы в обязанностях внутреннего аудита;
-
Должны вводиться и реализовываться программы обеспечения и повышения качества в целях соблюдения высоких стандартов деятельности;
-
Комитету по аудиту рекомендуется:
-
предварительно рассматривать предложения о назначении (освобождении от должности) руководителя внутреннего аудита, о размере его вознаграждения, а также о ключевых показателях эффективности деятельности;
-
предварительно рассматривать ежегодный план деятельности внутреннего аудита и бюджет подразделения.
В рамках следования этим рекомендациям Банка России АВАКОР предлагает ряд механизмов для обеспечения высоких стандартов деятельности подразделения, а также постоянного повышения требований к этим стандартам.
В АВАКОР есть справочники программ и разделов проверок. Если проверки повторяются или имеют похожую структуру, то есть возможность загрузить их программы в систему и при планировании снова использовать эти программы, при этом скорректировав их на основании каждого аудита.
Для каждой проверки автоматически можно создать шаблоны документов, которые будут формироваться при повторе. Это могут быть различные виды отчетности, а также специальные формы коммуникации с объектами аудита (запрос документов, акт о непредоставлении этих документов и др.). В дальнейшем аудитор при подготовке или проведении аудита может использовать наработанные практики, в том числе в части программы и разделы проверок.
Кроме того, АВАКОР предоставляет возможность формировать «петли обратной связи» в отношении разных процессов внутреннего аудита. Например, по итогу каждого аудита руководителю объекта аудита можно направить анкету, где он сможет выразить предложения или замечания. Это информацию руководитель службы внутреннего аудита также может использовать для улучшения качества деятельности службы.
Обратную связь также можно организовать в разрезе конкретных сотрудников службы внутреннего аудита. Например, в АВАКОР есть инструменты оценки сотрудников как по качеству их работы, так и по наличию необходимых компетенций. Можно формировать справочник компетенций сотрудников, проводить их оценку на соответствие должности. На основе этих оценок руководитель службы может видеть слабые и сильные стороны конкретных сотрудников, формировать программы обучения или принимать решения об их назначении на конкретные проекты.
Взаимодействие с комитетом по аудиту и отчетность
Поддержка взаимодействие с Комитетом по аудиту с точки зрения автоматизированной системы может осуществляться в виде подготовки необходимых документов и формирования отчетности. К примеру, в процессе деятельности службы формируются различные формальные документы, которые необходимо представить Комитету по аудиту. Это может быть, например, план деятельности на основании календарно-сетевого графика проверок в виде Word-документа. Подобные документы можно формировать в АВАКОР на основе настраиваемых шаблонов.
Кроме того, для более наглядного понимания показателей деятельности службы внутреннего аудита, внутреннего контроля и управления рисками в АВАКОР предусмотрены различные виды отчетности. К примеру, пользователь может увидеть количество и статус проверок по объектам аудита за заданный период.
Система отображает данные по проверкам и количеству выявленных нарушений за заданный период, а также формирует взаимосвязь с мероприятиями по устранению нарушений.
Все виды отчетности содержат функцию «Drill Down», что позволяет перейти на уровень ниже, к примеру, в конкретную проверку и посмотреть детали. Кроме того, любой вид отчета можно выгрузить в Word, Excel и PowerPoint для подготовки презентаций, документов и отчетных материалов
Таким образом, для того, чтобы сформировать отчетность, не нужно анализировать совокупность множества несвязанных файлов. Необходимо лишь своевременно вносить все данные в АВАКОР, а система автоматически структурирует и проанализирует данные.