Page 1

grc REVIEW

ISSN 2631-9624

ИЮНЬ / 2019 № 4

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ КАК СОТРУДНИК. ВЫГОДЫ И РИСКИ КАК МНЕНИЕ РАБОТНИКОВ О ЗАРПЛАТЕ РУКОВОДСТВА ВЛИЯЕТ НА ПРОИЗВОДИТЕЛЬНОСТЬ КОМПАНИИ

10 ТРЕНДОВ ВНУТРЕННЕГО АУДИТА 2019-ГО ГОДА 1


2


О МАТЕРИАЛАХ GRC REVIEW И ИХ ИСПОЛЬЗОВАНИИ

GRC Review выходит ежеквартально (раз в квартал) и распространяется бесплатно среди подписчиков журнала. Мнения, выраженные в публикациях, не должны считаться официальным мнением Bizeducate ltd. или личными мнениями членов редакционного совета GRC Review. Статьи публикуются на добровольной основе. Издатели или авторы не несут ответственности за ущерб, причинённый любому лицу, действующему или воздерживающемуся от действия, в результате любых выраженных в статьях мнений. Все права защищены в отношении всех статей, рисунков, фотографий и т.д., опубликованных GRC Review в любой точке мира. Воспроизведение, копирование, извлечение или перераспределение любыми средствами всей или части наших публикаций возможно с обязательной ссылкой на источник.

НАД НОМЕРОМ РАБОТАЛИ: ГЛАВНЫЙ РЕДАКТОР

Арман Касым

РЕДАКТОР-КОРРЕКТОР

Татьяна Корень

ДИЗАЙН, ВЕРСТКА

Алена Смирнова

3


СОДЕРЖАНИЕ 6

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ КАК СОТРУДНИК. ВЫГОДЫ И РИСКИ Искусственный интеллект продолжает рассматриваться как с позитивных, так и негативных точек зрения. Некоторые ученые даже относят его к оружию, воспринимая данные и контент как инновационные боеприпасы. Иные исследователи придерживаются точки зрения, что именно разработки в данной сфере характеризуют информационное общество, которое способно заменить индустриальную цивилизацию. Экономисты высказывают также мнение о том, что развитие цифровых технологий стало толчком к формированию «виртуальной автономной экономики», основанной на искусственном интеллекте. Он функционирует на базе виртуальных алгоритмов, которые способны выполнять сложнейшие задачи.

10

КАК МНЕНИЕ РАБОТНИКОВ О ЗАРПЛАТЕ РУКОВОДСТВА ВЛИЯЕТ НА ПРОИЗВОДИТЕЛЬНОСТЬ КОМПАНИИ? Неудивительно, что руководители компаний зарабатывают больше денег, чем работники более низкого уровня. Но если несоответствие в оплате труда генерального директора и рядового сотрудника воспринимается как несправедливое, результатом может быть не только недовольство коллег: не исключено, что снизится производительность компании.

16

10 ТРЕНДОВ ВНУТРЕННЕГО АУДИТА 2019-ГО ГОДА Опрос руководителей по всему миру, проведенный Deloitte в 2018 году, выявил важный тренд в сфере внутреннего аудита. Группы внутреннего аудита с наибольшим воздействием и влиянием в своих организациях, как правило, наиболее восприимчивы к инновациям. Не довольствуясь привычными способами работы, они учатся обеспечивать гарантии, консультировать и прогнозировать риски для заинтересованных сторон в случае необходимости. При этом используют любые новые методы и технологии, которые для этого требуются. А это - единственный способ для внутреннего аудита выполнить свою миссию и сохранить актуальность в процессе развития организации.

4


24

КАК СИСТЕМЫ СТИМУЛОВ ВЛИЯЮТ НА РЕЗУЛЬТАТЫ АУДИТА? Британская компания Carillion, работавшая в сфере строительства на коммерческих контрактах, была принудительно ликвидирована в начале 2018 года. Через год настал черёд сети кондитерских Valerie. Согласно их последним годовым финансовым отчётам, обе компании были прибыльными, и обе сообщили о росте прибыли и росте продаж.

30

КАК СОЦИАЛЬНАЯ ОТВЕТСТВЕННОСТЬ КОМПАНИИ ВОЗДЕЙСТВУЕТ НА ЕЕ РЫНОЧНУЮ СТОИМОСТЬ? Впервые выявлена связь между общественным мнением о компании и тем, как эта компания оценивается на рынке. Результаты исследования важны как для инвесторов, которые ищут недооцененные социально ответственные компании, так и для компаний, которые считают, что их усилия по обеспечению устойчивости недостаточно оценены на рынке.

34

5 РАСПРОСТРАНЕННЫХ ПРОБЛЕМ СЕТЕВОЙ БЕЗОПАСНОСТИ Многие компании страдают от многочисленных проблем сетевой безопасности, даже не осознавая этого. Худшие последствия: если эти проблемы не решаются, злоумышленники могут получить возможность взломать систему безопасности компании для кражи данных и нанесения ущерба в целом. Рассказать обо всех потенциальных проблемах в одной статье невозможно. Поэтому мы рассмотрим некоторые наиболее распространённые проблемы безопасности сети и способы их решения. Будьте во всеоружии.

5


ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ КАК СОТРУДНИК. ВЫГОДЫ И РИСКИ Искусственный интеллект продолжает рассматриваться как с позитивных, так и негативных точек зрения. Некоторые ученые даже относят его к оружию, воспринимая данные и контент как инновационные боеприпасы. Иные исследователи придерживаются точки зрения, что именно изыскания в данной сфере характеризуют информационное общество, которое способно заменить индустриальную цивилизацию. Экономисты высказывают также мнение о том, что развитие цифровых технологий стало толчком к формированию «виртуальной автономной экономики», основанной на искусственном интеллекте. Он функционирует на базе виртуальных алгоритмов, которые способны выполнять сложнейшие задачи.

6


Как данная новация адаптируется к трансформационному обществу и экономическим процессам? Превалируют точки зрения, которые обоснованно утверждают, что искусственный интеллект способствует принятию эффективных инновационных решений. Технологические прорывы всегда создавали новые возможности для бизнеса. Искусственный интеллект реформирует способ взаимодействия людей с информационными технологиями, брендами и услугами, однако, перед этим мы увидим изменения в самом подходе к бизнесу. Глобальные процессы в мировой экономике требуют пересмотра традиционных взглядов на формирование систем и структур управления деятельностью компании в контексте внедрения инновационных компонентов, а именно – искусственного интеллекта. Уже сейчас фирмы предлагают программные платформы, которые обещают автоматизировать рутинные задачи и улучшить эффективность выявления внутреннего мошенничества, усовершенствовать протоколы по борьбе с отмыванием денежных средств, откорректировать процессы «комплаенс-контроля» и проработать концепт «знай своего клиента» (KYC), максимально препятствуя незаконным действиям с денежными средствами. Одной из наиболее перспективных областей остается выявление искусственным интеллектом схем коррупции и взяточничества. Вместо того чтобы полагаться на громоздкие периодические проверки, данная новая методология позволит поднадзорным алгоритмам сравнивать текущие правила и результаты расследования для внесения рекомендуемых изменений. Такой процесс непрерывно функционирует в фоновом режиме, и по мере выполнения контролируемых алгоритмов, их неопределенность уменьшается. Это вносит большую конкретику в искомые позиции рисков и улучшает эффективность искусственного интеллекта в данной сфере. Мировая практика показывает: поведенческая аналитика в сочетании с искусственным интеллектом улучшает антикоррупционные программы комплаенса, и, как следствие, компания работает более эффективно. Такие ал-

"ОДНОЙ ИЗ НАИБОЛЕЕ ПЕРСПЕКТИВНЫХ ОБЛАСТЕЙ ОСТАЕТСЯ ВЫЯВЛЕНИЕ ИСКУССТВЕННЫМ ИНТЕЛЛЕКТОМ СХЕМ КОРРУПЦИИ И ВЗЯТОЧНИЧЕСТВА" горитмически урегулированные и отслеживаемые процессы позволяют организации более тщательно прогнозировать свои общие расходы в будущем и искоренять взяточничество на этапе его становления. Многие крупные компании и холдинги уже используют такие алгоритмы с максимальной интенсивностью. После того, как компания HSBC Holdings Plc была вынуждена выплатить рекордные штрафы в размере 1,9 млрд. долл. США за различные недостатки в сфере KYC, она привлекла фирму для разработки модели искусственного интеллекта и последующего его внедрения в систему мониторинга транзакций компании. В результате, применяя искусственный интеллект, HSBC сократил расходы без увеличения риска на 20 %. Компании Facebook, IBM и другие начинают внедрять искусственный интеллект при найме кадров, что является безусловным выходом за рамки простого сканирования ландшафта социальных сетей из постов, твитов и тому подобного. Эти компании используют алгоритмы анализа выражения лица и выбора слов во время интервью. Стоит рассмотреть и риски внедрения искусственного интеллекта в деятельность компании. Так, еще в первой половине ХХ века английский экономист Мейнард Кейнс прогнозировал стремительное развитие существующих проблем бизнеса и ограничения доступа к ресурсам, прежде всего, к рабочим местам к 2030 году, и применил к этому явлению термин

