Введение
Во все времена любая организация, независимо от сектора экономики и сферы деятельности, нуждается в эффективном управлении и контроле за своими ресурсами, выявлении сильных и слабых сторон, а также в разработке плана действий для обеспечения финансовой устойчивости, что особо актуально в условиях цифровой трансформации экономики. Для достижения этих целей нужно учитывать, что деятельность каждой организации подвержена рискам, которые могут нарушить её финансовую устойчивость и повлиять на другие аспекты функционирования. Отметим, что риск представляет собой вероятность возникновения негативных событий, которые могут привести к финансовым потерям и дестабилизации финансовой среды организации. В этой связи развитие риск-ориентированного внутреннего аудита позволит обеспечить систему поддержки финансовой деятельности организации для формирования оптимизационных предложений в отношении ее финансового состояния в интересах ее собственников и (или) государства. Так, внутренний аудит способствует достижению организацией намеченных целей посредством применения методов и подходов, направленных на предотвращение возникновения рисков, а также предоставления рекомендаций по их устранению.
Цель исследования обусловлена популяризацией риск-ориентированного подхода в системе внутреннего контроля (аудита), государственного финансового контроля (аудита), когда возможность предотвратить возможные нарушения и недостатки становится более приоритетной, чем выявить уже свершившиеся негативные факторы. Фактически такой подход характеризуется идентификацией необходимых к реализации контрольных (аудиторских) мероприятий путем заблаговременного определения наиболее рискоемких объектов и предметных областей контроля (аудита). Все это трансформирует базовое понимание содержания контрольных функций, поскольку в настоящее время целевая установка контроля (аудита) любых сфер экономической деятельности заключается не в том, чтобы выявить нарушения и предпринять карательные функции, а заблаговременно их предотвратить путем реализации превентивных мер. Трансформация контрольных (аудиторских) функций также сопровождается процессами цифровизации всех сфер экономики государства (что подтверждено реализацией таких национальных проектов Российской Федерации, как «Цифровая экономика» (до 2030 года); «Экономика данных и цифровая трансформация государства» (новый пакет национальных проектов, введенных в действие с 01.01.2025 г.). Таким образом, контроль (аудит) становится партнерским, реализующим консалтинговые функции. В этой связи в контексте настоящего исследования необходимо не столько изучить организационно-теоретические аспекты реализации риск-ориентированного подхода во внутреннем аудите государственных коммерческих организаций, сколько сформировать рекомендаций по внедрению нового цифрового методического инструментария для повышения эффективности управления рисками в системе внутреннего аудита. Так, целеполагание исследования состоит в том, чтобы определить содержание современного методического инструментария управления рисками во внутреннем аудите и предложить новые цифровые методы, позволяющие оптимизировать существующие процессы реализации аудиторских мероприятий в условиях необходимости достижения стратегических ориентиров государственных коммерческих организаций. Таким образом, необходимо не только обосновать значимость риск-ориентированного подхода, но и предложить новые цифровые подходы к его реализации.
Материалы и методы исследования
Для достижения указанной цели применены основные методы научного познания, аналитические методы, методы научной абстракции, статистические и сравнительные методы обобщения и анализа данных. Информационной базой исследования послужили научная литература, интернет-источники, научные статьи и иные материалы, полученные для проведения исследования по персональным запросам от внутренних аудиторов крупных организаций-членов Института внутренних аудиторов Российской Федерации [14]. Сбор, анализ и обобщение информации о современном методическом инструментарии позволил не только подтвердить не умаляющую актуальность риск-ориентированного подхода во внутреннем аудите, но и предложить в качества научной новизны имплементацию цифровых методов обработки данных, указав сферы их применения во внутреннем аудите государственных коммерческих организаций.
