CC BY
27
РАЗДЕЛ 3. ФИНАНСОВО-КРЕДИТНЫЕ ОТНОШЕНИЯ И БУХГАЛТЕРСКИЙ УЧЕТ
С. А. Булгаков
ПРОБЛЕМЫ ТРАНСФОРМАЦИИ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ НА ОСНОВЕ ЦИФРОВЫХ ТЕХНОЛОГИЙ
Аннотация
Под влиянием пандемии COVID-19 ускорились процессы внедрения цифровых технологий в деятельность коммерческих организаций и актуализировались вопросы, связанные с цифровой трансформацией системы внутреннего контроля (далее — СВК). В статье рассмотрены основные направления внутреннего контроля в зависимости от его временной направленности, а также исследована практика развития системы внутреннего контроля в крупных компаниях на основе цифровых технологий. Определены проблем при внедрении цифровых технологий в рамках СВК, а также проблемы трансформации ее основных элементов, выделяемых в соответствии с концепцией COSO в условиях применения сквозных цифровых технологий, и предложены пути их решения.
Ключевые слова
Система внутреннего контроля, цифровые технологии, риск-ориентированный подход.
S. A. Bulgakov
PROBLEMS OF TRANSFORMATION OF INTERNAL CONTROL SYSTEM BASED ON DIGITAL TECHNOLOGIES
Annotation
Under the influence of the COVID-19 pandemic, processes of introducing digital technologies into activities of commercial organizations have accelerated and issues related to the digital transformation of internal control system that promotes compliance with current legislation and internal regulations of organization, reliability of financial and non-financial reporting, as well as achievement by business entities of goals set within framework of their strategies have been updated. Article considers the main directions of internal control depending on its temporal orientation, and also examines the practice of developing an internal control system in large companies based on digital technologies. Problems in implementation of digital technologies within internal control system are identified, as well as the problems of transformation of the main elements of internal control system allocated in accordance with the COSO concept in context of the use of end-to-end digital technologies, and ways to solve them are proposed.
Keywords
Internal control system, digital technologies, risk-oriented approach.
Введение
Согласно результатам исследования, проведенного в 2020 г. международной сетью аудиторско-консалтин-
говых компаний Pricewaterhouse Coopers и посвященного проблемам функционирования системы внутреннего контроля, лишь 5 % достигли уровня
ее зрелости, что предполагает соответствие процессов внутреннего контроля лучшим практикам, использование цифровых технологий для выполнения контрольных процедур, тестирования и мониторинга их эффективности, а также наличие эффективной контрольной среды, являющейся фундаментом СВК [6].
Модель внутреннего контроля, основанная на классическом подходе, не отвечает в полной мере требованиям современного бизнеса. Внутренний контроль должен базироваться на применении практики мониторинга наиболее рисковых процессов в режиме, близком к реальному, а также использование сквозных цифровых технологий.
Результаты опроса, проведенного Бе1о1йе осенью 2020 г. [11], свидетельствуют о том, что только 22 % респондентов заявили об использовании сквозных цифровых технологий (искусственный интеллект, роботизированная автоматизация процессов, расширенная аналитика) в рамках СВК. Ограниченное использование цифровых технологий приводит к растущему разрыву между стратегией и поставленных в ее рамках целей и способностью функций управления рисками, контроля обеспечить реализацию избранной стратегии.
Трансформация СВК актуализирует вопросы, связанные с использованием применением сквозных цифровых технологий, инструментов обработки и анализа цифровых данных, совершенствование технологий внутреннего контроля на основе риск-ориентированного подхода.
В условиях ограниченности ресурсов для обеспечения устойчивого развития в коммерческих организациях растет востребованность инструментов внутреннего контроля, нацеленных на повышение эффективности использования и управления ресурсами. На современном этапе необходим комплексный
подход к построению СВК, что позволит повысить эффективности деятельности хозяйствующих субъектов.
Материалы и методы
Материалами исследования выступают труды зарубежных и российских ученых в изучении внутреннего контроля. В процессе исследования использовался ряд методов научного познания: дедукция, анализ, синтез, обобщение, описание, системный и риск-ориентированный подходы.