7


«технологическая безработица». По мнению современных ученых, мир уже достиг «точки Кейнса» в связи с замещением человеческих ресурсов искусственным интеллектом. Новая экономическая трансформация, связанная с использованием искусственного интеллекта, грозит исчезновением многих профессий в тех областях, где роботы смогут выполнять поставленные задачи более точно, быстро и качественно, как, например, в сфере экономического прогнозирования. По данным Отчета международной консалтинговой компании McKinsey & Company, количество лиц, которым придется менять свои профессиональные навыки под влиянием процессов автоматизации, по разным сценариям может достичь от 75 до 375 млн человек к 2030 году. По оценкам международной сети консалтинговых и аудиторских компаний PricewaterhouseCoopers (PwC), ВВП Великобритании будет на 10,3 % выше в 2030 году из-за производительности, основанной на искусственном интеллекте. В прошлом году правительство Великобритании запустило свою стратегию для сектора искусственного интеллекта, стремясь сделать Великобританию мировым лидером. Среди поставленных задач - увеличить объем исследований и разработок до 2,4% ВВП до 2027 года и инвестировать 1 млрд фунтов стерлингов в цифровую инфраструктуру. Компании, использующие искусственный интеллект, выявили взаимосвязь между их технологиями и созданием новых рабочих мест. По результатам исследований консалтинговой фирмы Deloitte, в результате внедрения автоматизации в Великобритании ликвидировано около 800 рабочих мест для низкоквалифицированных работников, и вместо того, создано 350 тысяч новых вакансий, заработная плата для которых существенно увеличилась. Несмотря на риск минимизации участия человека в процессах и алгоритмах искусственного интеллекта, позитивная составляющая его использования в деятельности компаний преобладает. Об этом свидетельствует практика ведущих стран мира. Инновационная технология искусственного интеллекта сложна и многогранна, не лишена проблем, неточностей и «подводных камней».

8

"ИННОВАЦИОННАЯ ТЕХНОЛОГИЯ НЕ ПРИВЕДЕТ К ПОЛНОЙ АВТОМАТИЗАЦИИ БИЗНЕСА И ЗАПОЛНЕНИЮ КОМПАНИЙ РОБОТОТЕХНИКОЙ, А НАПРОТИВ, ПОЗВОЛИТ ИСПОЛЬЗОВАТЬ ТЕХНОЛОГИИ ДЛЯ ПРИНЯТИЯ РЕШЕНИЙ, КОТОРЫЕ СЕГОДНЯ ТРЕБУЮТ БОЛЬШОГО КОЛИЧЕСТВА ЧЕЛОВЕЧЕСКИХ РЕСУРСОВ"

Несмотря на все её преимущества и недостатки, экономический эффект от воздействия искусственного интеллекта все более очевиден, а масштабы его использования будут стремительно расти по всему миру, формируя «единоэкономический глобализованный тренд». По оценкам PWC, к 2030 году искусственный интеллект может увеличить мировой ВВП до 15,7 трлн долларов США. При этом понятно, что в разработку и использование искусственного интеллекта в равной степени вовлечены различные страны, в связи с чем в долгосрочной перспективе экономические выгоды от его использования в интересах Китая, стран Северной Америки и Южной Европы будут распределяться неравномерно.


На постсоветском пространстве инновационные технологии находятся на заре своего становления, привлекая внимание общественности весьма фрагментарно. Многие компании, практически не рассматривая позитивный опыт экономически развитых стран в данной сфере, весьма критично относятся к внедрению новых систем и обеспокоены перспективой скорой интеграции искусственного интеллекта в деятельность компаний. Главный посыл, который так и остается неуслышанным: инновационная технология не приведет к полной автоматизации бизнеса и заполнению компаний робототехникой, как ее воспринимают на просторах стран СНГ, а напротив, позволит использовать технологии для принятия решений, которые сегодня требуют большого количества человеческих ресурсов. Безусловно, поставленные машинам четкие, на основе детально проработанных алгоритмов, управленческие задачи смогут реализоваться более точно, быстро и с меньшими затратами, тем самым переориентируя человеческий ресурс. На данном этапе экономисты и эксперты стран СНГ не достигли единого понимания даже в ключевых понятиях экономической безопасности компаний. Не систематизированы

виды угроз, не проанализированы современные риски бизнес-окружения в контексте экономической безопасности предприятия. Ненадлежащим образом изучен зарубежный практический опыт и теории управления экономической безопасностью, комплексной системы риск-менеджмента и тому подобное. Необходимы дальнейшие исследования данной тематики, особенно в контексте развития информационных технологий и внедрения искусственного интеллекта. Использование искусственного интеллекта в деятельности компании несет в себе как преимущества, так и угрозы, требует от современной экономической парадигмы готовности ко всем вызовам процессов цифровизации, быстрой переориентации на использование креативных способностей человека и создание условий для качественной трансформации образования и рынка труда. Кроме того, использование искусственного интеллекта приведет к положительным результатам в сфере предотвращения финансовых махинаций лишь в том случае, если компании будут ставить роботам детальные задания. Иначе они окажутся неспособными выполнять поставленные цели в условиях неопределенности.

9


КАК МНЕНИЕ РАБОТНИКОВ О ЗАРПЛАТЕ РУКОВОДСТВА ВЛИЯЕТ НА ПРОИЗВОДИТЕЛЬНОСТЬ КОМПАНИИ? Неудивительно, что руководители компаний зарабатывают больше денег, чем работники более низкого уровня. Но если несоответствие в оплате труда генерального директора и рядового сотрудника воспринимается как несправедливое, результатом может быть не только недовольство сотрудников: не исключено, что снизится производительность компании.

10


Разница между крупными суммами, которые получают генеральные директора, и средней заработной платой сотрудников, приобрела ещё большее значение в 2018 году в США. Тогда государственные организации этой страны впервые получили полномочия раскрывать соотношение зарплат генеральных директоров и сотрудников. Профессор Гарвардской школы бизнеса Этан Руан предупреждает: если такая щекотливая информация не будет донесена в надлежащем контексте, она может вызвать негативную реакцию работников и нанести ущерб производительности. «Когда вы услышите, сколько зарабатывает генеральный директор, то, наверняка, возмутитесь. Сотрудники будут реагировать очень эмоционально, - убежден Руан. - Поэтому, каждая компания, которая собирается раскрывать эти цифры, должна их прокомментировать и дать взвешенный ответ, оправдывающий неравенство в оплате». В сущности, согласно исследованию, компании могут процветать, если выплачивают своим работникам достойную зарплату – и сталкиваться с большими трудностями, если они этого не делают. Обида ведёт к негативной реакции сотрудников Итоги исследований Руана добавляют новый уровень понимания предыдущих исследований влияния неравенства в оплате труда на результаты деятельности компании, которые дали неоднозначные данные. Некоторые исследования подтверждают экономическую идею, известную как Теория соревнования. Суть идеи такова: по мере увеличения различий в оплате труда для разных уровней работы ценность получения повышения также возрастает, что побуждает сотрудников прилагать больше усилий. «Сотрудники принимают рабочие решения на основании того, сколько платят им, и сколько платят окружающим, - акцентиру-

"ПО МЕРЕ УВЕЛИЧЕНИЯ РАЗЛИЧИЙ В ОПЛАТЕ ТРУДА ДЛЯ РАЗНЫХ УРОВНЕЙ РАБОТЫ ЦЕННОСТЬ ПОЛУЧЕНИЯ ПОВЫШЕНИЯ ТАКЖЕ ВОЗРАСТАЕТ" ет Этан Руан. - Если человек, который выше меня по должности, зарабатывает намного больше, чем я, но я чувствую, что могу работать больше и получить повышение и соответствующую зарплату, я получу мотивацию и буду делать это». Другие исследователи поддержали концепцию теории справедливости, которая гласит, что неравенство в оплате труда порождает чувство несправедливости, заставляя низкооплачиваемых сотрудников отказываться от выполнения своих обязанностей или увольняться с работы. Иначе говоря, объясняет Руан, если сотрудники чувствуют, что их тяжёлая работа не вознаграждается, «неравенство в оплате вызовет негодование». Экономические факторы и доля неравенства Руан считает, что данные более ранних исследований не дают результатов, поскольку они не учитывают то, как определяются вознаграждения генерального директора и сотрудников. По сути, они игнорируют причины различий в оплате труда, что может повлиять на восприятие разрыва работниками. Руан намеревался исследовать факторы на практике. Он получил данные из Бюро статистики труда США по 931 фирме (индекс S&P 1500) с 2006 по 2013 год, включая