Результаты исследования и их обсуждение
Любая государственная коммерческая организация неизбежно сталкивается с финансовыми и иными рисками, которые могут оказать воздействие на её деятельность: от незначительного до существенно негативного. Одни виды рисков могут приводить к проблемам самостоятельно, в то время как другие проявляются только в совокупности с дополнительными факторами [3]. В обоих случаях такие риски способны оказать негативное влияние на функциональные процессы, что впоследствии затрудняет достижение организацией поставленных целей и задач. Именно поэтому внутренний аудит должен проводиться любой организацией на регулярной основе с установленной периодичностью и трансформироваться под вызовы современной экономики. Сам процесс организации внутреннего аудита является сложным, так как требует строгого соблюдения действующих стандартов, соответствия положениям законодательства, развития инструментально-методического обеспечения, адаптации под меняющиеся условия внешней и внутренней среды [4, 11]. В данном контексте риск-ориентированных подход является приоритетным механизмом реализации внутреннего аудита, поскольку позволяет оптимизировать временные, трудовые ресурсы и сконцентрироваться на наиболее проблемных областях бизнес-процессов государственных коммерческих организаций. Все это позволяет говорить о реализации «риск-ориентированного внутреннего аудита», который должен трансформироваться под меняющиеся экономические условия для обеспечения его оптимизации, охвата более широкого спектра рискоемких направлений деятельности организации, анализа больших данных для идентификации рисков, предприятия мер по их минимизации. В этой связи совершенствование риск-ориентированного внутреннего аудита должно сопровождаться изменениями инструментально-методического характера, при сохранении своей содержательной сути. Поэтому необходимо определить какое современное инструментально-методическое обеспечение управления рисками во внутреннем аудите реализуется государственными коммерческими организациями на сегодняшний день, а также предложить цифровой методический инструментарий и его имплементацию в деятельность риск-ориентированного внутреннего аудита.
Так, с целью выявления основных тенденций в развитии методов и инструментов управления рисками авторами в табл. 1 и табл. 2 обобщены показатели, предоставленные по персональному запросу от директора по внутреннему аудиту, CIA ООО «Ашан», Ирины Долгушевой. По данным CIA, статистические сведения сформированы внутренней информационной системой ООО «Ашан», адаптированной к аналитике больших данных и применению технологий искусственного интеллекта, и представляют собой аналитические результаты упоминаний методического инструментария и видов рисков в публикациях и новостях более чем 98 тыс. СМИ в 2021 и 2024 гг. [14].
Статистика упоминаний методического инструментария внутреннего аудита представлен в табл. 1.
Статистика упоминаний видов рисков во внутреннем представлен в табл. 2.
Таблица 1
Количество упоминаний методического инструментария внутреннего аудита
|
Категория |
Упоминания в 2021 г., ед. |
Упоминания в 2024 г., ед. |
Рост, % |
Соотношение (2024/2021) |
|
Автоматизация процессов внутреннего аудита |
3 |
47 |
1467% |
15,7 |
|
Карта гарантий |
49 |
665 |
1257% |
13,6 |
|
Матрица рисков и контролей |
2 |
4 |
100% |
2,0 |
|
Процессная аналитика или Process Mining |
1114 |
2014 |
81% |
1,8 |
|
GRC |
337 |
466 |
38% |
1,4 |
|
Непрерывный аудит |
33 |
34 |
3% |
1,0 |
|
Риск-ориентированный подход |
12419 |
9867 |
-21% |
0,8 |
Источник: составлено авторами на основе данных, предоставленных по персональному запросу от директора по внутреннему аудиту, CIA ООО «Ашан», Ирины Долгушевой [14].
Таблица 2
Количество упоминаний рисков, исследуемых внутренним аудитом
|
Категория |
Упоминания в 2021 г., ед. |
Упоминания в 2024 г., ед. |
Рост, % |
Соотношение (2024/2021) |
|
Стратегические риски |
523 |
1626 |
211% |
3,1 |
|
Риски искажения финансовой отчетности |
3 |
8 |
167% |
2,7 |
|
Комплаенс риски |
390 |
643 |
65% |
1,6 |
|
Риски злоупотреблений |
5999 |
7446 |
24% |
1,2 |
|
Операционные риски |
2865 |
3543 |
24% |
1,2 |
|
Кибер-риски |
472 |
476 |
1% |
1,0 |
Источник: составлено авторами на основе данных, предоставленных по персональному запросу от директора по внутреннему аудиту, CIA ООО «Ашан», Ирины Долгушевой [14].
