Внутренний контроль и аудит: переход на другой уровень

1772

Внутренний контроль и аудит: переход на другой уровень

Профессиональное сообщество поддерживает вектор цифровизации и активно внедряет новые механизмы на практике

Национальное объединение внутренних аудиторов и контролеров (НОВАК) совместно с международной Ассоциацией аудита и контроля информационных систем ISACA провело VI Национальную практическую конференцию «Внутренний контроль и аудит в эпоху цифровой экономики».

В ходе мероприятия специалисты рассмотрели методологические аспекты организации эффективного внутреннего контроля и аудита в условиях цифровизации, проанализировали инструментарий поддержки внутреннего контроля и аудита, а также остановились на особенностях внедрения цифровых решений в отечественных компаниях.

Представители госорганов и ведущие эксперты в области цифровизации и кибербезопасности акцентировали внимание аудитории на тенденциях перехода от аналоговой экономики к цифровой, сформулировали возможные последствия и преимущества от этого как для компаний и организаций в целом, так и для менеджмента в частности. Участники конференции сошлись во мнении, что цифровая трансформация, несомненно, оказывает огромное влияние на стиль управления, открывает новые возможности и несет в себе не только явные, но и скрытые риски и угрозы. В связи с этим необходимо своевременно преобразовывать контрольные функции, чтобы они соответствовали требованиям времени.

Не цель, а средство

Виктор ГолубевДиректор по IT Governance / COBIT Московского отделения ISACA Виктор Голубев подчеркнул, что между всеми используемыми сегодня терминами (Digital business transformation, Digitalization, диджитализация, цифровизация) можно поставить знак равенства, поскольку они подразумевают одно и то же. Причем не стоит рассматривать цифровизацию как цель, это, скорее, средство кардинального повышения результативности и эффективности ведения дел / бизнеса в современных условиях повсеместного проникновения ИТ и использования всеми и на всех уровнях современных информационных технологий, за счет привлечения, удержания и повышения удовлетворенности клиентов. В целом, цифровизация – это очередной логический этап развития ИТ, их переход на новый качественный уровень.

Предпосылок для развития цифровизации, по мнению эксперта, было достаточно. Среди них можно выделить идеологические (понимание и декларирование на самом высшем уровне, что информация является важнейшим активом); методологические (появление новых методов и алгоритмов: Data Mining, BigData, Block Chaine, Cognitive computing и возможность их технического применения); технологические (доступность и стоимость вычислительных мощностей, возможность и стоимость хранения огромных массивов данных, доступность и скорость высокоскоростных каналов данных, мобильные устройства в каждом кармане); фактические (огромный объем уже накопленных данных, очевидный разрыв в их «бытовом» и промышленном использовании).

Сегодня же наблюдаются разнонаправленные ИТ-тренды: так называемые «бытовые ИТ» (взрывное наращивание мощности и функционала «гаджетов»; всепроникающий интернет, требование прозрачности и открытости для работы персональных сервисов) и «промышленные ИТ» (ИТ-поддержка бизнес-процессов осталась примерно на том же технологическом уровне, но очевидно усиление требований по конфиденциальности бизнес-информации, надежности поддержки бизнеса и усиления информационной безопасности).

Докладчик напомнил, что 28 июля 2017 года правительство утвердило программу «Цифровая экономика Российской Федерации», в которой обозначены следующие цели:

– создание экосистемы цифровой экономики РФ, в которой данные в цифровой форме являются ключевым фактором производства во всех сферах социально-экономической деятельности и в которой обеспечено эффективное взаимодействие бизнеса, научно-образовательного сообщества, государства и граждан;

– создание необходимых и достаточных условий институционального и инфраструктурного характера;

– повышение конкурентоспособности на глобальном рынке как отдельных отраслей экономики РФ, так и экономики в целом.

Базовые направления программы (нормативное регулирование, кадры и образование, формирование исследовательских компетенций и технических заделов, информационная инфраструктура и информационная безопасность) касаются абсолютно всех: правительства, госорганов, государственных и коммерческих организаций, руководства и менеджмента предприятий и организаций, контролирующих органов и подразделений, сотрудников и население.

При этом, отмечает Виктор Голубев, по самой сути программы невозможно «частичное» или «локальное» внедрение цифровой экономики. Необходим комплексный и взаимосвязанный подход на всех уровнях – государство, предприятия, население. К тому же не каждое предприятие в силу специфики своей деятельности может стать «цифровым», но все могут максимально использовать потенциал программы для развития и выживания. Однако не стоит забывать про обратную сторону гибкости и открытости информации – угрозы безопасности для личной, коммерческой и государственной информации.

– Недостаточно просто объявить «эру цифровизации» – этим надо заниматься, причем – грамотно, – заявил эксперт, упомянув очевидные риски программы цифровизации. Прежде всего, они связаны с непониманием самой сути термина и явления «цифровизация». Как следствие, не исключена попытка внедрения новых решений сверху, в директивном порядке, без учета потребностей и возможностей организаций и предприятий. Еще один риск – недооценка масштабов и комплексности программы, текущего уровня и глобальности целей. Не исключено «забюрокрачивание»: нечеткое или в корне неверное распределение ответственности; отделение цифровизации от ИТ; создание дополнительных «ответственных» организаций, структур, подразделений, должностей; поспешная генерация ведомственных указаний и распоряжений. В итоге вероятен уход «верхов» от ответственности за «цифровизацию», а значит, растерянность и непонимание «низов» – что же все‑таки делать.

