Анна Кузнецова, Lamoda: «Подходите к внедрению непрерывного аудита поэтапно»

Справка о компании: Lamoda – ведущий fashion-ритейлер, объединяющий онлайн-платформу с ассортиментом от более 4000 мировых и локальных брендов, редакционный контент-раздел «Идеи», а также розничные магазины Lamoda Sport, где представлен ассортимент мировых спортивных брендов.  В портфеле Lamoda три собственных бренда: женский Nume, мужской Mademan и обуви — Founds. Lamoda представлена в России, Белоруссии и Казахстане.

Lamoda основана в 2011 году, в компании работает более 13 тысяч сотрудников. У Lamoda собственная сеть ПВЗ и курьерской доставки, 3 складских комплекса, аккредитованный IT-хаб LaTech, колл-центр в Волгограде и контент-студия.

Непрерывный аудит – это технологически продвинутый метод аудита, который автоматизирует проверку данных и выявление ошибок в режиме реального времени. Концепция зародилась на Западе в конце прошлого века и со временем получила широкое распространение. Она стала популярной – многие компании стремились внедрить непрерывный аудит, хотя не всем это удавалось.

Именно такое описание – технологически ориентированный процесс с автоматизацией проверок в реальном времени – мы представляли на рассмотрение совета директоров, чтобы члены правления могли полноценно понять суть и потенциал этой методологии.

Зачем нужен непрерывный аудит?

Команда департамента внутреннего аудита, контролей и управления рисками состоит из небольшого и эффективного пула специалистов: два классических аудитора, три ИТ-аудитора, один специалист по системе внутреннего контроля и один риск-менеджер. Несмотря на ограниченные ресурсы, мы регулярно проводим тестирование контрольных механизмов и осуществляем аудит, сталкиваясь с постоянно возникающими рисками со всех направлений.

Традиционный подход к аудиту мы выстроили по стандартной схеме: проверка, выдача рекомендаций, мониторинг исполнения, переход к следующему проекту. Однако в 2024 году совет директоров поставил более амбициозную задачу – обеспечить постоянный мониторинг и контроль по ключевым процессам.

Среди ключевых причин для перехода к непрерывному аудиту выделяли:

Современный рынок электронной коммерции развивается стремительно, традиционные временные окна для принятия управленческих решений сужаются до минимальных значений. Это вынуждает      искать новые подходы к аудиту и контролю, адаптируясь к быстро меняющимся условиям.

Важно отметить, что мы – не крупная корпорация, поэтому классический подход к непрерывному аудиту (разделяющий мониторинг и собственно аудит) требует адаптации под наши реалии. На сайте Института внутренних аудиторов доступна подробная методология, описывающая различия подходов и концептуальные основы, но нам было необходимо разработать собственное понимание и реализацию непрерывного аудита, соответствующее нашим масштабам и ресурсам.

Ключевые шаги по внедрению непрерывного аудита

Внедрение непрерывного аудита в нашей компании происходит поэтапно, с указанием сроков (процесс еще не завершен). Мы определили дорожную карту (roadmap) и последовательно движемся по намеченному плану.

Первый этап включает разработку стратегии непрерывного аудита, в котором мы учли несколько важных аспектов.

Во-первых, взаимодействие с подразделениями: учитывая, что вторая и третья линии защиты      объединены, основное внимание было направлено на координацию с ними. Что касается первой линии, то, хотя мы и проводим консультации, сам проект не требует прямого участия в координации – необходимость внедрения понятна всем без дополнительных обсуждений.

Во-вторых, получение поддержки: критически важным фактором стало привлечение внимания совета директоров. Мы напрямую представили концепцию непрерывного мониторинга («чтобы лампадка горела всегда») и четко обозначили необходимые ресурсы и направления проверок, предоставив окончательное решение на их усмотрение.

Такой подход позволил нам получить необходимое одобрение и поддержку для реализации проекта, что является фундаментом для успешного внедрения непрерывного аудита в организации.

Мы разработали план непрерывного аудита и представили его руководству. Он охватывает ключевые процессы компании: финансы, ИТ, склад, закупки, казначейство, комплаенс и документооборот. Для каждого процесса определены критические показатели, требующие постоянного мониторинга (например, дебиторская задолженность, остатки на складе, эффективность найма). Учитывая различную степень автоматизации процессов, запланировали этапы внедрения мониторинга с приоритетом на автоматизацию там, где это необходимо (например, автоматизация учета дебиторской задолженности перед началом ее мониторинга).

Важный аспект – доступ к системам и базам данных. В отличие от многих компаний, где открытость информации для аудиторов является сложностью, наш департамент имеет доступ к системам и базам благодаря четко выстроенным внутренним регламентам.