11


общую компенсацию работникам и состав рабочей силы. Эксперт обнаружил, что генеральные директора, участвовавшие в исследовании, в среднем за год получали 5,8 млн долларов, в то время как средний сотрудник зарабатывал 42 000 долларов, и определяли соотношение между вознаграждением руководителей и средней заработной платой. Он также предложил использовать понятие «экономического соотношения зарплаты», которое основано: ▶на экономических факторах, влияющих как на оплату труда генерального директора, так и на оплату труда сотрудников (производительность труда и характеристики рынка труда); ▶на «необъяснимом соотношении оплаты труда» - доле неравенства в зарплате, не зависящей от экономических факторов. Затем Руан изучил, как эти показатели неравенства в оплате труда влияют на деятельность фирмы в будущем. Аналитика оказалась не в пользу компаний с несоразмерно высоким необъяснимым соотношением оплаты. Производительность таких фирм упала почти вдвое по сравнению с их отраслевыми конкурентами, которые имели низкий уровень необъяснимого соотношения в оплате труда. В самых примечательных случаях примерно пятая часть исследованных компаний переплачивали генеральному директору, а сотрудникам недоплачивали. «Когда происходит и то, и другое - генеральному директору переплачивают, а сотруднику недоплачивают, - именно тогда действительно видно, как страдает производительность компании», - отмечает Руан. Такие компании испытывают различные негативные последствия: они могут страдать от слабого корпоративного управления, снижения продаж и увеличения текучести кадров. «Высокая текучка обходится невероятно дорого, потому что приходится искать новых сотрудников и обучать их, к тому же в течение короткого времени наблюдается

12

снижение производительности», - говорит Руан. «Вы вынуждены работать с сотрудниками, которые не ушли из компании, но испытывают недовольство, и не будут работать достаточно усердно. Если вы не делаете своих сотрудников счастливыми и не создаёте обстановку, в которой они стараются делать свою работу как можно лучше, ваша компания не добьётся успеха». Исследование показало, что по мере того, как зарплата в компании приближалась к ожидаемому уровню, основанному на экономических факторах, производительность компании увеличивалась. Соотношения зарплаты требуют объяснения Руан был особенно заинтересован в изучении этого вопроса вследствие принятия Комиссией по ценным бумагам и биржам США в сентябре 2017 года норматива, вытекающего из Закона о реформировании Уолл-стрит и защите потребителей Додда - Франка. Норматив обязывает компании раскрывать соотношение зарплаты генерального директора и средней зарплаты сотрудников, начиная с периода проведения собраний акционеров компаний в 2018 году. Руан обеспокоен тем, что эти соотношения зарплаты могут вводить в заблуждение как сотрудников, так и инвесторов, поскольку в некоторых случаях экономические факторы, влияющие на разницу в доходах, не очевидны. Например, у Apple, вероятно, соотношение зарплаты генерального директора и сотрудника будет намного выше, чем у других компаний в той же отрасли. Это произойдёт потому, что в компании занято множество работников розничной торговли, которые зарабатывают меньше, чем, скажем, инженеры, и эта более низкая заработная плата искажает средний показатель заработной платы сотрудников. «Вы можете сказать, что соотношение зарплат в Apple выглядит возмутительным, потому что оно может составлять 200 к


"ПОЯВЛЯЕТСЯ ВСЁ БОЛЬШЕ ПОДТВЕРЖДЕНИЙ ТОМУ, ЧТО КОРПОРАТИВНАЯ КУЛЬТУРА ЯВЛЯЕТСЯ ПЕРВООЧЕРЕДНОЙ ДВИЖУЩЕЙ СИЛОЙ В ДЕЯТЕЛЬНОСТИ КОМПАНИИ"

13


одному. Это число, на которое будут ориентироваться сотрудники, но это не совсем справедливо, и оно не будет учитывать то, что регуляторы надеются учесть», - подчеркивает Руан. «Когда вы раскрываете размер зарплаты, вы теряете талант» «Когда вы раскрываете размер зарплаты, вы теряете талант», - говорит Руан. «Многие компании столкнутся с негативной реакцией сотрудников, когда те узнают, какую рабочую нагрузку имеют сотрудники в других компаниях, и это может изменить их ожидания относительно того, что им следует делать». По словам Руана, компании должны предоставлять подробную информацию инвесторам и сотрудникам с указанием экономических обоснований их соотношения зарплаты. Например, компании могут указать, влияет ли простой фактор географического положения на разницу в оплате труда. Очевидно, что сотруднику в Нью-Йорке будут платить значительно больше, чем сотруднику в сельскохозяйственном регионе, например, в Алабаме, из-за огромного различия в стоимости жизни.

14

Корпоративная культура и личные интересы Помимо более чёткого объяснения последствий неравенства в оплате, в исследовании также подчёркивается важность корпоративной культуры в создании ценности для сотрудников. «Появляется всё больше подтверждений тому, что корпоративная культура является первоочередной движущей силой в деятельности компании, - говорит Руан. - Это то, что поможет отличить одну компанию от другой в конкурентной отрасли». По словам Руана, компании могут повысить культуру рабочего места не только за зарплату, но и путём предоставления сотрудникам многообещающих карьерных возможностей и возможности соблюдать личные интересы. «Да, люди работают за деньги, но они работают и ради других вещей. Компании должны творчески подойти к вопросу о том, как сохранить свои главные таланты», считает профессор. «Руководители должны определить не только, как платить своим сотрудникам больше, но и каким образом улучшить жизнь своих сотрудников». Делайте выводы и действуйте!


КОРПОРАТИВНОЕ ОБУЧЕНИЕ ПОД КЛЮЧ Хотите заказать закрытый корпоративный семинар для вашей компании? Мы рады помочь!

Оставьте заявку на magazine@bizeducate.com или позвоните по тел. +7 717 269 59 33

15


16


10 ТРЕНДОВ ВНУТРЕННЕГО АУДИТА 2019-ГО ГОДА Опрос руководителей по всему миру, проведенный Deloitte в 2018 году, выявил важный тренд в сфере внутреннего аудита. Группы внутреннего аудита с наибольшим воздействием и влиянием в своих организациях, как правило, наиболее восприимчивы к инновациям. Не довольствуясь привычными способами работы, они учатся обеспечивать гарантии, консультировать и прогнозировать риски для заинтересованных сторон в случае необходимости. При этом используют любые новые методы и технологии, которые для этого требуются. А это - единственный способ для внутреннего аудита выполнить свою миссию и сохранить актуальность в процессе развития организации. Процесс развития внутреннего аудита открыт для методов, обеспечиваемых новыми технологиями. Тем не менее, многие группы и руководители внутреннего аудита действуют по старинке. Порой это становится преградой для внедрения новых понятий, инструментов и подходов. Чтобы использовать инновации, нужны смелость и целеустремлённость. Десять трендов внутреннего аудита необходимо учитывать при планировании мероприятий внутреннего аудита в этом году. Группы внутреннего аудита по всему миру и во всех отраслях уже предпринимают подобные шаги для усиления воздействия и влияния своей организации. В результате им удалось повысить ценность своих услуг для заинтересованных сторон.

