Кирилл Ковалев, «Лемана ПРО»: Как построить эффективную систему взаимодействия между подразделениями

Кирилл Ковалев, руководитель по внутреннему контролю, «Лемана ПРО», и спикер Четырнадцатой конференции «Внутренний контроль и внутренний аудит как инструменты повышения эффективности бизнеса», рассказал CFO Russia, что такое «зрелая модель» взаимодействия между внутренним контролем, аудитом и другими подразделениями компании, а также поделился, как достичь «бесшовного» взаимодействия без дублирования функций.

Что сегодня означает «зрелая модель» взаимодействия между внутренним контролем, аудитом и другими подразделениями?

Внутренний контроль помогает бизнесу внедрить контроли, эффективность которых затем проверяет внутренний аудит. Поскольку цикл внутреннего аудита может составлять и три, и пять лет, то ждать оценки внутренним аудитом приходится слишком долго.

Для того чтобы оценка рисков была правдивой, она должна быть своевременной, поэтому наличие и эффективность контролей должны «пульсировать» на карте рисков, то есть тестировать эффективность контролей надо чаще, хотя бы ежеквартально. Именно для этого мы постоянно запускаем самооценку, в ходе которой бизнес подтверждает наличие и эффективность внедренных контролей. А если нам не отвечают или открыто говорят, что контроль не работает, то мы разбираемся с процессом и корректируем контроль.

Как вы добились «бесшовного» взаимодействия между функциями внутреннего контроля и аудита – без дублирования и конкуренции?

Для большей бесшовности взаимодействия и эффективности для всей компании мы стараемся приходить с контролями в подразделения хотя бы за полгода до прихода аудита, чтобы предвосхитить вопросы аудита по ключевым рисковым областям. Далее аудит при подготовке к проверке использует GRC и тестирует существующие контроли, давая нам обратную связь об эффективности внедренных контролей. По результатам аудита появляются новые контроли, которые мы совместно с бизнесом обсуждаем и заносим в GRC. Так цикл появления и тестирования контролей повторяется.

Какие изменения в оценке рисков вы внедрили в ответ на текущую нестабильность и быстро меняющиеся условия?

В крупном ритейле постоянно что-то происходит: от безопасности объектов и проблем с поставщиками до внедрения новых законов по маркировке и геополитической неопределенности. Очень часто приходится бежать туда, где «горит». Чтобы такой бег не превратился в бег на месте, мы четко расставляем приоритеты.

Идеально, если риск можно рассчитать количественно, в денежной форме (остановка работы кассы, штраф и прочее), но иногда приходится оценивать риск по качественному критерию. Тут приходят на помощь коллеги-эксперты по своим областям, которые своевременно сигнализируют о тех или иных трудностях.

Также хороший тон сверху задает аудиторский комитет с его всеобъемлющим взглядом на процессы компании. Участие в аудиторском комитете позволяет нам видеть проблемы компании изнутри.

Из нового – мы начали самостоятельно тестировать внутренние контроли, не дожидаясь прихода аудиторов. Это позволяет пройти одновременно путь исполнителя контроля и аудитора, понять, где процесс сбоит, и адаптировать контроль к текущим реалиям и рискам.

Как найти баланс: сколько внутренних контролей – это достаточно, а когда – уже слишком много?

У нас сейчас более одной тысячи внедренных контролей. Это кажется достаточно много, но их количество постоянно увеличивается, хотя есть и такие, которые мы отправляем в архив. Мы как внутренний контроль идем в новые для нас направления бизнеса, в которых контроли, скорее всего, есть, но не описаны в GRC и еще не попали на карту рисков и в самооценку.

Плюс после каждой проверки внутреннего аудита мы добавляем несколько контролей, которые после обсуждения с исполнителями заносим в GRC и включаем в последующую самооценку.

Считаю, что для одного исполнителя может быть внедрено не более 10-15 контролей. Иначе у такого исполнителя просыпается внутреннее сопротивление всей системе внутреннего контроля как  слишком трудоёмкому процессу.

Задать свои вопросы Кириллу и узнать больше об опыте «Лемана ПРО» вы сможете на Четырнадцатой конференции «Внутренний контроль и внутренний аудит как инструменты повышения эффективности бизнеса», которая состоится 8 августа 2025 года.

Елизавета Гета