Аудит будущего

Нюансов на данный момент много: как направить потенциал ИТ на решение стратегических задач, стоящих перед бизнесом? Как обуздать ИТ-затраты и связать их с приоритетами бизнеса? Как обеспечить эффективную совместную работу бизнеса и ИТ? Как эффективно и результативно управлять ИТ-рисками? Как обеспечить выполнение корпоративных требований и регулирующих актов ИТ? Как построить эффективную систему внутреннего контроля в ИТ (СВК ИТ)? Как организовать и провести ИТ-аудит? На все эти вопросы, по мнению Виктора Голубева, отвечает IT Governance – методология руководства и управления ИТ (COBIT), которая может стать методологической основой для внедрения цифровизации.

Особое внимание эксперт уделил принципам ИТ-аудита, целью которого является обеспечение высшего руководства компании достоверной и актуальной информацией об уровне ИТ-рисков. Ключевые задачи такого аудита: выработка и внедрение его внутренней методологии; планирование, подготовка и проведение аудитов; подготовка заключений и доведение результатов до проверяемых; подготовка отчетности по состоянию ИТ-рисков для высшего руководства.

– IT Governance базируется на процессном подходе. То есть результативность и эффективность реализации бизнес-стратегии со стороны ИТ обуславливается наличием и достаточным уровнем зрелости стандартных процессов руководства и управления ИТ. Соответственно, суть ИТ-аудита заключается в анализе наличия и определения уровня зрелости этих процессов. Это, кстати, также обеспечивает превентивный подход к управлению ИТ- и бизнес-рисками, то есть своевременное их обнаружение и предотвращение, – уточняет Виктор Голубев. – Методология IT Governance – проверенный временем и на практике инструмент обеспечения результативности и эффективности ИТ для бизнеса, значит, может быть применен при внедрении цифровизации на самых разных уровнях – от предприятия до государства в целом. Кстати, в конце 2018 года вышла обновленная версия – COBIT 2019, в которой учтены вызовы и специфика цифровизации.

Алексей ШиндинО профессиональных сертификациях ISACA для аудиторов в условиях цифровой экономики говорил президент Московского отделения ISACA Алексей Шиндин. Он подчеркнул, что «Information Systems Audit and Control Association» (ISACA) является международной некоммерческой ассоциацией профессионалов в области управления ИТ и глобальным лидером по разработке подходов и методологий управления ИТ и ИБ. В настоящее время ассоциация насчитывает более 140 тысяч членов в 180 странах, в Московское отделение ассоциации входят свыше 300 членов.

Цели и задачи Ассоциации – продвижение образования и содействие в повышении квалификации и навыков в различных областях корпоративного управления ИТ, аудита ИТ и информационной безопасности; мотивация открытого обмена методологиями, знаниями и опытом в областях корпоративного управления ИТ, аудита ИТ и информационной безопасности; донесение до руководства организаций, аудиторов, учебных заведений и профессионалов в области ИТ важности мер контроля для внедрения надлежащего корпоративного управления ИТ, эффективной организации и использования ИТ-ресурсов; продвижение профессиональных сертификаций ISACA (CISA, CISM, CGEIT, CRISC).

Готовые решения для профессионалов

Опытом систематизации процесса внутреннего аудита поделилась эксперт по автоматизации функций внутреннего аудита Refinitiv Екатерина Полякова. По ее мнению, основными преимуществами автоматизации являются систематизация процесса внутреннего аудита; повышенная информационная безопасность; снижение ручных рутинных операций; сокращение времени на отчетность; централизованный процесс мониторинга внедрения рекомендаций. Количественные преимущества автоматизации говорят за себя: согласно приведенным докладчиком данным, таким образом можно сэкономить до 20 % времени на формирование отчета по аудиторской проверке; до 25 % времени аудиторов на мониторинг рекомендаций к исполнению менеджментом и до 25 % времени аудитора в месяц на формирование отчетов для Комитета по аудиту.

Президент НП «НОВАК» Анастасия Русакова и руководитель проекта ЕИС Александр Акимов представили свое программное решение для автоматизации полного цикла управления службами внутреннего контроля и аудита, разработка которого стартовала в начале 2018 года. Благодаря практическому опыту экспертов-разработчиков и знанию работы служб внутреннего контроля и аудита изнутри Единая информационная система «Управление делами внутреннего контроля и аудита» наделена рядом преимуществ: стоимость, гибкость архитектуры, оперативность внедрения, простота применения, масштабируемость. Платформой этого решения является 1С, что значительно сокращает затраты на развертывание, обеспечивает интуитивно понятный и простой интерфейс и широкий набор конфигураций под требования конкретного заказчика. Следует отметить, что эффективность от внедрения ЕИС в компании позволяет увеличить эффективность бизнеса от 10 % (экспертная оценка) уже в первые три года эксплуатации.

Анастасия Русакова и Александр Акимов сообщили, что Единая информационная система НОВАК «Управление делами внутреннего контроля и аудита» уже прошла апробацию в крупном государственном холдинге и получила положительные отзывы.

Алена Бехметьева Фото: НП «НОВАК»