Точка зрения / июнь 2018

Цифровая трансформация бизнеса невозможна без полноценного ИТ-аудита

Максим Мамонов, директор по внутреннему контролю и аудиту МТС
© ComNews
07.06.2018

Российские компании активно развивают собственные службы контроля и аудита. Исследование состояния и тенденций развития внутреннего аудита в России, проведенное Институтом внутренних аудиторов и компанией КПМГ в конце 2017 года, выявило такие интересные тенденции, как укрепление значимости служб внутреннего аудита и их независимости в системе корпоративного управления, а также усиление позиции подразделений, отвечающих за аудит ИТ-систем.

Директор по внутреннему контролю и аудиту МТС Максим Мамонов рассказал корреспонденту ComNews о роли его подразделения в телекоммуникационном бизнесе и о своём видении службы контроля и аудита в работе крупных российских компаний.

- Скажите, насколько востребован внутренний контроль и аудит в российских реалиях? Как он помогает в деятельности компании? Не слишком ли обременительно для бизнеса содержание служб внутреннего аудита?

В современном бизнесе усложняются процессы, на него прямо или косвенно оказывают влияние различные внешние и внутренние обстоятельства. Нужно принимать в расчет множество рисков, так как цена ошибки при управлении большой компанией слишком велика. Возникает потребность во внутреннем аудите, который является объективным, независимым источником информации о работе компании, помогает руководству принимать верные решения и достигать поставленных целей. Без нашей службы трудно было бы осуществлять стратегию, понимать, где мы и куда движемся, получать обратную связь и своевременно корректировать курс. Принимая во внимание эти преимущества, все больше российских компаний организуют собственные службы внутреннего аудита.

Если говорить применительно к нашей компании и масштабу ее деятельности, то затраты на содержание достаточно компактного подразделения, которое оценивает и "страхует" бизнес, ничтожны по сравнению с очевидными выгодами. Особенно важен внутренний аудит для такой географически разветвленной компании, как МТС. Она ведет деятельность по всей стране и имеет во всех регионах свои филиалы, где местное руководство принимает самостоятельные решения. В таких условиях корпоративному центру нужна достоверная информация о деятельности региональных подразделений для их контроля и оценки принятых ими решений.

 - Расскажите об организации и структуре службы контроля и аудита вашей компании. Какую отраслевую специфику имеет ваша деятельность?

- В нашей компании изначально существовали два независимых друг от друга подразделения - департамент внутреннего аудита и департамент контроля. Затем пришло понимание, что функции и задачи этих подразделений во многом совпадают. В 2013 году было принято решение объединить их в единый блок. Со временем поставленные перед нами задачи усложнялись. Соответственно, рос наш функционал и сферы ответственности.

Возникла необходимость в развитии и совершенствовании методологии внутреннего аудита и координации работы наших региональных служб. Появились такие направления в деятельности нашего подразделения, как оценка рисков, аудит корпоративных функций, ИТ-аудит.

В последнем пункте - ответ на ваш вопрос про отраслевую специфику. Работу оператора связи невозможно представить без сложных ИТ-систем. Поддержание на должном техническом уровне всей ИТ-инфраструктуры - критически важная для нас задача. Тем более что мировая тенденция развития телеком-компаний смещается в сторону цифровизации их бизнеса. И мы лидируем в этом процессе в России. МТС отходит от модели классического телеком-оператора, активно проводя цифровую трансформацию. И это приносит свои плоды: уже сегодня компания может самостоятельно разрабатывать и поддерживать основную часть программно-аппаратных средств для поддержки операционной деятельности и развития новых направлений бизнеса. Поэтому эффективное и безопасное использование информационных технологий становится одним из основных направлений ИТ-аудита. Например, обеспечение кибербезопасности - один из приоритетных проектов в нашем плане аудитов 2018 года. Таким образом менеджмент получает независимое мнение аудиторов о том, как компания может успешно развиваться в условиях цифровизации бизнеса.

- Что входит в задачи ИТ-аудита?

Важность проведения ИТ-аудитов трудно переоценить. В нашем "цифровом" бизнесе ИТ-аудит - единственный независимый способ продиагностировать ИТ-системы, понять и оценить риски, связанные с ИТ, а также получить представление о том, как можно улучшить бизнес-процессы.

В ходе ИТ-аудита оцениваются многие факторы. Основные из них - процессы планирования и организации работы ИТ-подразделений, разработки программного обеспечения, эксплуатации и обслуживания ИТ-инфраструктуры; архитектура информационных систем и их построение; методы и механизмы обеспечения информационной безопасности; процесс управления непрерывностью бизнеса и планы восстановления ИТ-систем. Все это предъявляет высокие требования к профессионализму, знаниям и кругозору специалистов, занимающихся ИТ-аудитом.

- Вы упомянули про независимость подразделений внутреннего аудита. Как она достигается?

Результатами внутреннего аудита пользуется руководство компании, однако сама служба внутреннего аудита должна быть независимой от подразделений, которые она контролирует. В нашем случае Блок внутреннего контроля и аудита МТС подотчетен совету директоров. Только так на организационном уровне можно обеспечить независимость от исполнительного руководства, что является основой объективности внутреннего аудита. Эту важную тенденцию выявило проведенное Институтом внутренних аудиторов и компанией КПМГ исследование: все чаще российские компании переподчиняют функции внутреннего аудита компаний совету директоров (прим.: Согласно данным исследования, доля российских компаний, в которых служба внутреннего аудита функционально подчиняется совету директоров/комитету по аудиту, выросла до 81%).

- Какие бы тенденции вы еще отметили? Согласны ли вы с выводами совместного исследования Института внутренних аудиторов и КПМГ за 2017 год? Что нужно сделать для повышения эффективности служб внутреннего аудита?

Кроме повышения степени независимости внутреннего аудита, есть еще одна тенденция последних лет, которая подмечена в исследовании: мы в меньшей степени несем прямые контрольно-ревизионные функции и чаще используем риск-ориентированный подход, когда оценивается вероятность и градация рисков, их возможные последствия. Такой метод повышает защищенность компании, позволяет избегать неблагоприятных ситуаций и выстраивать бизнес-процессы более оптимально. С этим выводом исследования Института внутренних аудиторов и КПМГ мы полностью согласны, так как внедрили этот подход в нашу деятельность. И если говорить в целом об исследовании, то большинство его выводов подтверждается нашей практикой. 

Другой важный момент в нашей работе - мало выявить недостатки, оценить и спрогнозировать риски.  Крайне важно выстроить действенные механизмы для внедрения в бизнес-процессы рекомендаций внутренних аудиторов, а также систему контроля за их качественным исполнением. Это наша первостепенная задача, с которой мы эффективно справляемся.

Ну, и наконец аудит аудитов. Необходимо регулярно, раз в несколько лет, проходить внешнюю независимую оценку службы внутреннего аудита. Предпоследняя оценка проводилась у нас пять лет назад. Недавно мы вновь "сверили часы" - в марте 2018 года независимая аудиторская компания из BIG4 завершила оценку качества деятельности Блока внутреннего контроля и аудита нашей компании. По итогам этой работы деятельность нашего подразделения признана соответствующей Международным профессиональным стандартам внутреннего аудита и Кодексу этики Института внутренних аудиторов. Как показали высокие результаты оценки, по ряду ключевых направлений мы заняли не только лидирующие позиции, но соответствуем мировым стандартам качества в части постановки целей и выполнения задач, выстраивания коммуникаций, а также организации работы и статуса службы внутреннего аудита.