1. Гибкий внутренний аудит Инновационные группы внутреннего аудита активно внедряют гибкие методы, преимущества которых можно описать тремя словами: лучше, быстрее, интереснее. ▶Лучше - результаты аудита в большей степени связаны с бизнес-рисками и соответствуют потребностям заинтересованных сторон. ▶Быстрее - внутренние аудиторы работают с заинтересованными сторонами коллективно, целенаправленно, последовательно, чтобы быстро определить, что им нужно или не нужно делать. ▶Интереснее - они работают как команда, уполномоченная самостоятельно определять, как следует выполнять работу. Команда может полностью сосредоточиться на поставленной задаче. Команды внутреннего аудита, использу-

ющие гибкий аудит, практически никогда не хотят возвращаться к традиционным методам. Но в ходе адаптации гибких методов к работе внутреннего аудита возникают предсказуемые препятствия. Гибкий аудит требует не специальных технологий, здесь нужна только готовность работать по-другому. Принятие этого тренда означает не только изучение новых способов совместной работы, но и отход от того, что практиковалось годами. Это не просто изменение во внутреннем аудите; заинтересованные стороны должны полностью освоить этот процесс. 2. Комплексные гарантии Нормативные требования и реакции организаций на события, связанные с рисками, часто приводили к действиям, которые можно охарактеризовать как узконаправленные, избыточные, дорогостоящие, навязанные

17


бизнесу и не учитывающие таких факторов, как ценность и производительность. Комплексные гарантии нацелены не только сделать мероприятия по контролю качества более рациональными и эффективными; они также призваны направить их туда, где они имеют наибольшую ценность для организации. Комплексные гарантии предназначены для согласования мероприятий по контролю качества с факторами, определяющими их ценность в организации, и для обеспечения видимости рисков и эффективности управления рисками при одновременном повышении эффективности. Несмотря на свои многочисленные преимущества, комплексные гарантии часто сталкиваются с препятствиями для их принятия. Главной является тенденция организации к их неправильному пониманию, переоценке сложности, недооценке ценности или стремление придерживаться существующих методов. Мы видим пять преимуществ данного тренда внутреннего аудита, которые свидетельствуют о пользе комплексных гарантий: ▶Большая ценность для инвестиционных гарантий ▶Снижение нагрузки на организацию ▶Более надёжные результаты бизнеса ▶Увеличение охвата корпоративных рисков ▶Лучшее понимание бизнес-стратегий и операций. Каждое преимущество является веской причиной для перехода к использованию комплексных гарантий. 3. Оценка культуры Культура поддерживает бизнес-стратегию, поэтому необходимо проявить активность для её понимания и управления. Риски для культуры возникают, когда существует несоответствие между ценностями организации и действиями руководителей, поведением сотрудников или организационными системами. Культура является не только ключом к успеху и эффективности, но и источником

18

"КУЛЬТУРА ЯВЛЯЕТСЯ НЕ ТОЛЬКО КЛЮЧОМ К УСПЕХУ И ЭФФЕКТИВНОСТИ, НО И ИСТОЧНИКОМ ПРАВОВЫХ И РЕПУТАЦИОННЫХ РИСКОВ" правовых и репутационных рисков. Данный тренд показывает, как внутренний аудит может помочь руководству и Совету Директоров внедрить правильную культуру. Это крайне важно в условиях современной оцифровки, пристального внимания к бизнесу со стороны средств массовой информации и регулирующих органов, а также повышенных ожиданий в области надзора. Во многих компаниях применяются определённые процедуры мониторинга культуры. Например, сотрудников вовлекают в деятельность, связанную с человеческими ресурсами, контролем угроз для внутренней безопасности и другими инициативами второго уровня. Но нужна также общая программа управления культурой, имеющая практические основы. Внутренний аудит способен рекомендовать шаги, которые могут предпринять руководство и правление, включая формирование общественного мнения наверху, передачу правильных культурных сообщений и согласование инициатив с ценностями. Внутренний аудит также может предоставлять услуги по обеспечению контроля качества путём внедрения оценки культуры во все сегменты аудита. Многие аудиторы считают, что культура является теоретической концепцией, поскольку она по своей сути субъективна. Тем не менее, риски реальны и могут быть определены количественно, а усилия,


направленные на формирование культуры, обеспечивают особенно эффективные результаты спустя некоторое время. 4. Гарантии и рекомендации GDPR Общее положение о защите данных (GDPR) Европейского союза (ЕС) поднимает планку конфиденциальности данных для любой организации ЕС, собирающей или обрабатывающей данные о физических лицах или любой организации, не входящей в ЕС, которая ведёт бизнес на этом рынке. GDPR как нормативный документ по контролю рисков не указывает, как следует защищать данные клиентов; скорее, он выдвигает предположения на основании данных, учитывая их уязвимость и потенциальные риски. Вместо стандартного решения, регулирующий орган ищет индивидуальные подходы для защиты типов данных, которые обрабатывает организация, с учётом рисков, связанных с этими данными. Программа GDPR должна быть ориентирована на уязвимость данных и потенциальное влияние рисков на отдельных сотрудников, и организацию в целом. Аудиты в соответствие с GDPR должны быть включены в ежегодные процессы оценки рисков и планирования внутреннего аудита, как это делается для других мероприятий по обеспечению соответствия нормативным требованиям. Внутренний аудит отвечает за то, чтобы детально ознакомиться с конфиденциальностью путём разработки и обязательного реагирования на данные субъекта регулирования, а также за привлечение третьей стороны, имеющей необходимые знания предмета для завершения этих аудитов. Этот тренд внутреннего аудита в дальнейшем коснётся также компаний и внутренних аудиторов, которые в настоящее время не руководствуются GDPR. Для них это тревожный звонок, поскольку ожидается, что другие юрисдикции по всему миру рассмотрят и примут аналогичное законодательство.

5. Внутренний кибер-аудит Стратегическое значение, риски и возможности кибератак возрастают, поэтому внутренний аудит должен адаптироваться, чтобы продолжать приносить пользу организации. Это влечёт за собой переход от ИТ-подходов и подходов, основанных на соблюдении требований, к более рискованному подходу к кибертехнологии. Рассматривая этот тренд, большинство групп внутреннего аудита считают, что охватить все кибер-проблемы сложно в основном из-за нехватки ресурсов и квалификации. Несмотря на это, внутренний аудит не может игнорировать кибер-риски, так как они имеют решающее значение. Ответственность за кибербезопасность распространяется на все бизнес-подразделения и функции. Значит, соответствующее управление должно охватывать всю организацию, должны быть задействованы все три линии защиты, а их роли и обязанности уточнены. Начните с оценки управления кибербезопасностью, потому что управление регулирует всю структуру, тональность программы кибербезопасности и практическое применение кибербезопасности. Затем углубитесь в конкретные области, представляющие интерес для организации, рассмотрите инструменты и меры, которые уже приняты для устранения конкретных рисков. Такие области могут включать защиту данных, идентичность и управление доступом, облачную безопасность и контроль рисков. Разработайте план аудита на ближайшие кварталы и годы на основе оценки и ранжирования рисков в данных областях и обозначьте сферу компетенции аудиторов. Оценивайте план аудита и аналитическое исследование не реже одного раза в год, чтобы они оставались актуальными на фоне возникающих проблем.

19


6. Рабочая сила будущего Два мощных тренда внутреннего аудита определяют будущее работы: быстрое внедрение автоматизированных и когнитивных технологий и широкое использование альтернативных моделей комплектования персонала. Эти тренды поднимают вопросы о том, кто выполняет работу (есть ли в списке талантливых сотрудников этот специалист) и где выполняется работа (на месте или удалённо). Оба тренда представляют новые риски для организаций и новые возможности для внутреннего аудита. Внутренний аудит должен понимать и анализировать, как организация взаимодействует со всеми источниками талантов с учётом политики, процедур и физического места работы. Будьте готовы предупредить руководство о рисках, связанных с мобильными работниками, использующими свои собственные устройства или устройства организации, а также о нормативных и налоговых проблемах, и должным образом предоставьте гарантии и рекомендации. Поддержание сильной культуры становится всё более сложной задачей при использовании рассредоточенной рабочей силы, поэтому подчёркивайте необходимость определения и управления культурой. Например, оценка культуры, возможно, должна включать сотрудников, занятых неполный рабочий день, и независимых подрядчиков. При разработке плана внутреннего аудита и конкретных аудиторских программ следует учитывать области с повышенным риском при наличии рассредоточенной рабочей силы. 7. Непрерывная оценка риска Традиционный процесс планирования аудита имеет ограниченную ценность при оценке рисков в сегодняшней разрушительной среде. Непрерывный мониторинг, оценка и отслеживание рисков могут помочь внутреннему аудиту направить свои ресурсы туда, где они нужны больше все-