Отметим, что в фокусе внимания остаются риски злоупотреблений и операционные риски, но значительно возрастает интерес к стратегическим рискам [8]. Следовательно, расширяется сфера деятельности внутреннего аудита, что также определяет необходимость развития его цифрового методического инструментария. По результатам анализа видно, что в 2024 году тематика оценки рисков в рамках внутреннего аудита привлекает больше внимания в СМИ, особенно заметен рост интереса к таким понятиям, как автоматизация процессов внутреннего аудита; карта гарантий; матрица рисков и контролей; процессная аналитика. Однако на фоне этих трендов остаётся востребованным и риск-ориентированный подход, который занимает лидирующую позицию, несмотря на снижение популярности на 21%. Таким образом, представленные в табл. 1, табл. 2 данные отражают динамику развития профессиональной сферы и акцент на внедрение современных цифровых инструментов в практику внутреннего аудита и, несмотря на уменьшение упоминаний риск-ориентированного подхода, он не теряет своей значимости, поскольку упоминания различных видов рисков во внутреннем аудите характеризуются существенным ростом, а значит и актуальность и необходимость применения методов управления ими не уменьшается, а, напротив, требует внедрения новых технологий.
Так рассмотрим элементы современного методического инструментария риск-ориентированного внутреннего аудита более подробно, определив причины его не уменьшающейся значимости в силу функционального назначения по:
- идентификации, оценке наиболее рискоемких бизнес-процессов и процедур, выявлению и анализу причин и последствий возникающих рисков;
- созданию и внесению изменений в план аудиторских мероприятий;
- формированию предложений по минимизации рисков;
- анализу степени финансовой устойчивости и безопасности организации и другое.
Все это позволяет говорить о том, что риск-ориентированный внутренний аудит должен быть основан на гибкой и динамичной системе оценки рисков, в которой, по своей сути, объем аудиторской деятельности напрямую зависит от уровня выявленных рисков, а планирование аудиторских мероприятий осуществляется с акцентом на анализ и приоритизацию рисков, что позволяет сосредоточить усилия на наиболее критичных областях и минимизировать возможные негативные последствия для организации [6,7].
Так одним из наиболее применяемых инструментов реализации риск-ориентированного подхода во внутреннем аудите является матрица рисков, позволяющая оценить уровень риска на основании его вероятности и степени воздействия. Например, при выявлении соотношения «высокая степень воздействия / низкая вероятность», можно говорить об умеренности рисков и необходимости планирования мероприятий по выборочным предметным областям аудита; при соотношении «высокая степень воздействия / высокая вероятность» – существенные риски, требующие принятия мер по их снижению и включению от 80 до 100% предметных областей в план аудиторских мероприятий и т.д. [13]. В научной литературе также подробно описывается применение матрицы рисков в целях внутреннего аудита [1,2,9,10,12]. Обобщая такие подходы, определим общие этапы ее применения.
Таблица 3
Цифровой методический инструментарий внутреннего аудита
|
Цифровой методический инструментарий |
Содержание |
|
Технологии Big Data |
- позволяют выявлять скрытые риски; - позволяют прогнозировать рискоемкие объекты; - позволяют идентифицировать закономерности, которые сложно выявить иными методами. |
|
Искусственный интеллект и методы машинного обучения |
- позволяют автоматизировать анализ больших данных; - позволяют автоматизировать однотипные процессы; - позволяют формировать рекомендации на основе анализа ретроспективных фактов. |
|
Роботизированная автоматизация процессов (RPA) |
- позволяет автоматизировать однотипные процессы. |
|
Облачные технологии |
- позволяют обеспечить доступ к информационным данным в режиме реального времени; - позволяют повысить прозрачность и ускорить взаимодействие между подразделениями экономического субъекта. |
|
Process Mining |
- позволяет анализировать и оценивать процессы через призму теоретических моделей; - позволяет анализировать выполнение профессиональных задач в режиме реального времени. |
Источник: составлено авторами.
1. Идентификация и классификация рисков. На первом этапе осуществляется группировка рисков по категориям (стратегические, операционные, финансовые, технологические). Каждый риск оценивается с точки зрения вероятности возникновения и потенциального воздействия.
2. Определение контрольных механизмов. Для каждого значимого риска разрабатываются и внедряются соответствующие контрольные механизмы, включающие нормативные политики, процедуры, а также механизмы проверки и мониторинга.
