В настоящее время бизнес в РФ оказался в довольно трудной ситуации, которая обусловлена как макроэкономической нестабильностью, так и стагнацией российской экономики. Это не могло не сказаться на экономической безопасности организаций, поставив под угрозу их устойчивое развитие.
Во всем мире свидетельством экономической безопасности компании являются её результаты работы в условиях неопределенности и хозяйственного риска. Так, по данным ежегодного опроса компании PwC «Исследование состояния профессии внутреннего аудитора 2015» 73 % компаний по всему миру отмечают, что риски, с которыми они сталкиваются продолжают возрастать, при этом обозначая ключевую роль внутреннего аудита в системе управления данными рисками. [4]
В этой связи представляется актуальным изучить сегодняшнее состояние служб внутреннего аудита в российских компаниях, выявить основные проблемы и предложить возможные пути решения данных проблем, что будет содействовать повышению уровня экономической безопасности российских предприятий.
На сегодняшний день место и роль внутреннего аудита в управлении рисками компании может сильно отличаться. Чтобы установить роль внутреннего аудита, компания должна определиться с системой управления рисками в целом. На сегодняшний день общепринятой моделью управления рисками является интегрированная модель управления рисками COSO (Комитета организаций-спонсоров Комиссии Трэдвея).
Согласно данной модели, внутренний аудит является одной из восьми составляющих внутреннего контроля, который представляет собой процесс, интегрированный в общую систему управления и направленный на достижение целей компании. [2]Задача внутреннего аудита заключается в постоянном мониторинге систем управления и контроля, в проведении оценки надежности и эффективности систем и процессов управления рисками, качеством и внутреннего контроля, нахождении слабых мест, сообщении об этом руководству и консультировании работников относительно возможных рисков и путях их минимизации. Такая система помогает бизнесу адаптироваться к изменениям, предупреждать возникновение угроз и концентрироваться на наиболее значимых проблемах.
Наиболее наглядно значение деятельности внутреннего аудита представлено на рисунке 1.
Рис. 1. Деятельность ВА в интегрированной модели управления рисками
Исследование текущего состояния и тенденций развития внутреннего аудита в России, проведенное Институтом внутренних аудиторов, показало, что в 57 % российских компаний не внедрена интегрированная система управления рисками, внутренний аудит выполняет преимущественно функции внутреннего контроля, направленные на оценку достоверности отчетности и соответствия деятельности организаций нормативным требованиям. [6] Оценка деятельности структур внутреннего контроля посредством функционирования подразделений внутреннего аудита осуществляется в очень незначительном количестве крупных компаний.
Отсутствие в российских компаниях такой системы внутреннего аудита, которая была бы интегрирована с общей системой управления и осуществляла непрерывный мониторинг эффективности всей деятельности компании, приводит к ряду других проблем, которые взаимосвязаны между собой и вытекают одна из другой.
Так, несмотря на то, что отчасти функции внутреннего аудита в области выявления рисков и угроз реализует риск-менеджмент компаний, активное взаимодействие, инициативный обмен информацией о рисках и контрольных процедурах между всеми заинтересованными подразделениями присутствует только в 28 % российских компаний. [6]Несвоевременное получение подобной информации ведет к принятию неправильных решений, что негативно сказывается на деятельности всего предприятия.
Кроме того, отсутствует независимая система оценки качества работы менеджмента и системы внутреннего контроля, что не позволяет своевременно выявить и устранить недостатки в их работе, гарантировать правильность выявляемых рисков и надежность систем контроля.
Очевидно, что указанные ранее проблемы внутреннего аудита в российских компаниях, ставшие следствием отсутствия интегрированной модели управления рисками, не позволяют компаниям своевременно адаптироваться к изменениям. При этом, 56 % российских компаний, по данным опроса, проведенного PwC, отмечают среди ключевых рисков 2015 года — динамику изменений в бизнесе. [4]Это связано с тем, что изменения, во-первых, требуют от компании более частых пересмотров ключевых рисков. Опыт управления рисками показывает, что большинство корпоративных рисков претерпевает существенные изменения не реже одного раза в квартал. [8] Во-вторых, изменения неизбежно потребуют внесения некоторых корректировок в стратегию управления рисками организации, так что руководству необходимо постоянно вносить уточнения в политику управления рисками. Все это сказывается на эффективности деятельности менеджеров компаний при условии отсутствия системы выявления возможных изменений в бизнесе и оценки связанных с ними рисков. Наглядно падение эффективности управленческих решений от изменений в бизнесе представлено на рисунке 2.