20

го – сделать полезное расхождение с ротационными планами аудита. Этот подход может изменить динамику в отношениях с заинтересованными сторонами, позволяя внутреннему аудиту более эффективно прогнозировать риски и проводить консультации для руководства. Функции, опережающие состояние этого тренда внутреннего аудита, движутся в сторону мониторинга рисков в режиме реального времени с помощью технологий распознавания рисков, аналитики и средств визуализации. Хотя внутренний аудит не должен включать обязанности руководства по идентификации рисков, эта функция должна иметь инструменты, необходимые для формирования представления и предупреждения организации о возникающих рисках. Используйте выходные данные оценок рисков второго уровня для разработки более динамичных планов аудита и работы с функциями второго уровня: что отслеживается сейчас и что нужно отслеживать в дальнейшем, и по каким причинам, а также форм мониторинга и способов использования результатов. Внутренний аудит может самостоятельно применять зондирование риска или результат зондирования второго уровня и общедоступные данные для внутреннего видения риска. Все эти позиции внутреннего аудита позволяют консультировать бизнес о рисках, которые в противном случае могут быть даже неизвестны. 8. Обеспечение автоматизации Ведущие группы внутреннего аудита стремятся максимально автоматизировать основные гарантии. В первую очередь это связано с тем, что автоматизация обеспечивает более высокий уровень гарантии, поскольку можно проверять большее количество транзакций и постоянно контролировать элементы управления. Автоматизированные гарантии также способствуют смещению действий, связанных с гарантиями, на второй план - к соблюдению требо-


"ДВА МОЩНЫХ ТРЕНДА ВНУТРЕННЕГО АУДИТА ОПРЕДЕЛЯЮТ БУДУЩЕЕ РАБОТЫ: БЫСТРОЕ ВНЕДРЕНИЕ АВТОМАТИЗИРОВАННЫХ И КОГНИТИВНЫХ ТЕХНОЛОГИЙ И ШИРОКОЕ ИСПОЛЬЗОВАНИЕ АЛЬТЕРНАТИВНЫХ МОДЕЛЕЙ КОМПЛЕКТОВАНИЯ ПЕРСОНАЛА"

21


ваний, кибербезопасности, управлению рисками и аналогичным функциям - или вывести их на первый план. Речь о случаях, когда необходимо управлять рисками и где люди могут действовать в зависимости от результатов. Затем внутреннему аудиту следует скорректировать свои процедуры, чтобы обеспечить необходимые независимые гарантии в этих областях. Чтобы использовать в будущем эту тенденцию внутреннего аудита, рассмотрите возможность создания межфункциональных групп, которые могут использовать заранее сформированные стратегии для определения возможностей автоматизации на всех уровнях защиты. Быстрые положительные результаты, как правило, наблюдаются в основных бизнес-процессах (как для элементов управления Sarbanes-Oxley Act, так и для оперативных элементов управления). Это кредиторская задолженность, командировки и развлечения, начисление заработной платы и общая бухгалтерская книга, а также ИТ. Автоматизация таких «легко осуществляемых» видов деятельности может укрепить доверие главных заинтересованных сторон, которые играют важную роль в более широком внедрении автоматизированных решений. 9. Применение роботизированных процессов автоматизации и когнитивного интеллекта Имея уже созданные аналитические программы, охватывающие анализ данных, визуализацию и предсказательную аналитику, многие группы внутреннего аудита взяли на вооружение тренд внутреннего аудита, направленный на роботизированную автоматизацию процессов (RPA) и когнитивного интеллекта (CI) (вместе RPA и CI). Цель новаций - повышение эффективности, увеличение потенциала, повышение качества и рас-

22

ширение масштабов аудита. Всё меньше групп применяют машинное обучение и искусственный интеллект (ИИ), а прорывные технологии завоёвывают признание, поскольку новаторы и первопроходцы продолжают доказывать их ценность на протяжении всего жизненного цикла внутреннего аудита. Те, кто добился наибольшего успеха, применяют системный подход, который учитывает операционную модель, инфраструктуру и варианты использования на протяжении всего жизненного цикла аудита, а затем разрабатывает и запускает пилотные проекты. Во-первых, следует разработать чёткое видение и стратегию автоматизации. Этот процесс начинается с определения: где, как и зачем технологии автоматизации могут быть встроены в деятельность внутреннего аудита. Во-вторых, нужно создать инфраструктуру для поддержки развёртывания средств автоматизации. Это будет способствовать эффективному внедрению, текущему обслуживанию и снижению рисков. В-третьих, необходимо разработать операционную модель целевого состояния для поддержки и сохранения курса на автоматизации. Эта модель должна быть естественным продолжением существующей операционной модели. Важно учитывать, как автоматизацию повлияет на взаимодействие людей, процессов и технологий, и изменять каждый из этих компонентов. 10. Аудит рисков прорывных технологий Руководствуясь необходимостью создавать ценности и повышать эффективность, организации продолжают быстро внедрять автоматизацию процессов и когнитивный интеллект. Прорывные технологии, этот тренд внутреннего аудита как в бизнесе, так и во внутреннем аудите, быстрее всего распространяются в сфере финансовых услуг. Инновационные организации во всех отраслях используют или, по крайней мере, рассматривают эти технологии. Внутренний аудит должен понимать риски, связан-


ные с этими технологиями в организации, консультировать руководство по этим рискам и обеспечивать гарантии, что риски устраняются должным образом. Внутренний аудит должен сбалансировать свою ответственность за гарантии, консультации и прогнозы в этой области. Предоставляя гарантии, следует активно участвовать в процессе на ранних этапах, когда организация внедряет прорывные технологии, а другое направление защиты модернизирует подход к тестированию

средств управления. Это поможет внутреннему аудиту обеспечить гарантии, которые не дублируют друг друга. Внутренний аудит должен быть направлен на прогнозирование рисков, связанных с этими технологиями, путём использования аналитики данных и инструментов определения рисков для раннего выявления возникающих рисков и моделирования кризисов в целях выявления потенциальных упущений в способности организации реагировать на них.

23


КАК СИСТЕМЫ СТИМУЛОВ В АУДИТЕ ВЛИЯЮТ НА ЕГО РЕЗУЛЬТАТЫ? Пол Мокси, профессор корпоративного управления в Лондонском университете Саусбэнк, эксперт ICSA (The Covernance Institute)

24


Британская компания Carillion, работавшая в сфере строительства на коммерческих контрактах, была принудительно ликвидирована в начале 2018 года. Через год настал черёд сети кондитерских Valerie. Согласно их последним годовым финансовым отчётам, обе компании были прибыльными, и обе сообщили о росте прибыли и росте продаж. Отчёты обеих компаний свидетельствуют: у них было стабильное финансовое положение и радужные перспективы, а отчёты о ревизии не вызывали сомнений. Почему же обе компании рухнули? Неожиданность на 845 миллионов фунтов Счета Carillion за 2016 год были опубликованы в марте 2017 года. Компания имела большой портфель заказов, финансовую устойчивость, высокие стандарты корпоративного управления и отчётности, внушающую доверие корпоративную культуру и высокоэффективный Совет директоров. Компания также заявила о строгом контроле рисков, и директора подтвердили, что они «провели тщательную оценку основных рисков, с которыми сталкивается корпорация, в том числе тех, которые могут поставить под угрозу её бизнес-модель, будущую деятельность, платёжеспособность или ликвидность». Также было сказано, что «учитывая как наиболее вероятный, так и более экстремальный пессимистический сценарии, директора полагают, что у них есть основания ожидать, что компания сможет продолжить работу и выполнить свои обязательства». В отчёте подтверждается, что Комитет по аудиту «рассмотрел годовой отчёт и отчётность корпорации и рекомендовал его правлению в качестве справедливой, сбалансированной и понятной оценки положения корпорации». Несколько месяцев спустя, в июле 2017 года, «Лондонская фондовая биржа» опубликовала «торговое обновление», в кото-

ром сообщалось о «неожиданном убытке на 845 миллионов фунтов стерлингов». Ущерб съел всю нераспределённую прибыль компании и превратил учётную стоимость её чистых активов на 31.12.2016 года в 729 миллионов фунтов стерлингов в чистое обязательство в размере 116 миллионов фунтов стерлингов. В балансовом выражении это означает, что компания стоила меньше, чем ничего. На 29 сентября в своём промежуточном отчёте о результатах до 30 июня сообщалось о дополнительных убытках, в результате чего чистые обязательства достигли 405 млн фунтов стерлингов. Тем не менее, корпорация сообщила, что она «соблюдала свои (банковские) условия на 30 июня 2017 года и, по прогнозам, будет соблюдать условия на 31 декабря 2017 года и 30 июня 2018 года». Строительный гигант заявлял, что «с учётом прогнозируемой торговли для корпорации в течение оставшейся части года и дополнительного банковского обслуживания Совет директоров обоснованно ожидает, что компания и корпорация смогут работать в пределах уровня имеющихся в наличии средств и денежных средств в обозримом будущем». Другие части «торгового обновления» (известного также как предупреждение о прибылях) и промежуточный отчёт были оптимистичны в отношении перспектив группы и не содержали никаких намеков на неизбежный провал. К январю 2018 года