Обсуждение
В современных условиях, необходим анализ сложившейся практики применения цифровых технологий во внутреннем контроле и понимание перспектив развития систем внутреннего контроля хозяйствующих субъектов. Использование цифровых технологий способствует развитию методического обеспечения внутреннего контроля на основе риск-ориентированного подхода, что определило актуальность темы.
Цифровые технологии в настоящее время активно используются бизнесом в целях повышения эффективности деятельности. Они оказывают влияние на все элементы СВК. Функционирование устойчивой СВК возможно на основе совершенствования процесса оценки меняющихся рисков, их выявления и анализа, ускорения мониторинга и применения соответствующих контрольных действий, осуществляемых в различных временных срезах.
В таблице 1 представлены основные направления внутреннего контроля, используемые в хозяйствующих субъектах в зависимости от его временной направленности.
Пандемия послужила триггером для широкого использования цифровых технологий в рамках СВК в целях оптимизации решения рутинных задач, осуществления коммуникаций, контрольных действий.
Таблица 1 — Основные направления внутреннего контроля, используемые в хозяйствующих субъектах в зависимости от его временной направленности
Временная направленность внутреннего контроля Направления внутреннего контроля
Прошлое Ретроспективный анализ, выявление тенденций, характерных для будущего, понимание событий, произошедших в прошлом. Ранняя диагностика проблем, рисков, которые могут реализоваться в будущем. Проведение внутреннего аудита, аудита на соответствие, обзоры после действий, такие как анализ реакции на неблагоприятное событие
Настоящее Текущий контроль и выявление вновь возникающих новых рисков, оказывающих влияние на деятельность организации
Будущее В рамках СВК используется прогнозная финансовая и нефинансовая информация, моделирующая предстоящие события, а также последствия уже произошедших событий, которые могут повлиять на реализацию поставленных организацией целей. Использование искусственного интеллекта, прогнозной и предписывающей аналитики позволяет заранее выявлять возникающие риски (например, прогнозная модель, построенная с использованием исторической записи выверки счетов, может прогнозировать будущие отклонения с точностью более 95 %) [11]
Прошлое и настоящее Осуществление надзора, предполагающего контроль за выполнением операций в прошлом и настоящем, оценку рисков и мер реагирования на них, анализ и сверку финансовой и нефинансовой отчетности
На основе изучения актуальных вопросов, рассматриваемых внутренними аудиторами в отношении совершенствования СВК и аудита в рамках ежегодно проходящих национальных кон-
ференций, проводимых Институтом внутренних аудиторов в России, была обобщена практика развития СВК в крупных компаниях на основе цифровых технологий (табл. 2).
Таблица 2 — Обобщение практики развития СВК в крупных компаниях на основе цифровых технологий за 2017-2021 гг. [1, 2, 4, 5]
Организация Используемые цифровые технологии
ПАО «МегаФон» Внедрение GRC (Governance, Risks and Compliance)
SAP GRC CIS Система SAP GRC, применяемая для «управления рисками, выявления хищений, слабых мест, диагностики ошибок и нарушений регламента, мошенничества в бизнес-процессах и включающая «компоненты для диагностики несанкционированного доступа и распределения должностных обязанностей, управления процессами соответствия требованиям регуляторов, налоговых органов и достоверности финансовой отчетности, накопления информации об отклонениях в базе знаний и их классификации по результатам регрессионного анализа и обучение нейронной сети» [1]
ПАО «Аэрофлот» Использование программного обеспечения для управления аудитом SAP Audit Management, ориентированного на оптимизацию процесса аудита, мониторинг исполнения рекомендаций, соблюдение требований МСВА и позволяющего ускорить процесс аудита, повысить его прозрачность, снизить операционные затраты на обеспечение его качества
Юго-Западный банк ПАО «Сбербанк» Использование машинного обучения для сбора ранее неиспользуемых данных, создание «адаптивных систем мониторинга, анализа информационных потоков организации, выявления социальных связей между сотрудниками и клиентами» [1]
Российское отделение ACFE Использование технологий интернета вещей позволяет контролировать действия сотрудников автоматически на основе генерации больших данных (Big Data). Для повышения качества больших данных необходимо исключить сбои в работе оборудования, ошибки в программах
Организация Используемые цифровые технологии