Рис. 2. Влияние изменений на эффективность управленческих решений, принимаемых менеджментом компании
По мнению специалистов CEBAnalysis, именно внутренний аудит должен играть активную роль в выявлении и преодолении рисков, вызванных изменениями. [1]Ключевыезадачивнутреннегоаудита:
– Развитие процедур по оценке и управлению рисками, связанными с изменениями;
– Получение на регулярной основе необходимых риск-показателей для принятия управленческих решений;
– Увеличение регулярности процедуры переоценки рисков для обеспечения наиболее эффективного распределения ресурсов.
Знание условий, в которых предприятие ведет свой бизнес, и стоящих перед ним и его руководством проблем дает отделу возможность определить, ведется ли работа по выявлению и снижению рисков. Подобный подход позволяет действовать на опережение, а не в порядке реагирования на уже произошедшие события, как часто бывает на российских предприятиях. Ниже перечислены некоторые индикаторы риска, которые можно использовать для первичного определения необходимых управляющих воздействий:
– частые организационные изменения;
– высокая текучесть кадров среди руководства высшего звена;
– отсутствие планов обеспечения преемственности;
– риски изменения процентных ставок и валютных курсов;
– излишне сложная организационная структура или операции;
– постоянные убытки от операций;
– несвоевременное представление отчетов и ответов на вопросы комитета по аудиту;
– работа в условиях быстрых технологических изменений.
Еще одним существенным риском, влияющим на экономическую безопасность компаний, с которым столкнулись организации в 2015 году, стали безопасность и конфиденциальность данных — значимость данного риска отметило 60 % российских организаций. О возрастающей роли оценки внутренним аудитом эффективности систем защиты от кибер-рисков свидетельствует то, что количество кибератак в 2014 году возросло относительно 2013 года на 48 %. [3]
Однако, по мнению аудиторской компании PwC, системы защиты большинства сегодняшних компаний малоэффективны против киберпреступников, в результате чего риск взлома баз данных остается на очень высоком уровне. [7]
Это связано с тем, что существует ряд недостатков в управлении кибер-рисками в организациях. Так, службы внутреннего аудита не анализирует, какие информационные системы действительно важны для бизнеса. Это приводит к попыткам защитить все, из-за чего одни системы будут «перезащищены», в то время как другие — «недозащищены».
Еще одна ошибка компаний — они редко проводят модернизацию своей защиты: например, из 10.000 опрошенных топ-менеджеров только 39 % сказали, что они регулярно — раз в год, по крайней мере — проводят пересмотр действующих систем электронной защиты. [7]Между тем, системы защиты постоянно устаревают, так как создаются все новые вредоносные программы.
ИТ-среда многих организаций распространяется на другие субъекты. В таких случаях важно следить за кибер-элементами управления, которые работают на третьих лиц или других внешних поставщиков услуг. Но оценку рисков, связанных с поставщиками, проводят только 50 % компаний (в 2013 году этот показатель составлял 53 %) и всего 50 % участников исследования провели инвентаризацию всех третьих лиц, имеющих доступ к персональным данным клиентов и сотрудников. Всего лишь немногим более половины (54 %) респондентов имеют документально оформленную политику, обязывающую третьих лиц соблюдать установленные ими требования к защите персональных данных. [7]
Экспертами подчеркивается ключевая роль отдела внутреннего аудита в обеспечении кибербезопасности системы. В рамках данной задачи основными функциями ВА будут:
– проведение оценки «сверху вниз» рисков процесса, связанного с информационной безопасностью компании, выявление ключевых рисков и разработка рекомендаций по улучшению процесса;
– предоставление руководству компании надежной информации о реально существующих рисках и угрозах;
– проведение оценки необходимости внедрения более современных и актуальных методов информационной защиты, в том числе многоуровневой защиты, расширенных средств диагностики, кодирования данных и др.;
– проведение оценки сторонних поставщиков услуг в области информационной безопасности, чтобы определить, насколько полно и эффективно их привлечение сможет покрыть существующие риски.