25


Carillion была разорена, и правительство вынуждено было платить ликвидатору. Последующее расследование Объединённого парламентского комитета, проведённое Комитетом по стратегии в области бизнеса, энергетики и промышленности и Комитетом по труду и пенсиям, показало, что и для директора, и для внешнего аудитора неожиданностью стали как необходимость заключить контракт, так и последующий крах компании. Было очевидно, что управление было неквалифицированным, правление было неэффективным, финансовая отчётность вводила в заблуждение, а заявления об управлении рисками и жизнеспособности группы в течение следующих трёх лет были неправдивыми. В отчёте говорится, что «будучи не в состоянии проявить профессиональный скептицизм в отношении отчётности Carillion в течение срока своих полномочий в качестве аудитора Carillion, КПМГ оказалась замешана в махинациях». К сожалению, расследование не выявило, как или почему они крупно ошиблись. Система корпоративного управления в Великобритании возлагает значительную часть первоначальной ответственности за финансовую отчётность и управление рисками на комитеты по аудиту, в то время как полную ответственность несёт Совет директоров. Вызывает сожаление тот факт, что в ходе следствия не были взяты показания у членов ревизионной комиссии Carillion. Мы не знаем, были ли они просто неумелыми, не понимали значения того, что, по утверждению комитета, следовало учесть, не смогли выяснить, какие записи являются заслуживающими особого внимания или недостоверными, была ли совершена ошибка или существует более серьёзная проблема. Более серьёзная проблема заключается в том, стоит ли ожидать от комитетов по аудиту обеспечения надёжности счетов и эффективного управления рисками?

26

Торты и черная дыра бухучета Вряд ли парламентское расследование будет проводиться по кондитерским Valerie. В отличие от Carillion, сеть не лишила десятки тысяч людей работы, пробив брешь в пенсионном фонде на сумму 2,6 млрд фунтов стерлингов. Кондитерские не остались должны 2 млрд фунтов стерлингов 30 тысячам поставщиков, 1 млрд фунтов стерлингов - банкам или правительственным контрактам. Поэтому мы не очень много знаем о том, что произошло. Нам известно, что 10 октября 2018 года кондитерская Valerie объявила инвесторам, что Совет директоров «был уведомлен о существующих и возможных мошеннических нарушениях в бухгалтерском учёте и, следовательно, о потенциальном существенном искажении счетов компании». Было сказало, что это «значительно повлияло на денежную наличность компании и может привести к существенному изменению её финансового положения». В результате компания потребовала отстранить её акции от торгов на AIM на время, в течение которого она будет проводить полное расследование с привлечением юридических и профессиональных консультантов относительно её истинного финансового положения. Два дня спустя компания заявила, что требует немедленного вливания наличных 20 миллионов фунтов стерлингов, без которых корпорация не сможет продолжать торговать в её нынешнем виде. Глава и основной акционер корпорации Люк Джонсон, очень успешный инвестор и предприниматель, предоставит компании кредит в размере 20 миллионов фунтов стерлингов на время, пока привлекается новый капитал. Возникла необходимость в дополнительных финансовых средствах, и в различных докладах говорилось о том, что «чёрная дыра» составляет 40 млн фунтов стерлингов. В середине января 2019 года компания сообщила, что работа, проведённая судебными специалистами по бухгалтерскому


учёту, показала: искажение её счетов было обширным, включая значительные манипуляции с балансом, счетами прибылей и убытков и тысячами ложных записей в бухгалтерских книгах компании. Неделю спустя компания не смогла возобновить кредитование, и в результате была введена в управление. Вероятно, по иронии судьбы, в сентябре 2018 года, за месяц до раскрытия мошенничества, Джонсон вёл в Sunday Times колонку «Руководство для начинающих предпринимателей по испытанной и хорошо зарекомендовавшей себя практике выявления мошенничества». Он назвал её памяткой для тех, кто хочет обнаружить очередное мошенничество. Как мог такой опытный в финансовом отношении бизнесмен быть застигнутым врасплох тем, что, по-видимому, являлось крупномасштабным мошенничеством в компании, частью которой он владел и чье правление возглавлял?

Почему аудиты не видят серьезных ошибок в отчетах компании? По мнению Совета по финансовой отчётности, цель внешнего аудита, проводимого независимым аудитором, состоит в том, чтобы получить достаточные гарантии, что финансовая отчётность компании «в целом не содержит существенных искажений». Бухгалтеры, не говоря уже о широкой общественности или политиках, признают, что аудитор не обязан выявлять мошенничество. Генеральный директор кондитерской Valerie Грант Торнтон 30 января 2019 года подтвердил это Комитету по стратегии бизнеса, энергетики и промышленности в рамках своего исследования будущего аудита. Это вызвало некоторое недовольство членов Комитета, которые считали, что проверка должна выявлять мошенничество. Строго говоря, Торнтон был прав.

27


После показательного случая в отношении компании Kingston Cotton Mill Company (1896 год) судья пояснил, что роль аудиторов больше похожа на роль ищеек, чем сторожевых псов, а что значит, что они не должны устанавливать факт мошенничества; их работа заключается в том, чтобы выявлять существенные искажения счетов, каким бы образом они не были сделаны, включая и существенные искажения, сделанные в результате мошенничества. Как и в случае с Carillion, мы имеем основания ожидать, что аудиторы смогут выявить серьёзные искажения в отчётности. В случае Patisserie Valerie мы можем ожидать, что аудитор обозначит недостающие 40 миллионов фунтов стерлингов как существенную сумму на счетах. Поскольку объявленная прибыль за год, заканчивающийся 30 сентября 2017 года, составляла всего 16 миллионов фунтов стерлингов, мошенничество на 40 миллионов фунтов стерлингов является крупным. The Times и другие газеты информировали о том, что судебное расследование, проведённое PwC для компании, выявило мошенничество на 40 млн фунтов стерлингов, включая фальшивые протоколы компании, поддельные подписи на банковских контрактах и ​​фиктивные счета на ремонт магазина. Отчет PwC не был обнародован, но репортёры предполагают, что мошенничество оставалось нераскрытым в течение, по крайней мере, трёх лет. Согласно Financial Times, мотивом мошенничества было «стремление обрадовать сотрудников. Люк Джонсон имел определённые ожидания. Он практичный и ориентированный на результат человек. Было легче повозиться с цифрами, чем признать плохие результаты». Желание сделать сотрудников счастливыми, возможно, и было стимулом для совершения мошенничества. Ожидания менеджмента компании и партнеров иногда приводят аудитора к мысли, что разумнее не заметить чего-то, чем подчёркивать сомнительные результа-

28

ты аудита, которые могут вызвать их беспокойство. Аудиторы, которые слишком усердно работают, однажды могут решить, что хотят сменить профессию. Основная задача партнёра по аудиту будет состоять в том, чтобы провести прибыльный аудит и, возможно, обеспечить более эффективные консультации для команды. Он/она знает, что возникновение проблем с клиентом может поставить под угрозу работу консультанта и привести к потере контракта на проведение аудиторской проверки. Аудиторская компания в целом хочет быть высокоприбыльной и избегать публичного порицания или исков о халатности, хотя и готова принять и то, и другое как составную часть предпринимательской деятельности. Наконец, у нас есть руководители, чей главный приоритет может состоять в том, чтобы остаться на своей должности и максимально повысить заработную плату. Авторитетные исследования убедительно доказывают, что руководители манипулировали доходами, чтобы повысить свою заработную плату. Также хорошо известно, что давление с целью оправдания ожиданий может привести к коррупционному поведению сотрудников. Подробней я писал об этом в статье для Transparency International, где рассматривал роль формальных и неформальных стимулов в коррупционном поведении. К сожалению, реформы вряд ли позволят решить реальные проблемы, связанные с отсутствием профессионализма аудиторов и с желанием не заметить каких-то данных, вместо того, чтобы выполнить работу добросовестно. Похоже, «Большая четвёрка» аудиторских компаний будет действовать до тех пор, пока законодательство не запретит предлагать неаудиторские услуги клиентам аудита FTSE 350. Время покажет, станет ли это чем-то большим, чем фиговый листок, которым прикрыли проблему.


29


КАК СОЦИАЛЬНАЯ ОТВЕТСТВЕННОСТЬ КОМПАНИИ ВОЗДЕЙСТВУЕТ НА ЕЕ РЫНОЧНУЮ СТОИМОСТЬ?