Диджитал Дизайн (Digital Design) Платформенное решение «АВАКОР» как единая автоматизированная информационная система корпоративного контроля, предполагающая создание «единой базы данных знаний/статистики, внутреннего контроля, управления рисками и комплаенс-контроля на основе процессного подхода» [1]
ПАО «Сбербанк» Использование автоматизированных алгоритмов и моделей, заложенных в основу роботизации многих процессов совершения операций с клиентами (например, принятие роботами решений по массовым операциям либо рутинным задачам, требующим большого вовлечения персонала (70 % кредитных решений принимаются автоматически); использование чат-ботов и речевых ассистентов для взаимодействия с клиентами)
ПАО «Ростелеком» Внедрен непрерывный аудит, предполагающий использование цифровых систем аналитики, что позволило повысить качество и своевременность рекомендаций с учетом стратегических скорость рисков, анализа и обработки данных, расширить зона контроля
ПАО «Банк ВТБ» Использование «непрерывного аудита, аналитики, дэшбордов (индикаторы для выявления транзакций с повышенным риском, анализ данных для улучшения методов выборки» [5] и т. п.), методов и инструментов цифрового аудита, что позволило сделать акцент на оценке эффективности бизнес-процессов и поиске решений их оптимизации
ГК «Ростех» Автоматизация проверок и ревизий финансово-хозяйственной деятельности на основе цифровых технологий позволила повысить «скорость, качество и эффективность взаимодействия между внутренним аудитом и заказчиками» [5]
ПАО «Аэрофлот» Использование «непрерывного аудита, внедрение методов анализа и визуализации данных с акцентом на проведение оценки эффективности организации бизнес-процессов, реализующих стратегические цели Группы (стратегический аудит)» [5]
SAS Institute Russia & CIS Использование процессной аналитики (Process Mining) в целях автоматического выявления нарушений и отклонений в бизнес-процессах
Обзор практики применения цифровых технологий в рамках цифровой СВК свидетельствует о широких возможностях в части интерпретации данных и выявленных отклонений в режиме близком к режиму реального времени, что позволяет осуществлять непрерывный аудит и мониторинг. При этом в отношении временной направленности фокус смещается от анализа прошлого и акцента на вторую линию на настоящее и будущее с акцентом на первую линию. При этом упор должен делаться на решение проблем кибербезопасности и контроль и верификацию функционирования моделей и алгоритмов.
Результаты
В числе важнейших проблем при внедрении цифровых технологий в рамках СВК следует выделить: низкий уровень цифровизации, наличие в организации большого количества неинтегриро-ванных информационных систем, ис-
пользование разных программных продуктов для визуализации данных в разных подразделениях, необходимость наличия в организации больших вычислительных мощностей для анализа больших данных, низкий уровень структуризации и систематизации имеющихся в коммерческой организации баз данных, повышенное внимание к вопросам ки-бербезопасности с учетом особенностей внедряемых цифровых технологий.
Исследуем проблемы трансформации основных элементов СВК, выделяемых в соответствии с концепцией COSO в условиях применения сквозных цифровых технологий, и предложим пути их решения.
Первый, важнейший элемент СВК «Контрольная среда» требует создания атмосферы цифрового доверия среди персонала организации, что может быть обеспечено на основе раскрытия этических аспектов применения цифровых
технологий в соответствующих регламентах организации и их последовательного соблюдения. Процессы цифровой трансформации оказывают существенное влияние и на организационную структуру, которая должна учитывать ключевые области полномочий, ответственности и порядок подотчетности. Использование цифровых технологий требует внесение изменений в должностные инструкции, описывающие распределение полномочий и ответственности работников организации. Существенно изменились и требования к знаниям и навыков сотрудников, Важнейшими навыками в настоящее время становятся цифровые навыки. Данный аспект должен найти отражение не только в важнейших регламентах организации, касающихся кадровой политики в отношении набора персонала, требований к нему, обучения и повышения квалификации. Цифровая трансформация СВК предполагает создание кросс-функциональной команды, объединяющей высококвалифицированных специалистов с различными навыками и опытом (внутренние аудиторы, внутренние контролеры, специалисты по управлению рисками, комплаенсу, технические специалисты, аналитики) работает над достижением общей цели организации. Разработанные ранее и уточненные регламенты организации могут быть положены в основу алгоритма для роботизации процессов.
