Работа аудитора заключается не в том, чтобы найти, что вы делаете неправильно, а в том, чтобы понять, что вы делаете правильно
Внутренний аудит (ВА), как практически все бизнес-процессы современной организации, находится в стадии цифровой трансформации. И этот процесс неожиданно для всех поставил ребром вопрос: «Что именно происходит с ВА — революция, эволюция или превращение в ремесло в хорошем смысле этого слова?»
Что касается последнего, то этим вопросом задался не кто иной, как председатель Совета Ассоциации «Институт внутренних аудиторов» (ИВА), директор департамента внутреннего аудита компании «Аэрофлот». Его позиция изложена на сайте Ассоциации в публикации «Краткие уроки аудиторского ремесла от Леонида Душатина».
Некоторые детали своей позиции эксперт высказал в апреле 2024 года в ходе XVI Национальной конференции «Внутренний аудит в России». Финансовому сообществу она интересна тем, что сказанное стало итогом работы по развитию профессиональных стандартов ВА, проводимой ИВА на площадках Экспертного совета по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях.
Не остались при этом в стороне Экспертный совет по законодательному обеспечению аудиторской и контрольно-ревизионной деятельности при Комитете Госудумы по финансовому рынку, а также Совет по профессиональным квалификациям финансового рынка (СПКФР) и его Комиссия по профессиональным квалификациям в области внутреннего аудита, внутреннего контроля, управления рисками и бизнес-анализа.
Одним из результатов этой деятельности стало утверждение Международных стандартов внутреннего аудита (МСВА), которые вступают в силу 9 января 2025 года.
Найти два отличия
ИВА в 2024 году определил внутренний аудит как деятельность по предоставлению независимых и объективных гарантий и консультаций, направленную на совершенствование работы организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке эффективности процессов управления рисками, контроля и корпоративного управления и ее повышению.
А вот цитата из Рекомендаций Базельского комитета по банковскому надзору от 2012 года, размещенных на сайте Банка России:
«Эффективная служба внутреннего аудита должна представлять совету директоров и исполнительным органам независимую оценку качества и эффективности систем и процессов внутреннего контроля, управления рисками и управления, обеспечивая таким образом безопасность организации и защиту ее репутации».
Налицо глобальный тренд, которому соответствуют и наши аудиторы, закрепляющий обязанность следовать риск-ориентированному подходу повышения эффективности бизнес-процессов. А поскольку ВА сам является бизнес-процессом, происходит и его трансформация, что отечественным финансистам прекрасно известно по опыту выполнения требований Банка России в части обеспечения риск-ориентированного подхода к управлению операционной надежностью и рисками информационных угроз.
В основе этого процесса находятся IT-системы класса GRC (Governance, Risk and Compliance), которые позволяют выстроить модель управления рисками в сфере руководства и соответствия нормативным требованиям в компании. Она включает в себя определение ключевых политик, которые могут способствовать достижению целей компании. GRC делает возможным применять проактивный подход к снижению рисков, принятию обоснованных решений и обеспечению непрерывной работы компании.
Поскольку GRC существуют на рынке как промышленное решение уже несколько десятков лет, их применение в аудите можно назвать лишь эволюцией. А вот те инструменты, которые появились у него «под капотом», — искусственный интеллект, базы знаний, Process Mining и Task Mining — позволяют таким образом управлять процессами data-driven банка, что вполне «тянут» на революцию, пиком которой являются цифровые двойники организации и ее клиентов.
Архитектурный подход
Понятно, что двойник может возникнуть только там, где существует «единая версия правды». Иными словами, внутренняя IT-архитектура бизнеса должна базироваться на принципах и лучших практиках Data Governance (управление данными), что радикально повышает качество данных, на которых строится бизнес. Отличие от традиционного Data Management заключается в том, что Data Governance интегрирует воедино политики, процессы, роли и технологии, а не просто фокусируется на хранении, обработке и передаче данных.
Наверное, первыми бизнес-подразделениями, которые обратили пристальное внимание на этот факт, стали внутренние аудиторы. Как уже отмечалось, ВА является бизнес-процессом, метрики которого требуют постоянного совершенствования. Наличие «единой версии правды» для огромной организации с использованием ИИ означает качественное повышение скорости и эффективности аудита.
В сентябре 2024 года в рамках Конференции по работе с данными DataTalks 5.0 Владимир Шатшнайдер, директор департамента IT-аудита и анализа данных компании «Ростелеком», привел численные параметры этого эффекта. По его словам, скорость обработки информации повысилась до одного часа против недели ранее, за это время удается анализировать не 20 параметров и элементов, а 20 млн, а также тратить времени на аудит в год не 2 тыс. часов, а только 500.
Понятно, что для крупных экосистем только внутреннего Data Governance недостаточно, дополнительно необходим механизм обеспечения интероперабельности и интерконнективности с внешними IT-системами, в том числе с государственными. Об этом, в частности, говорил в ноябре 2024 года на CNews Forum «Информационные технологии завтра» Михаил Хайзников, руководитель офиса корпоративной архитектуры Росбанка. Неудивительно, что это направление является одним из приоритетов Ассоциации Финтех (АФТ), которая указывает на необходимость кардинально пересмотреть и перестроить бизнес-процессы и IT-ландшафты финансовых организаций с учетом новейших подходов и рыночных возможностей. Один из путей подобной архитектурной трансформации заключается в AI-джитализации банков и их крупнейших клиентов, например телекомов и маркетплейсов.
Однако здесь есть нюанс, заключающийся в особенностях использования больших языковых моделей. По мнению Владимира Шатшнайдера, ИИ является сегодня «мастером спорта во всех видах спорта», однако аудит продолжает оставаться крайне специфической отраслью. По этой причине необходимо постоянно дообучать любую GPT-модель и готовить людей для использования промпт-инжиниринга. Когда это будет осуществлено, внутренний аудит вполне может стать ремеслом высококлассных мастеров с группой подмастерьев, разбирающихся в тонкостях ИИ.
Дополнительные стимулы
Автоматизация и роботизация внутреннего аудита высветили два аспекта, где ВА стал крайне полезен в текущее время, что расширяет сферу его применения.
Во-первых, внутреннему аудитору стал доступен инструмент Perfect Agile Flow — управление командой на основе данных. Необходимо признать, подобные навыки во многих организациях пока не достигли должных высот. Одна из причин заключается в том, что каждой команде необходим индивидуальный подход при выборе инструмента сбора показателей и т.д. Поэтому и Agile, и DevOps далеко не всегда близки к целевым моделям и показателям. Возможно, GRC изменит ситуацию в лучшую сторону.
Во-вторых, поиск альтернативных недорогих источников финансирования благодаря IPO и ЦФА заставляет бизнес «приводить себя в порядок», модернизируя свои бизнес-процессы и структуру корпоративного управления. Это стимулирует развитие аутсорсинга и кооперации в сфере услуг ВА. При этом видно, как меняется суть аудита: от контроллера — к консультанту, от указания на недостатки — к поиску лучших практик!