Впервые выявлена связь между общественным мнением о компании и тем, как эта компания оценивается на рынке. Результаты исследования важны как для инвесторов, которые ищут недооцененные социально ответственные компании, так и для компаний, которые считают, что их усилия по обеспечению устойчивости недостаточно оценены на рынке. Исследование показывает: компании, имеющие в целом хорошие показатели в своих программах по охране окружающей среды, социальной сфере и управлению (ESG) могут увеличить свою рыночную стоимость, тщательно отслеживая общественное мнение об этих усилиях и активно решая проблемы, появляющиеся вследствие негативных историй. Общественное мнение и мнение инвесторов Автор исследования, профессор бизнес-школы Гарвардского университета Джордж Серафейм пишет: «Положительная связь между показателями ESG и рыночной стоимостью выше для фирм с положительной динамикой общественного мнения. Повышение ESG показателей компании примерно в два-три раза увеличивает рыночную стоимость компании, имеющей положительные показатели по сравнению с компанией, имеющей отрицательную динамику общественного мнения». «Данные свидетельствуют о том, что об-

30

щественное мнение влияет на мнение инвесторов о ценности деятельности компании по обеспечению корпоративной устойчивости…» Исследователи изучали отдачу от социально ответственного инвестирования и эффективности корпоративной ESG. Однако мало внимания уделялось тому, как динамика общественного мнения расширяет или ограничивает степень информированности рынка о корпоративных инициативах ESG. «Имеющиеся данные свидетельствуют о том, что общественное мнение влияет как на взгляды инвесторов относительно ценности деятельности компании по обеспечению корпоративной устойчивости и, следовательно, на цену, заплаченную за корпоративную устойчивость, так и на инвестиционные поступления от портфелей, учитывающих данные ESG», - заключает документ. В статье Серафейма «Общественное мнение и цена корпоративной устойчивости» собраны данные об общественном мнении в отношении деятельности по обеспечению устойчивости, предоставленные платформой Truvalue Labs. Информация взята из новостей, получена от отраслевых аналитиков, неправительственных организаций и аналитических центров, и объединена с традиционными показателями ESG от MSCI, обычно используемыми аналитиками. В ходе исследования проанализирована


деятельность компаний с января 2009 года по июнь 2018 года – за период, когда число компаний, включенных в выборку и охваченных обоими поставщиками данных, выросло примерно с 340 почти до 1900. Согласно документу, только в 2018 году активы под управлением в размере 80 трлн долл. США публично обязались соблюдать в той или иной форме принципы ESG. Такой большой пул потенциальных инвестиций может помешать инвесторам отделить компании, на словах выступающие за ESG, (практикующие «зелёный камуфляж» или отмывание бренда), от компаний, которые действительно получают лучшие результаты в своих финансовых показателях. «Владелец портфеля, который покупал компании с хорошими показателями устойчивости и негативным общественным мнением, а также продавал компании с плохими показателями устойчивости и положительным общественным мнением, хорошо преуспел за последние 10 лет», говорит Серафейм. Это свидетельствует о

том, что «компании с высокими показателями устойчивости и негативным общественным мнением недооценены». Domino's против Cheesecake Factory В одном из примеров, приведённых в статье, компании Domino's Pizza и The Cheesecake Factory показали одинаковые средние показатели по ESG в 5,2 балла (из 10) по шкале MSCI. Шкала основана на факторах, включающих изменение климата, безопасность и качество продукции, а также категории питания и здоровья. Однако инвестиционная динамика резко отличалась: Domino’s набрала 15 баллов по сравнению с 87 баллами Cheesecake Factory (из 100) в показателях Truvalue Labs об общественном мнении. Это объясняется более низкими оценками благосостояния клиентов, а также представлениями о качестве и безопасности. Но в отношении показателей по акциям было верно обратное: за последние 5 лет

31


Domino’s выигрывала, а Cheesecake Factory теряла. Таким образом, рынок учитывал показатели ESG в цене акций для Cheesecake Factory, но не для Domino’s. *Серафейм выбрал эти компании частично для того, чтобы развеять представление о том, что деятельность в области устойчивого развития касается только нишевых отраслей и компаний. «Речь идёт не только об инвестициях, уточняет Серафейм. - Речь идёт о мнении всего общества и его представлениях о том, какое влияние вы оказываете на общество». По словам Серафайма, часто одно событие или неправильное информирование о том, как ESG интегрируется в повседневную деятельность компании, может замаскировать хорошие показатели. «Вы можете делать крупные инвестиции и прилагать огромные усилия в борьбе с изменением климата, - считает Джордж Серафейм. - Но если вам действительно не хватает конфиденциальности данных, рынок может полностью игнорировать все эти усилия». Серафейм советует компаниям чётко указывать, что политики ESG являются частью их повседневной деятельности. По его словам, наличия отдельного отчёта, в котором рассматривается ESG, уже недостаточно. «Речь идёт о защите инвестиций и реальном создании устойчивости как единой стратегии внутри организации, а не как отдельных мероприятий». Доходность портфеля. Практические последствия Результаты исследования имеют практическое значение для инвесторов и компаний. Для инвесторов: «Представленные здесь данные свидетельствуют о том, что объединение показателей эффективности ESG с большими данными ESG может быть полезно при идентификации акций с высокими и заниженными характеристиками ESG», - говорится в отчёте.

32

Когда инвесторы могут точно определить компании, ориентированные на ESG, которые не зарабатывают репутацию на рынках из-за негативного общественного мнения, доходность по сравнению с эталонными индексами или аналогами может быть на 4-5% выше. На Уолл-стрит это называется «положительной альфой», говорится в документе. Для компаний эти результаты свидетельствуют: мониторинг изменений общественного мнения при наличии новых анализов НПО, СМИ, отраслевых аналитиков и других источников важен для понимания


того, компенсируют ли рынки капитала инвестиции компании в деятельность по обеспечению устойчивости. В дальнейшем Джордж Серафейм хочет изучить, как раскрытие корпорациями информации о ESG работает относительно компаний и инвесторов. «Многие компании широко информируют или с помощью отчёта об устойчивом развитии, интегрированных отчётов или с использованием стандартов, подобных тем, что были предоставлены Советом по стандартам учёта в области устойчивого развития», - отмечает Серафейм. Другие

пытаются получить экологический отчёт о прибылях и убытках или балансовую отчётность компании. «Вопрос не только в том, как фактически действия по раскрытию корпоративной информации формируют общественное мнение, но и как это происходит в обратном направлении».

33


ПЯТЕРКА РАСПРОСТРАНЕННЫХ ПРОБЛЕМ СЕТЕВОЙ БЕЗОПАСНОСТИ Многие компании страдают от многочисленных проблем сетевой безопасности, даже не осознавая этого. Худшие последствия: если эти проблемы не решаются, злоумышленники могут получить возможность взломать систему безопасности компании для кражи данных и нанесения ущерба в целом. Рассказать обо всех потенциальных проблемах в одной статье невозможно. Поэтому мы рассмотрим некоторые наиболее распространённые проблемы безопасности сети и способы их решения. Будьте во всеоружии.

34


Проблема № 1: Неизвестные активы в сети Многие компании не имеют полного перечня всех ИТ-ресурсов, которые они подключили к своей сети. Это огромная проблема. Если вы не знаете, какие ресурсы есть в вашей сети, как вы можете быть уверены, что ваша сеть безопасна? Самое простое решение - провести обзор всех устройств в вашей сети и определить все платформы, на которых они работают. Так вы узнаете все различные точки доступа, которые находятся в вашей сети, и какие из них больше всего нуждаются в обновлениях безопасности. Проблема № 2: Учетная запись пользователя. Злоупотребление привилегиями Согласно данным, приведённым в Harvard Business Review, за 2016 год «60% всех атак было совершено инсайдерами». Это могут быть: ▶ненамеренные ошибки (случайная отправка информации на неправильный адрес электронной почты или потеря рабочего устройства); ▶умышленные утечки и неправильное использование привилегий учётных записей; кража личных данных в результате фишинга или проникновения, основанного на использовании социальной психологии, которые ставят под угрозу данные учётных записей. Вывод из этих атак один: именно сотрудники компании - самая большая проблема безопасности, с которой вы когда-либо сталкивались. Поскольку эти угрозы исходят от заслуживающих доверия пользователей и систем, их трудно идентифицировать и остановить. Однако в случае атаки инсайдера есть способы минимизировать риск. Например, если ваша компания использует политику наименьших привилегий (POLP), когда дело касается доступа пользователей,

"60%

ВСЕХ АТАК БЫЛО СОВЕРШЕНО ИНСАЙДЕРАМИ" вы можете ограничить возможный ущерб от аккаунта пользователя, который неправильно используется. В POLP доступ каждого пользователя к различным системам и базам данных в вашей сети ограничен ресурсами, необходимыми ему для работы. Проблема № 3: Незащищённые уязвимости безопасности Многие предприятия озабочены подвигами эксплойтов «нулевого дня». Такие вредоносные коды, эксплуатирующие уязвимости программного обеспечения - это ещё не изученные проблемы безопасности программ и систем, от которых может пострадать каждый. Тем не менее, уязвимости нулевого дня не являются проблемой – проблема в неликвидированных известных уязвимостях.