Второй элемент СВК «Оценка рисков» подвержен существенной трансформации в виду того, что применение цифровых технологий несет в себя новые, неизвестные ранее, риски, связанные с кибербезопасностью организации. Комитет организаций-спонсоров Комиссии Тредвея проводит большую работу в данной направлении публикуя на своем сайте следующие руководства, посвященные особенностям применения цифровых технологий: «Реализуйте весь потенциал искусственного интеллекта» (2021 г.) [10]; «Управление рисками
предприятия для облачных вычислений» (2021 г.) [8]; «Блокчейн и внутренний контроль: перспектива COSO» (2020 г.) [9]. В данных руководствах раскрываются возможности применения цифровых технологий в деятельности организаций, их влияние на СВК, а также отмечается появление новых рисков, которые должны быть выявлены и учтены с целью эффективного реагирования на них и максимизации выгод для всех заинтересованных сторон.
Руководства помогают организациям согласовать управление рисками со своей стратегией и реализацией инициатив в области использования цифровых технологий.
Коммерческие организации в условиях цифровой трансформации должны оценивать риски, которые связаны с развертыванием избранных ими цифровых технологий и могут привести к ущербу репутации организации, к штрафам и судебным искам со стороны регулирующих органов. Данный момент свидетельствует о необходимости применения концепции COSO ERM, ориентированной на разработку, внедрение стратегии, структуры управления, управление рисками, реагирование на риски и надзора за ними в целях реализации потенциала внедряемых цифровых технологий.
Повышенные риски, связанные с применением цифровых технологий в рамках СВК, а также внутреннего аудита, проявляются в условиях, когда управленческие решения принимаются на основе моделей и алгоритмов. При этом одна ошибка в них оказывает влияние на весь процесс принятия управленческих решений.
Поскольку ландшафт рисков становится сложным и изменчивым функции по управлению рисками и внутреннему контролю требуют адаптации и обновления. При этом необходимо обратить особое внимание на решение проблемы в отношении качества аналитики, организации мониторинга и полу-
чения информации о риске в режиме близком к режиму реального времени. Использование прогнозной аналитики и сценарного прогнозирования позволит осуществлять оценку и управление рисками в целях достижения поставленных хозяйствующим субъектом целей и создания добавленной стоимости.
Третий элемент СВК «Информация и коммуникация» в условиях цифровой трансформации нацелен на формирование единого информационного пространства. Использование цифровых технологий позволяет усилить контрольную функцию, например, блок-чейн поддерживает целостность записей, обеспечивает их надежность, повышает прозрачность транзакций, открывает новые возможности для осуществления эффективных коммуникаций ключевыми заинтересованными сторонами. Как показывает практика, многие коммерческие организации стремятся создать цифровые платформы для взаимодействия с заинтересованными сторонами (покупателями, поставщиками, акционерами и т. д.), в целях повышения эффективности как коммуникаций, так и деятельности организации в целом. Пандемия стала вызовом и катализатором изменений в глобальных коммуникациях, что не могло отразиться и внутри организации. Данные изменения коснулись как организации работы, взаимодействия сотрудников и всех заинтересованных сторон, вызвали перестройку деятельности компаний и появление новых цифровых сервисов, цифровых платформенных решений и бизнесов.
Совершенствование четвертого элемента СВК «Контрольные действия» связаны с тем, что большинство цифровых технологий открывает широкие возможности, связанные с минимальным вмешательством человека в фиксацию транзакций, их проверку, исключая тем самым человеческий фактор и снижая риски недобросовестных действий. Цифровые технологии открывают широкие возможности и в
части визуализации результатов деятельности организации, результатов проведенных контрольных процедур. При этом отпадает необходимость выборок в ходе проверок.
Эволюционирующая на базе сквозных цифровых технологий СВК предполагает использование распределенных контролирующих устройств, сигнализирующих о наличии отклонений в контролируемых процессах.
В отношении пятого элемента СВК «Мониторинг» использование цифровых технологий означает переход к непрерывному и сплошному мониторингу деятельности организации, поскольку при осуществлении контрольных действий они применяются ко всей совокупности операций. Это позволит обеспечить комплексный и системный подход к разработке рекомендаций по совершенствованию СВК.