3. Оценка соответствия и анализ остаточных рисков. На данном этапе проводится проверка рисков на соответствие установленным стандартам и регламентам. Кроме того, анализируются остаточные риски – те, которые сохраняются даже после применения контрольных механизмов.
4. Сопоставление остаточных рисков с допустимым уровнем. Если уровень остаточного риска превышает установленное допустимое значение, разрабатываются дополнительные меры управления либо корректируются существующие контрольные процедуры.
5. Мониторинг и пересмотр. Завершающий этап включает постоянный мониторинг эффективности контрольных процедур и своевременную адаптацию механизмов управления в соответствии с изменениями во внутренней или внешней среде организации.
Другим методическим инструментарием, применяемым в современных условиях является «карта гарантий», которая помогает визуализировать риски и рискоемкие направления для реализации их мониторинга, позволяет выявлять потенциальные проблемы на разных уровнях управления и сферах деятельности организации. В ходе разработки карты гарантий определяются критерии классификации «поставщиков» гарантий, формируются шаблоны и инструменты оценки системы внутреннего контроля. Положительными факторами формирования карты гарантий выступают следующие положения: упрощается процесс управления рисками; поддерживается согласованность между 3-мя линиями риск-менеджмента; реализуется сосредоточение усилий на ключевых рисках и участках, требующих особого внимания за счет структурированного подхода.
Также среди современного методического инструментария отметим не теряющие своей актуальности качественные и количественные аналитические методы оценки и управления рисками. Среди них SWOT-анализ, метод экспертных оценок, метод аналогий, анализ чувствительности, анализ сценариев, формирование дерева решений, методы теории игр, метод Монте-Карло и другие, при реализации которых важно обеспечить оптимизацию баланса между превентивными и детективными мерами реагирования на риски. Риск-ориентированный внутренний аудит в данном случае на первый план выводит превентивные меры, такие как автоматизация процессов и использование современных систем управления (например, ERP), направленные на предотвращение возникновения ошибок, что более эффективно, чем выявление их на поздних стадиях.
Несмотря на важность и доказанную эффективность представленного методического инструментария, важными остаются вопросы оптимизации процессов управления рисками во внутреннем аудите. В этой связи предложим новый цифровой методический инструментарий, способный минимизировать ряд рутинных процессов и временных издержек, а также приведем сферы и функции, в рамках которых возможно его применение в риск-ориентированном внутреннем аудите (табл. 3).
Исходя из сведений, представленных в табл. 3, можно сделать вывод, что такие подходы позволяют охватит больший периметр бизнес-процессов и информационных источников для выявления рискоемких направлений деятельности государственной коммерческой организации, при этом не затратив большой массив времени. В этой связи развитие риск-ориентированного внутреннего аудита целесообразно с точки зрения внедрения цифрового инструментария, что, в свою очередь, определяет и необходимость уделения особого внимания возникающим IT-рискам при реализации аудиторских мероприятий.
Таким образом, развитие риск-ориентированного внутреннего аудита не теряет своей значимости для оценки и минимизации потенциальных угроз внешней и внутренней среды и их влияния на операционные и стратегические процессы государственных коммерческих организаций в условиях цифровой трансформации экономики. Расширение методического инструментария риск-ориентированного внутреннего аудита путем применения цифровых подходов помогает не только сконцентрировать ресурсы на наиболее уязвимых и важных областях деятельности, увеличивая точность, целесообразность и своевременность управленческих решений, но и оптимизировать временные издержки, перевести рутинные процессы в автоматизированную электронную среду. Поэтому важным элементом является включение в систему управления рисками цифровых технологий и аналитических инструментов, способных ускорить обработку и анализ огромных объемов данных, повышать качество прогнозирования рисков [5]. В этой связи необходимо отметить, что в быстроменяющемся мире, где условия неопределенности являются постоянными, эффективная система управления рисками играет важную роль в обеспечении устойчивого роста в цифровой экономике, конкурентоспособности и финансовой стабильности государственной коммерческой организации.
Статья подготовлена по результатам научно-исследовательской работы в рамках временного творческого студенческого коллектива №234 по теме: «Развитие новых методов внутреннего финансового аудита в государственном секторе» Финансового университета при Правительстве Российской Федерации.