35


В 2015 году появилось около 6300 уникальных уязвимостей. Symantec сообщает, что только 54 из них были классифицированы как «нулевые дни». Это связано с тем, что при использовании эксплойта «нулевого дня» его можно обнаружить – и сделать известной проблемой, над которой может начать работать поставщик программного обеспечения. Чем чаще используется эксплойт, тем больше вероятность его обнаружения и исправления. Кроме того, требуется много усилий, чтобы самостоятельно обнаружить совершенно неизвестную уязвимость в системе. Как правило, злоумышленники предпочитают придерживаться известных эксплойтов. Фактически, из всех обнаруженных эксплойтов большинство были связаны с уязвимостями, датируемыми 2007 годом. Следующие по численности были датированы 2011-м годом. Другими словами, большую часть нарушений в 2016 году составляли устаревшие уязвимости со средним возрастом около десяти лет. Над этим стоит задуматься. Самое простое решение этой проблемы соблюдение строгого графика обновлений системы безопасности. Постепенное изменение программ и операционных систем в сети, чтобы сделать их однородными, может упростить этот процесс. Например, если каждая система основана на Windows или Mac (а не на мешанине из Mac, Windows, Linux и т.д.), вам нужно будет только следить за графиком обновлений системы безопасности Mac OS или Windows OS и предупреждениями. Проблема № 4: Отсутствие всесторонней защиты Несмотря на все ваши усилия, может наступить день, когда злоумышленнику удастся нарушить безопасность вашей сети. Объём нанесённого ущерба будет зависеть от структуры сети. Некоторые компании имеют открытую сетевую структуру, в которой злоумыш-

36

ленник, попадая в доверительную систему, получает неограниченный доступ ко всем системам в сети. Если сеть структурирована с сильной сегментацией для того, чтобы все её части находились отдельно друг от друга, тогда действия злоумышленника можно притормозить, не дать ему проникнуть в жизненно важные системы, пока ваша группа безопасности работает над выявлением, локализацией и устранением проникновения. Проблема № 5: Недостаточность управления ИТ-безопасностью Многие компании, даже имея лучшие решения в области кибербезопасности, могут испытывать нехватку специалистов, способных осуществлять эти решения на должном уровне. Когда это происходит, предупреждения о нарушении кибербезопасности могут быть пропущены, и успешные атаки не устранят вовремя, чтобы минимизировать ущерб. Формирование достаточно большой внутренней группы ИТ-безопасности, способной контролировать все важные моменты, может быть дорогостоящим и длительным процессом. Квалифицированные специалисты востребованы, и они это знают. Для быстрого увеличения персонала по информационной безопасности многие компании пользуются услугами специальных аутсорсеров. Это дает компаниям доступ к укомплектованной команде опытных профессионалов в области кибербезопасности, заплатив только часть суммы, которую пришлось бы отдать группе, нанятой на постоянную работу. Некоторые предприятия используют таких партнёров по решениям в области кибербезопасности, чтобы в краткосрочной перспективе поддержать свои отделы ИТ-безопасности, пока они готовят свои собственные внутренние команды по кибербезопасности.


"БОЛЬШУЮ ЧАСТЬ НАРУШЕНИЙ В 2016 ГОДУ СОСТАВЛЯЛИ УСТАРЕВШИЕ УЯЗВИМОСТИ СО СРЕДНИМ ВОЗРАСТОМ ОКОЛО 10 ЛЕТ"

37


АНОНС СЕМИНАРОВ в области корпоративного управления, рискменеджмента и комплаенса от ведущего провайдера образовательных программ для GRC специалистов Bizeducate ltd. на второе полугодие 2019 года

Внутренний аудит и комплаенс 5-8 августа 2019 г., Барселона Внутренний аудит является одним из основополагающих процессов для поддержания Системы управления и оценки соответствия установленным требованиям. В результате посещения данного семинара, вы ознакомитесь не только с риск-ориентированным аудитом, но и узнаете современные подходы к комплаенсу. Стратегическое планирование закупочной деятельности 10-13 сентября 2019 г., Прага Хотя закупки всегда имели решающее значение для успеха организации, только в последние годы компании действительно осознали добавленную стоимость, которую они могут создать. Этот интенсивный семинар вооружит делегатов передовыми навыками и знаниями, которые помогут осуществить переход от оперативных к стратегическим закупкам. Эффективное введение в должность членов совета директоров 15-18 сентября 2019 г., Лондон Данный курс посвящен сложному вопросу введения в должность члена совета директоров. Каждой организации необходим эффективный совет директоров или руководящий орган, и один из решающих факторов эффективности – это обеспечение того, чтобы новые члены совета директоров или руководящего органа могли начать выполнять свои обязанности в полную силу в максимально короткие сроки. Управления рисками третьих сторон (Third Party Risk Management) 9-12 октября 2019 г., Рим Хотя партнерские отношения с третьими сторонами могут быть полезны для организации на многих уровнях, такие альянсы способны подвергать организацию большому количеству рисков. Этот семинар посвящен тому, как выявить эти риски, управлять ими и при этом продолжать пользоваться преимуществами услуг третьих сторон. Интервью при проведении корпоративных расследований 24-25 октября 2019 г., Тбилиси Эксперты в области корпоративной безопасности поделятся с вами передовыми инструментами проведения интервью при внутренних расследованиях. Мероприятие ориентировано на специалистов СБ, внутренних аудиторов, риск-менеджеров и комплаенс службы.

38


Последние изменения в МСФО 17-20 ноября 2019 г., Лондон Участники семинара получат возможность ознакомиться с лучшими практиками применения МСФО, узнают о новшествах и новых правилах отчетности. На этом курсе можно квалифицированно решить сложные спорные вопросы, касающиеся применения МСФО в конкретной ситуации. Мини-MBA для юристов 8-11 декабря 2019 г., Дубай Корпоративные юристы работают в условиях жесткой конкуренции. Поэтому специалисту важно стать профессионалом высочайшего уровня и поддерживать репутацию. Юристам этого профиля необходимы навыки управления бизнес-процессами и качества лидера для успешной карьеры менеджера.

Ознакомиться с программами семинаров и условиями участия в них можно по ссылке www.bizeducate.com/kalendar-sobytij/ Чтобы забронировать место, Вам нужно написать на request@bizeducate.com

УЧАСТНИКАМ СЕМИНАРОВ ТАКЖЕ БУДУТ ПРЕДОСТАВЛЕНЫ СЛЕДУЮЩИЕ УСЛУГИ:* • Приглашение для визы • Услуги оформления визы • Трансфер аэропорт-отель-аэропорт • Консульский сбор • Приветственный обед в 1-й день программы, кофе-брейки и бизнес-ланчи • Ужины • Культурные мероприятия • Разработка индивидуальных экскурсий • Фотоотчет семинара

• Сопровождение русскоязычным представителем компании • Печатные материалы курса на русском языке • Скидка на любой последующий семинар в течение 6 месяцев • Личная консультация лектора (30 мин.) • Именной сертификат о прохождении курса *в зависимости от выбранного пакета услуг

39


ПОДПИШИСЬ НА GRC REVIEW WWW.BIZEDUCATE.COM/MAGAZINE

grc REVIEW

август/2018/№1

ТОП 5 СТАТЕЙ

О СТРАТЕГИЧЕСКОМ УПРАВЛЕНИИ

СИМПТОМЫ КОЛЛАПСА ПРЕДПРИЯТИЯ

КАК БОРОТЬСЯ С КОРРУПЦИЕЙ В КОМПАНИЯХ? 1

GRC Review опубликован компанией Bizeducate Limited. © Bizeducate Limited, 2019. Все права защищены.

Воспроизведение, копирование, извлечение или перераспределение любыми средствами всей или части наших публикации возможно после письменного разрешения издателя.

Suite 1417 Kemp House 152-160 City Road London EC1V 2NX United Kingdom 40

Nur-Sultan: +7 717 269 59 33 London: +44 203 695 34 07

Skype: bizeducate.ltd magazine@bizeducate.com www.bizeducate.com


Millions discover their favorite reads on issuu every month.

Give your content the digital home it deserves. Get it to any device in seconds.