Выводы
Цифровая трансформация СВК требует интеграции в организации используемых информационных систем и программных продуктов, наличия больших вычислительных мощностей для анализа больших данных, структуризации и систематизации имеющихся в коммерческой организации баз данных, повышенного внимания к вопросам ки-бербезопасности с учетом особенностей внедряемых цифровых технологий.
Сквозные цифровые технологии позволяют идентифицировать риски, получать информацию в режиме, близком к реальному времени, осуществлять непрерывный и сплошной мониторинг, тем самым повышая устойчивость коммерческой организации на основе про-активного подхода.
Трансформация СВК на основе цифровых технологий позволяет обеспечить всеобъемлющий и комплексный подход, позволяющий перейти к непрерывному аудиту и мониторингу, согласовывать оценку и управление рисками со стратегией, способствует созданию экосистемы внутреннего контроля, ко-
торая обеспечивает взаимодействие участников всех трех линий в соответствии с моделью COSO, и исключает дублирование функций.
Библиографический список
1. Итоги VIII Региональной Конференции Института внутренних аудиторов «Внутренний аудит в России» [Электронный ресурс]. — Режим доступа: https://gaap.ru.
2. Итоги XI Национальной конференции Института внутренних аудиторов [Электронный ресурс]. — Режим доступа: https://bosfera.ru.
3. Макеев, Р. В. Постановка систем внутреннего контроля: от проверок отчетности к эффективности бизнеса. — М., 2008.
4. Результаты XII Национальной конференции Института внутренних аудиторов «Внутренний аудит в России: новое десятилетие» [Электронный ресурс]. — Режим доступа: https://risk academyrus.wordpress.com.
5. Тенденции развития внутреннего аудита: результаты XIII Национальной конференции Института внутренних аудиторов «Внутренний аудит в России» [Электронный ресурс]. — Режим доступа: https://gaap.ru.
6. Управление функцией внутреннего контроля [Электронный ресурс]. — Режим доступа: https://www.pwc.ru.
7. Applying COSO's Framework to Implement and Scale AI [Электронный ресурс]. — Режим доступа: https:// deloitte.wsj.com.
8. Enterprise Risk Management for Cloud Computing [Электронный ресурс]. — Режим доступа: https://www.coso.org.
9. Blockchain and internal control: the COSO perspective [Электронный ресурс]. — Режим доступа: https://www. coso.org.
10. Realize the Full Potential of Artificial Intelligence [Электронный ресурс]. — Режим доступа: https://www. coso^rg.
11. Rubin, S., Huelsman, T., Velayo, J., Berman A., Gaglio J. Petrovski 4 Lines of Sight on Resilient Internal Controls [Электронный ресурс]. — Режим доступа: https://deloitte.wsj.com.
Bibliographic list
1. Results of VIII Regional conference of Institute of Internal Auditors «Internal audit in Russia» [Electronic resource]. — Mode of access: https://gaap.ru.
2. Results of XI National Conference of Institute of Internal audit [Electronic resource]. — Mode of access: https://bosfera.ru.
3. Makeev, R. V. Setting up internal control systems: from reporting checks to business efficiency. — M., 2008.
4. Results of XII National Conference of Institute of Internal Auditors «In-ternal Audit in Russia: a new decade» [Electronic resource]. — Mode of access: https://riskacademyrus.wordpress.comю
5. Trends in development of internal audit: results of XIII National Conference of Institute of Internal Auditors «Internal Audit in Russia» [Electronic resource]. — Mode of access: https://gaap.ru.
6. Management of internal control function [Electronic resource]. — Mode of access: https://www.pwc.ru.
7. Applying COSO's Framework to Implement and Scale AI [Electronic resource]. — Mode of access: https:// deloitte.wsj.com.
8. Enterprise Risk Management for Cloud Computing [Electronic resource]. — Mode of access: https://www. coso.org.
9. Blockchain and internal control: COSO perspective [Electronic resource]. — Mode of access: https:// www.coso.org.
10. Realize the Full Potential of Artificial Intelligence [Electronic resource]. — Mode of access: https:// www.coso.org.
11. Rubin, S., Huelsman, T., Velayo, J., Berman, A., Gaglio, J. Pe-trovski 4 Lines of Sight on Resilient Internal Controls [Electronic resource]. — Mode of access: https://deloitte.wsj.com.