Однако для реализации данных функций специалисты отдела внутреннего аудита должны обладать специальными навыками: 71 % компаний отмечает необходимость привлечения во внутренний аудит специалистов, обладающих специализированными ИТ-навыками и навыками в области сохранения конфиденциальности данных. [5]
Еще одно направление совершенствования служб внутреннего аудита в России –эффективное использование метода анализа данных. Развитие технологий позволяет службам внутреннего аудита использовать информацию, которая может помочь им более оперативно реагировать на возникающие риски, повысить эффективность своей работы и качество текущего мониторинга. Тем не менее, по данным проведенного PwC исследования, уровень эффективности использования информации можно повысить, так как только 48 % респондентов используют аналитические данные при оценке принимаемых решений, а 43 % респондентов используют такие данные в процессе оценки рисков. [5]
Таким образом, на сегодняшний день система внутреннего аудита в России имеет ряд недостатков, которые не позволяют в полной мере реализовать указанные выше возможности. С целью преодоления этих недостатков необходимо:
– внедрить интегрированную систему управления рисками, в рамках которой внутренний аудит будет осуществлять постоянный мониторинг систем управления и контроля, проводить оценку их надежности, информировать руководство и консультировать менеджеров относительно возможных угроз бизнесу;
– закрепить за службой внутреннего аудита необходимость развития процедур по оценке и управлению рисками, связанными с изменениями;
– установить проведение оценки рисков процесса, связанного с информационной безопасностью компании, и разработку рекомендаций по улучшению данного процесса как одну из функций внутреннего аудита;
– сделать внутренний аудит более технико-ориентированным, включив в штат данной службы специалистов в области информационных технологий;
– использование в работе внутренних аудиторов методов анализа данных как способ повышения эффективности оценки рисков и принимаемых решений.
Указанные выше преобразования помогут стать службе внутреннего аудита тем связующим звеном, эффективным координатором, позволяющим слаженно заработать всем контролирующим подразделениям компании, что несомненно положительно скажется на повышении экономической безопасности российских организаций.
Литература:
- Auditing Through Organizational Change — Preview Report by CEB audit leadership council [электронныйресурс]// Сайторганизацииаудиторов EN. — Режимдоступа: http://img.en25.com/Web/CEB/CEB_Audit_Auditing_Through_Organizational_Change_Preview_Report_A_6107.pdf?cid=70134000000OEdwAAG
- COSO Internal Control — Integrate framework [электронныйресурс]// Сайткомпании KPMG. — Режимдоступа: http://www.kpmg.com/Ca/en/External %20Documents/Final-New-COSO-2013-Framework-WHITEPAPER-web.pdf
- Where insights lead Cybersecurity and the role of internal audit: An urgent call to action [электронный ресурс]// Сайт компании Deloitte. — Режим доступа: http://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-cyber-ia-urgent-call-to-action.pdf
- Исследование состояния профессии внутреннего аудитора 2015. Российский опрос [электронный ресурс]// Сайт компании PwC. — Режим доступа: http://www.pwc.ru/ru/riskassurance/publications/assets/sotp_one-page-info_rus.pdf
- Исследование состояния профессии внутреннего аудитора в 2015 году [электронный ресурс]//Платформа электронной публикации документов. — Режим доступа: https://issuu.com/pwc_russia/docs/global-sotp-2015-brochure_rus
- Исследование текущего состояния и тенденций развития внутреннего аудита в России [электронный ресурс]// Аналитические обзоры. — Режим доступа: http://www.analitika.kz/docs/InternalAuditSurvey_2011.pdf
- Корпоративные киберугрозы и кибер-риски: восприятие бизнесом: презентация PwC [электронный ресурс]// Сайт MyShared — Режим доступа: http://www.myshared.ru/slide/967096/]
- Оценка риска и среды внутреннего контроля [электронный ресурс]// Сайт компании KPMG. — Режим доступа: http://www.kpmg.com/RU/ru/topics/Audit-Committee-Institute/Publications/Documents/toolkit/AC_RM_rus.pdf