Кроме того, выбор системы для непрерывного аудита – ключевое решение. Учитывая негативный опыт 2016 года (несовместимость выбранной системы ACL с кириллицей), мы отказались от поиска готового программного решения. Вместо этого обосновали перед советом директоров необходимость найма специалиста по Data Science, который будет разрабатывать скрипты для прямого доступа к данным и предоставлять отчеты, обеспечивая непрерывный мониторинг ключевых показателей. Это позволит сначала доказать эффективность непрерывного аудита и лишь затем рассматривать инвестиции в специализированные системы. 

Второй этап – написание ТЗ и скриптов.

Оптимизация контроля началась с анализа существующих процессов. Этот этап оказался тесно связан с разработкой технического задания. Сложность заключалась, например, в том, что данные о задолженности (от маркетплейсов, курьерских служб, поставщиков и клиентов) хранились и обрабатывались вручную в двух разных системах: системе продаж и системе отчетности, а затем частично консолидировались в файлах. Для визуализации процесса мы создали подробную блок-схему, отображающую потоки данных между системами, включая конечную точку – Axapta (Microsoft Dynamics) и 1С. Следующим шагом стало планирование интеграции системы непрерывного аудита с существующей инфраструктурой. Для обеспечения бесперебойной работы с ERP-системами, хранилищами данных и другими внутренними продуктами мы выбрали подход, основанный на разработке скриптов. 

Сейчас мы находимся на пилотной стадии, поэтому разработка стандартов и процедур непрерывного аудита (описание участников процесса, ответственности, целей, периодичности и т.д.) пока отложена. Однако понимаем, что в дальнейшем потребуется надлежащая документация всего процесса.

Третий шаг – тестирование и реализация. На данном этапе мы столкнулись с некоторыми трудностями.

Создавая скрипт и запуская его в тестовой среде, мы проверяем, сработал ли он. Далее, следуя плану, валидируем данные, сравниваем их с исходной системой, проверяя, совпадают ли результаты. Однако здесь мы столкнулись со сложностью: централизованные дата-аналитики предоставляют информацию управляющим директорам и совету директоров. Проблема заключалась в том, что мы не синхронизировали расчеты. Дата-аналитики уточнили, что цифры не сходятся, поскольку мы используем другие методы подсчета. Мы осознали, что необходимо наладить взаимодействие наших дата-аналитиков с централизованными, чтобы они могли проверять наши скрипты, используемые системы и метрики, извлекаемые из дата-центра. Важно, чтобы передаваемая далее информация была валидирована со всех сторон, и ни у кого не возникало сомнений в ее достоверности. После выявления ошибок мы скорректировали скрипты и протестировали их, чтобы в итоге можно было выпустить рабочий скрипт в продуктивную среду.

Мы также являемся пользователями результатов нашей работы, и первая линия всегда задействована. Например, если речь идет об отчете по дебиторской задолженности, он в первую очередь используется руководителем для мониторинга рабочего капитала.

Последний, четвертый шаг – отчетность и управление результатами. Здесь крайне необходимо внедрить RACI-матрицу.

Последние три года компания трансформируется. В этой ситуации важно иметь четкий регламент и в каждом аудите создавать RACI-матрицу. Причина в том, что из-за быстрой смены кадров и стремительных изменений процессов каждый сотрудник делает то, что считает нужным. Это напоминает ситуацию с щукой, раком и лебедем – все идут в разных направлениях. Один что-то делает, другой это проверяет, и в итоге никто не несет ответственности. Поэтому наши аудиты постоянно акцентируют внимание на необходимости RACI-матриц. Однако даже создание такого отчета не гарантирует его использование. Важно не только создавать отчеты, но и следить за их исполнением. Необходимо убедиться, что рекомендации, содержащиеся в отчетах, реально выполняются и закрываются. Ранее мы пытались представлять совету директоров стандартные послеотчетные документы, но это не приносило ощутимых результатов. Намного эффективнее оказалось приносить совету директоров отчет уже об исправленных проблемах.      

Поэтому мы установили цель – быстрое закрытие вопросов за один-два дня. Пока этого не удается достичь, поскольку это требует обучения персонала и налаживания взаимодействия с первой линией, чтобы коллеги понимали, какие задачи требуют немедленного решения, а какие можно отложить. Сейчас процесс занимает около недели, но мы стремимся к совершенству и продолжаем работать над улучшением.

В мире, где скорость изменений и требований растет, непрерывный аудит становится не просто желательной, а обязательной практикой для эффективного и безопасного ведения бизнеса. Однако на этом пути есть свои подводные камни. Лучше сделать маленькие шаги сегодня, чем стремиться к идеалу, тратить ресурсы на визуализации, и в итоге перегореть или не получить поддержки и финансирования – особенно в условиях, когда все меняется стремительно.